Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Virtuellen Fileserver mit BitLocker verschlüsseln

Frage Virtualisierung Hyper-V

Mitglied: hoff4dm1n

hoff4dm1n (Level 1) - Jetzt verbinden

17.10.2014, aktualisiert 15:40 Uhr, 3271 Aufrufe, 10 Kommentare

Hallo,

ich arbeite zur Zeit an einem Projekt, welches u.a. die Verschlüsselung einer VM mit BitLocker beinhaltet.

Genauer gesagt geht es hier um einen virtualisierten Fileserver mit separater Daten-VHD.
Diese VHD soll nun mittels BitLocker verschlüsselt werden.

In mehreren Foren wurde bereits gesagt, dass es nicht funktioniert, andere Foren wiederum behaupten es geht.

Nun zu meinen Fragen:
1. BitLocker auf dem Hyper-V-Host ausführen und das komplette RAID-Volume für sämtliche Daten verschlüsseln?
2. BitLocker nur in der VM ausführen und die Daten-VHD verschlüsseln?

Denke ich zu kompliziert oder löst evtl. sogar dieser Link meine Probleme:
http://www.windowspro.de/andreas-kroschel/virtuelle-festplatten-vhdvmdk ...

Der virtuelle Fileserver hat eine 100 GB System-VHD sowie eine 4TB Daten-VHD.

Kurz zum vorhandenen System:

TAROX ParX R2162i G4
Intel Xeon E5-2640 v2
4x DDR3 4096 MB ECC
LSI MegaRAID SAS 9266-8i
2x HDD 300GB Ultrastar SAS (--> RAID1 System)
11x HDD 900GB Ultrastar SAS (--> RAID6 Daten ohne HotSpare)
Windows Server 2012 R2 Standard

Grüße


Thomas
Mitglied: Chonta
17.10.2014 um 10:41 Uhr
Hallo,

was soll denn erreicht werden?
Wenn der RAID der Ohysischen Maschiene verschlüsselt wird, ist alle betroffen.
Wenn nur in der VM-verschlüsselt wird ist nur diese betroffen.
Kann der Hypervisor alles was Bitlocker braucht durchreichen, dann versuchs einfach.

Gruß

Chonta
Bitte warten ..
Mitglied: hoff4dm1n
17.10.2014 um 11:01 Uhr
Ziel ist die Verschlüsselung der "Datenplatte" des virtuellen Fileservers um Fremdzugriff zu verhindern (der Punkt des Netzwerkzugriffs wird jetzt mal außer Acht gelassen).

Ja ich müsste ein Floppy-Laufwerk einbinden und darauf den BitLocker-Schlüssel zur Verfügung stellen.

Thomas
Bitte warten ..
Mitglied: DerWoWusste
17.10.2014, aktualisiert um 11:09 Uhr
Moin.

Ich habe das vor Jahren schon durchexerziert und weiß, wie das geht.
Frage zunächst: hat Dein Host denn ein TPM?
Edit:

Weitere Frage:
Ziel ist die Verschlüsselung der "Datenplatte" des virtuellen Fileservers um Fremdzugriff zu verhindern
Fremdzugriff? Du meinst, Diebe, die die Platten ausbauen?
Bitte warten ..
Mitglied: Chonta
17.10.2014 um 11:14 Uhr
Hallo,

also Bitlocker und co beidetn nur Schutz wenn die VM/Hardware aus ist und dann ein unberechtigter Zugriff erfolgt.
Wenn die VM/Hardware an ist bieten Bitlocke rund Co erst dann Schutz, wenn der Angreifer den Stecker zieht.

Gruß

Chonta
Bitte warten ..
Mitglied: hoff4dm1n
17.10.2014 um 11:54 Uhr
Morgen,

ja der Host hat TPM der Version 1.2

Fremdzugriff alias Diebe, exakt!


Thomas
Bitte warten ..
Mitglied: DerWoWusste
17.10.2014 um 12:03 Uhr
Gut.

Unser Setup ist so: Hyper-V-Server auf komplett verschlüsselter Platte (Bitlocker samt TPM, transparent, also keine Kennworteingabe), kompletter Datastore ebenso mit Bitlocker verschlüsselt, Kennwort wird beim Start des Servers aus dem Netzwerk eingelesen (Skript liegt auf einer gesicherten Freigabe eines gut weggeschlossenen PCs).

Noch Fragen?
Bitte warten ..
Mitglied: hoff4dm1n
17.10.2014 um 13:58 Uhr
Ja. Ist der Datastore physikalisch oder virtuell? Wenn virtuell, habt ihr BitLocker via Gruppenrichtlinien wie in folgendem Beitrag aktiviert?
http://www.windowspro.de/andreas-kroschel/bitlocker-ohne-trusted-platfo ...
Bitte warten ..
Mitglied: DerWoWusste
17.10.2014, aktualisiert um 14:05 Uhr
Es gibt keine virtuellen Datastores - was soll das sein? Du kannst einen Datastore auf unterschiedlichste Art und Weise Anbinden (ISCSI/USB/intern...), aber er ist immer physikalisch.
Ich spreche vom gesamten Datastore, auf dem alle VMs hausen, nicht von der virtuellen Festplatte eines einzelnen virtualisierten Servers. Bei uns ein RAID im Host.
Und: klar, will man für etwas kein TPM verwenden, muss man besagte Policy für externe Laufwerke nutzen.
Bitte warten ..
Mitglied: hoff4dm1n
17.10.2014 um 14:23 Uhr
Achso, ja ich bin nicht gleich dahintergestiegen.

Was macht denn mehr Sinn? Die VHD der VM intern zu verschlüsseln oder das physikalische RAID-Volume?
Bzw. anders gefragt:
Nehmen wir an ich verschlüssele jetzt das RAID6-Volume mit seinen 7,3 TB. Innerhalb dieses logischen Laufwerks gibt es insgesamt 3 VHDs, eine System-VHD für den DC, eine System-VHD für den Fileserver und eine VHD für die Daten des Fileservers.
Beim Start des Hostsystems wird das Ganze entschlüsselt, klar.
Aber sieht es dann für den TPM-Chip beim Booten der beiden VMs nicht so aus, als würde eine fremde Maschine darauf zugreifen wollen?

Davor habe ich nämlich Angst, dass mir plötzlich alles gesperrt ist und meine bisherige Arbeit umsonst war.

Ich hoffe, dass ich meine Bedenken einigermaßen verständlich formulieren konnte.

Übrigens auch schon mal vielen Dank für die Antworten und eure Mühe!


Thomas
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 17.10.2014, aktualisiert um 15:40 Uhr
Aber sieht es dann für den TPM-Chip beim Booten der beiden VMs nicht so aus, als würde eine fremde Maschine darauf zugreifen wollen?
Äh...der TPM Chip liefert Schlüssel. Er passt auf nichts auf, außer dass Du nicht mehr am BIOS rumdoktern kannst, ohne vorher Bitlocker zu suspenden. Keine Sorge.

Was macht denn mehr Sinn? Die VHD der VM intern zu verschlüsseln oder das physikalische RAID-Volume?
Besserer Schutz ist geboten, wenn Du den gesamten Datastore verschlüsselst. Mach es genau wie wir, besser geht es meiner Einschätzung nach nicht und es läuft automatisch ab.
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
Fileserver Verschlüsseln
Frage von EisernVerschlüsselung & Zertifikate16 Kommentare

Hallo, mir ist bekannt das dieses Thema schon des Öfteren besprochen wurde, aber den letzten wirklich passenden hier finde ...

Verschlüsselung & Zertifikate
Systemlaufwerk mit Bitlocker und Smartcard verschlüsseln
gelöst Frage von KrabbatVerschlüsselung & Zertifikate6 Kommentare

Hallo in die Runde, auf einem Win10 Pro Rechner soll das Systemlaufwerk C: mittels SmartCard Zertifikat verschlüsselt werden. Diese ...

Verschlüsselung & Zertifikate
PCs im Unternehmen mit BitLocker verschlüsseln - Wie vergebt ihr Passwörter?
gelöst Frage von KuemmelVerschlüsselung & Zertifikate10 Kommentare

Servus Kollegen, nutzt jemand von euch aktiv BitLocker im Unternehmen? Ich spiele mit dem Gedanken auf allen neuen PCs ...

Virtualisierung
Virtuellen Windows Fileserver nutzen, oder Fileserver auf NAS betreiben?
gelöst Frage von jompsiVirtualisierung12 Kommentare

Hallo zusammen Ich bin dabei die Virtualisierungumgebung in unserem Betrieb auf vordermann zu bringen. Das bedeutet, ich habe einen ...

Neue Wissensbeiträge
Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 2 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 4 TagenSicherheit7 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell8 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...