Deinstallation der Hiberantion wegen Truecryptverschlüsselung

Mitglied: gogoflash

gogoflash (Level 2) - Jetzt verbinden

10.01.2009, aktualisiert 18:39 Uhr, 5045 Aufrufe, 5 Kommentare

Hallo,

im Zusammenhang bei der Nutzung von Truecryptvolumens, ist ja eine mögliche Sicherheitslücke durch die Nutzung des Ruhezustandes möglich.
Wenn ein Mitarbeiter versehentlich den Ruhezustand bei gemounteten Truecryptvolumens aktiviert, ist es ja prinzipiell möglich über die erzeugte Hiberfil.sys die Passwörter/Keys ausgelesen werden.

Frage 1:
Wie kann ich für einen Benutzer (keine Adminrechte) diese Option effektiv abschalten?

Frage 2:
Wie kann ich selbst dem Administrator (bzw Nutzer mit Adminrechten) diesen Punkt verweigern bzw. die Hürde soweit vergrößern, dass es nicht einfach mal so eingerichtet werden kann.

Ja es handelt sich um eine recht paranoide Betrachtung, aber in Anbetracht der existierenden Daten auch zweckmäßig. Der Weg über eine Vollverschlüsselung kann nicht gegangen werden, da sich mehrere Mitarbeiter auf diesem Rechner anmelden müssen. Nicht jeder hat Zugriff auf die Volumes.

Gruß Miguel
Mitglied: DerWoWusste
10.01.2009 um 19:04 Uhr
Wir haben ähnliche Betrachtungen hinter uns.
Zunächst: Warum keine Vollverschlüsselung? Nutzt Du TPM, brauchst Du noch nicht einmal ein Verschhlüsselungskennwort dazu. Habt Ihr in Euren Rechnern TPMs? Bitlocker zum Beispiel arbeitet so.
Dann zu eins und zwei: Du kannst über GPOs den Ruhezustand verbieten (auch für Admins), zumindest auf Vista. Bei xp müsstest Du mal schauen. Mittels der neu eingeführten Group Policy preferences kann man auch für xp Energieoptionen zentral managen.

Desweiteren: Habt Ihr schon über die Pagefile nachgedacht? Die kann man nicht abschalten, sie muss verschlüsselt werden. Dies kann nur Vista oder eine Vollverschlüsselung.
Bitte warten ..
Mitglied: gogoflash
10.01.2009 um 19:18 Uhr
Hallo DerWoWusste,

danke für deine Antwort.
für die Pagefile und die Dumpfiles können ja einfach abgeschaltet werden (und sind es auch) und diese Einstellungen sind ja Benutzersicher.... Problem bei der Hibernation ist ja das dort der Inhalt des Speicher ist..

Thema Vollverschlüsselung:
Wir hatten auch angedacht ein HiddenSystem, dass parallel zum System installiert ist. Dummerweise befinden sich einige Truecryptdateien auf den Fileservern, was die Vollverschlüsselung ziemlich nutzlos macht.

Thema TPM:
Bisher wurde dieses Thema nur angeschnitten, die Umrüstung würde natürlich eine kleiner Kostenfaktor sein.

Wie habt Ihr das mit dem TPM gemacht? Bitlocker gibt es doch für Vista oder irre ich mich da.... Wir haben hauptsächlich XP am Laufen, 2 Linuxrechner sowie zwei Macs...

Gruß Miguel
Bitte warten ..
Mitglied: DerWoWusste
10.01.2009 um 19:24 Uhr
Miguel, der Reihe nach: die Pagefile ist nicht abschaltbar. Schalt sie unter xp mal aus... zunächst meckert xp "Auslagerungsdatei zu klein oder nicht vorhanden - temporäre wird erstellt" und dann findet sich zudem noch weiterhin eine pagefile auf dem System - ich weiß selbst nicht, warum. In der Pagefile liegen jedoch auch plaintext-Kennwörter und Dateiinhalte.
Eigentlich brauche ich hier nicht weiterzuschreiben, daran wird Euer Konzept scheitern.
Dummerweise befinden sich einige Truecryptdateien auf den Fileservern, was die Vollverschlüsselung ziemlich nutzlos macht.
Erklär diesen Einwand genauer.

Bitlocker gibt es nur für Vista und 2008 Server, das ist richtig. Aber auch andere (PGP wholedisk encryption vielleicht) könnten sowas anbieten. Utimaco ist ein Anbieter (Safeguard easy/safeguard enterprise) und evtl. wird auch das freie TrueCrypt irgendwann TPM unterstützen.
Bitte warten ..
Mitglied: gogoflash
10.01.2009 um 22:27 Uhr
Hallo DerWoWusste,

erstmal die Pagefile läßt sich ausschalten und ist dann weg. Die Meldung, dass eine temporäre erstellt wird taucht nicht auf, manchmal löscht Windows die alte Pagefile.sys nicht, das passiert, diese kann man dann wie eine normale Datei löschen. Bei Windows 2000 kann man sie nicht entfernen. Wenn eine Meldung kommt, dann der Hinweis das kein Memory Dump erstellt werden kann und es empfohlen wird mindestens eine Pagefile zu haben die die Größe des Rams hat oder mind. 2 MB. (kann man ignorieren)
Zudem empfehlen die Truecryptentwickler, dass abschalten der Pagefile.sys. (http://www.truecrypt.org/docs/)

Aber jetzt wieder zu meiner Frage, ich hatte nicht gefragt, was mit der Pagefile ist sondern es geht um den Ruhezustand.

Nebenbei... Es handelt sich um eine Windowsdomäne und die Mitarbeiter wechseln häufiger die Arbeitsplatze. Soll ich jetzt jeden Rechner mit einer Prebootauthetifizierung ausstatten? Die Pflege von den einzelnen Passwörtern wird dann recht schwierig. Eine systemweite Verschlüsselung gesteuert durch das AD per EFS ist gekippt worden... Die Gründe muss ich nicht erläutern...

Gruß Miguel
Bitte warten ..
Mitglied: DerWoWusste
10.01.2009 um 22:55 Uhr
Also gut, was ist mit meinen Vorschlägen bzgl. Energieoptionen, hast Du sie schon angesehen?
Eins noch zur Pagefile: Selbst wenn Du sie abschalten könntest (klar, die Option gibt es offiziell in xp), Du willst das nicht, da es die Performance hart trifft, Es sei denn, die Leute haben extrem viel RAM (>3 GB schätze ich, wird es nicht mehr weh tun). Ob man das will und muss, ist die Frage. Ich hab mal auf einem 512 MB xp die Pagefile ausgeschaltet und neu gebootet, ein paar Programme gestartet und bald kam dann auch "Windows - Out of virtual memory. Your system is low on v.m. To ensure that windows runs properly, increase the size of you v.m. paging file"). Danach konntest Du das Arbeiten getrost vergessen. Das war xp. Richtig, nur bei 2000 geht es gar nicht, so kamen meine Erinnerungen zu Stande.
Soll ich jetzt jeden Rechner mit einer Prebootauthetifizierung ausstatten?
Nein. Deswegen die Frage nach TPM.
Bitte warten ..
Heiß diskutierte Inhalte
Windows Netzwerk
Netzwerkkomponent mit SD-Kartenslot
gelöst waddalosFrageWindows Netzwerk27 Kommentare

Hallo an alle, folgendes Problem gibt es bei uns im Unternehmen: Der Wareneingang soll jeden Eingang fotografieren und anschließend ...

Server
File Portal mit Userverwaltung gesucht
gelöst McLionFrageServer21 Kommentare

Hallo zusammen, ich suche eine Art Fileserver im Webbrowser. Es gibt diese zwar wie Sand am Meer, jedoch ohne ...

PHP
Fehler mit PHP-FPM
adriaanFragePHP20 Kommentare

Hallo guten Abend liebe Forenmitglieder, ich habe ein Problem. Nämlich habe ich ein Kontroll PHP Skript heruntergeladen und damals ...

E-Mail
Email verteilen
jensgebkenFrageE-Mail17 Kommentare

Hallo Gemeinschaft, ich habe eine email Adresse testtest.de , die an zwei email Konten geleitet werden soll einmal an ...

Windows Server
Internetzugang über Terminalserver
Felix0201FrageWindows Server13 Kommentare

Hallo, ich habe folgendes Anliegen. Wir wollen einen Terminalserver für ca. 20-25 Nutzer bereitstellen. Ist es da besser den ...

Server-Hardware
Gebrauchten Server zum Weiterbilden gesucht
AnukadFrageServer-Hardware13 Kommentare

Liebe Community, ich weiß dazu gibt es schon einige Themen im Forum, leider sind dies nicht mehr die neusten ...

Ähnliche Inhalte
Windows Server
MSSQL-Server Deinstallation
gelöst lcer00FrageWindows Server5 Kommentare

Hallo zusammen, Ich habe hier eine VM (Windows 2012R2, Host Windows 2016), auf der verschiedene Dienste laufen: WSUS, PRTG, ...

Windows Server
Deinstallation Trendmicro mit Exchange
AkcentFrageWindows Server11 Kommentare

Hallo, wir müssen zum ersten mal auf einem SBS2008 Trendmicro Worry Free Business mit Exchange PlugIn deinstallieren. Kann man ...

Windows Tools

Website Popup nach Deinstallation verhindern

gelöst SchroediFrageWindows Tools11 Kommentare

Hallo zusammen, ich möchte per PowerShell automatisiert und silent ein Programm vom PC entfernen. Es soll später per Softwareverteilung ...

Exchange Server

Deinstallation Exchange - ADSync mit Exchange Online

gelöst masterspFrageExchange Server14 Kommentare

Hallo an alle, hoffe ich habe keinen entsprechenden Beitrag überlesen, aber ich finde keine klare Antwort. Ich hab soeben ...

Windows Server

Windows 2016 Fehlerstatus der Deinstallation: 1603

babylon05FrageWindows Server1 Kommentar

Hallo, bekomme in meiner Zuverlässigkeitsanzeige immer wieder die Fehlermeldung gelbes Ausrufezeichen Fehlerstatus der Deinstallation: 1603 vom Programm PDF24 Creator. ...

Batch & Shell

Batch zur Deinstallation von Windows OneDrive

gelöst Lannde1988FrageBatch & Shell2 Kommentare

Hallo Leute, ich möchte gerne eine Batch zur Deinstallation von Windows OneDrive erstellen. Leider habe ich nur Anfänger Wissen ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud