winsrvadm
Goto Top

Festplattenverschlüsselung JA oder NEIN?

Hallo liebe Kollegen,

hat jemand Erfahrungen mit Festplattenverschlüsselungen speziell mit Programmen wie Drivecrypt von Securstar oder Compusec?

Ich habe vor, Notebooks von Außendienstmitarbeitern komplett (ganze Festplatte) zu verschlüsseln, damit bei Diebstahl oder Verlust keine sensiblen Daten in falsche Hände geraten.

Kann mir jemand Tipps geben, wie man da am besten vorgeht, bzw. welche Probleme können damit auftreten?

Vielen Dank im Voraus!

Gruß
winsrvadm

Content-ID: 78153

Url: https://administrator.de/contentid/78153

Ausgedruckt am: 05.11.2024 um 21:11 Uhr

Netzheimer
Netzheimer 15.01.2008 um 08:00:21 Uhr
Goto Top
Ich würde nicht die ganze Platte, sondern nur die emfpindlichen Dateien verschlüsseln.

Grundsätzlich ist Verschlüsselung eine gute Sache. Problme, die Auftreten können:
Funktioniert das Verschlüsselungsprogramm nicht mehr, hat man kaum eine Chance an die Daten zu kommen. Geht zwar, aber wird schwierig.

Ich emfpehle die Variante der Absicherung mit USB-Stick. Wer den Stick hat, ist berechtigt die Daten anzusehen. Der Schlüssel befindet sich am Stick. Ist das Notebook oder die Platte weg, kann keiner was ohne USB-Stick anfangen. Einfach mal googeln unter "Notebook Bodyguard".
56844
56844 15.01.2008 um 08:22:39 Uhr
Goto Top
Moin,

also ich habe hier auf 2 Notebooks mal Compusec zum testen installiert.
Das schöne bei Compusec ist, das es Single Sign On beherrscht. Also einmal Passwort am Systemstart angeben und Compusec meldet gleich den Benutzer bei Windows an. Das macht allerdings nur Sinn bei Laptops die von nur einer Person genutzt werden (Ist ja meistens so).

Leider ist mir CS einmal bei der Installation abgeschmiert -> Komplette Partition im Eimer.
Also vorher bitte ein Image ziehen. Danach hat's aber fast Problemlos geklappt.

Ein kleineres Problem gab's noch mit dem Modul "Identitäts-Management". Hier ließ sich plötzlich der Standard-User für's Single-Sign-On nicht mehr angeben. Ohne Identitäts-Management funktioniert es aber einwandfrei.

Zur Verschlüsselung kann ich eigentlich nicht so viel sagen. Bin nicht so der Sicherheitsexperte. Aber scheinbar funktioniert alles wie gewünscht.

CompuSec ist kostenlos. Falls du viele PC's/Laptop's verschlüsseln musst: Es gibt eine kostenpflichtige Administrationskonsole. Damit hast du die Kontrolle über alle angeschlossenen Rechner.

Alles in allem kann ich CompuSec empfehlen !

Tipps: Festplatte im Hintergrund verschlüsseln statt vor dem Start (führte bei mir zum Absturz).
Nicht alle möglichen Optionen wählen. Die Verschlüsselung der gesamten Platte reicht meistens schon aus für "Schutz".

Hoffe ich konnte ein wenig helfen face-smile
Gruß

Uti
Korrn
Korrn 15.01.2008 um 09:02:08 Uhr
Goto Top
Ich würde nicht die ganze Platte,
sondern nur die emfpindlichen Dateien
verschlüsseln.

Ein potentieller "Dieb" hat dann unter Umständen noch die Möglichkeit die sensiblen Daten aus Deinen temporären Dateien, oder aus nicht-verschlüsseltem "freien" Speicher wiederherzustellen. Auch der "Ruhezustand" ist Kritisch, da hier der gesamte Inhalt des Arbeitsspeichers auch die Festplatte geschrieben wird.

Zu beachten ist auch die Leistung der PCs. Jegliche Art von Verschlüsselung braucht CPU-Zeit. Bei schwächeren Prozessoren ist dies deutlich spürbar.
56844
56844 15.01.2008 um 10:14:36 Uhr
Goto Top
Ja das ging mir auch gerade durch den Kopf.
Auch so ein USB Stick ist zwar extrem praktisch,
aber sein wir mal ehrlich:
Wie oft bleibt der am Rechner eingesteckt ?
Und wenn dann jemand mein Laptop klaut ?
Oder ist der Stick zusätzlich zum Passwort ?

Tipp/Spaß:

Kauft euch mal ein paar günstige USB Sticks.
Installiert auf allen einen Keylogger.
Beschriftet diese USB Sticks dann mit Labeln:
z.B. FKK Urlaub, Youp***.com usw.
Dann verteilt die mal unauffällig auf dem Firmengelände.

Ist ein super Einstieg in eine Debatte über Datensicherheit face-smile
Entwickler
Entwickler 15.01.2008 um 10:19:35 Uhr
Goto Top
Hoi,

ich würde Truecrypt verwenden, klappt toll, einfache installation geringer greschwindikeits verlust ! ABER ES WIRD LANGSAMER !,
direkt nach dem bios 256bit pw abfrage ohne dieses wird die festplatte nicht decodiert und wird nur müll angezeigt
tolles tool!
Mr.Floppy2
Mr.Floppy2 15.01.2008 um 10:40:50 Uhr
Goto Top
Was in meinen Augen ein sehr gutes Progamm ist, ist Safeboot http://www.safeboot.com/products/device-encryption/pc/

Haben ca. 500 Notebooks damit verschlüsselt.

Du kannst jedem Gerät zuweisen wer sich mit Usernamen und Passwort anmelden darf.
Du kannst per Admin-Konsole im Challange-Response-Verfahren das Passwort des Mitarbeiters zurücksetzen.
Wenn das Gerät nicht mehr bootet oder bei Festplattenschaden kann mit einer Cd gebootet werden und soweit möglich die Daten gesichert werden.
Sehr gute Netzwerkfähigkeit der Software für Entschlüsselung, Verschlüsselung, Benutzer sperren, hinzufügen oder löschen.

Hatten vorher von Compusec die Cryptcard im Einsatz. Problem dabei, keine Netzwerkunterstützung um Rechner abzuschalten oder Benutzer zu deaktivieren. Wenn die Batterie der Cryptcard leer ist muß man die Karte einschicken zum Austausch (Falls das überhaupt möglich ist, nie probiert).

Danach hatten wir kurze Zeit die eIdentity von Compusec, ein USB-Stick der zum Booten eingesteckt sein mußte, danach abgezogen werden konnte. In meinen Augen sind die USB-Sticks zu anfällig für Defekte, hatte mehrere Sticks, die nicht mehr erkannt wurden. Eine weitere Schwachstelle ist das sehr schwache Netzwerkmanagement, wenn man das überhaupt so nennen kann.
Korrn
Korrn 15.01.2008 um 10:42:20 Uhr
Goto Top
Mach Dir auch mal Gedanken drüber wie Deine Admins an die Daten kommen. Und was passiert wenn ein Mitarbeiter (unschön ich weiß) verstirbt? Die Daten auf dem Laptop müssen der Firma erhalten bleiben.
Ansonsten muss ich sagen, dass das die eleganteste und tranparenteste Lösung ist. Deine Mitarbeiter werden wahrscheinlich gar nicht merken, dass die Festplatten verschlüsselt sind.
bodegabar
bodegabar 15.01.2008 um 11:08:59 Uhr
Goto Top
Hallo,

auch wir haben in der Firma ca. 100 Laptops mit SAFEBOOT verschlüsselt.
Ist echt ein tolles Programm, bisher gab es keine Probleme.


Servus,

der bo
winsrvadm
winsrvadm 15.01.2008 um 11:37:37 Uhr
Goto Top
Hoi,

ich würde Truecrypt verwenden, klappt
toll, einfache installation geringer
greschwindikeits verlust ! ABER ES WIRD
LANGSAMER !,
direkt nach dem bios 256bit pw abfrage ohne
dieses wird die festplatte nicht decodiert
und wird nur müll angezeigt
tolles tool!


Hallo,
kann man mit Truecrypt die Systempartion bzw. die komplette Festplatte verschlüsseln?
Ich dachte, das man damit die Systempartition nicht verschlüsseln kann.
winsrvadm
winsrvadm 15.01.2008 um 11:38:54 Uhr
Goto Top
Hoi,

ich würde Truecrypt verwenden, klappt
toll, einfache installation geringer
greschwindikeits verlust ! ABER ES WIRD
LANGSAMER !,
direkt nach dem bios 256bit pw abfrage ohne
dieses wird die festplatte nicht decodiert
und wird nur müll angezeigt
tolles tool!
Oli-nux
Oli-nux 15.01.2008 um 14:21:29 Uhr
Goto Top
Warte ab bis Truecrypt 5 herausen ist, damit kann man dann auch wie bei Drivecrypt PlusPack BootAuth einsetzen also auch die Systempartition verschlüsseln.face-wink
Ich selber nutze an meinem PC noch DCPP, aber man weiß halt nicht, ob es da nicht evtl. doch ein Masterpasswort geben könnte.
Supaman
Supaman 15.01.2008 um 22:52:12 Uhr
Goto Top
safeguard easy ist auch ganz nett... boot partition würde ich auf jeden fall verschlüsseln.