candyman1985
Goto Top

Systemplatte automatisch verschlüsseln

Hallo,

ich habe soweit meine Unattended-XP-Installation abgeschlossen. Ein Problem bleibt jedoch...

Wie kann ich voll automatisch die Systemplatte verschlüsseln? Es sollte kostenlose Software sein, da mein Arbeitgeber (öffentliche Behörde) kein Geld hat.
TrueCrypt scheidet wohl aus, soweit ich das gesehen habe. CompuSec wäre wohl eher was, aber wie kriege ich das automatisch hin? AutoIt gestaltet sich schwieriger als gedacht.

Hat einer von euch eine brauchbare Idee?

VG
Matthias

Content-ID: 99166

Url: https://administrator.de/contentid/99166

Ausgedruckt am: 25.11.2024 um 18:11 Uhr

Supaman
Supaman 13.10.2008 um 23:58:48 Uhr
Goto Top
wieso scheidet truecypt aus? es ist open source, kostenlos und kann auch die systempartition verschlüsseln. weiterhin kann man TC auch per kommandozeile steuern, soltle also für deine bedürfnisse passen.

als einzige andere möglichkeit bliebe dir nur EFS, was aber nicht wirklich sicher ist und andere probleme mit sich bringt.
Candyman1985
Candyman1985 14.10.2008 um 06:49:52 Uhr
Goto Top
truecrypt wäre natürlich ideal...

mein ansatz dort war, über autoit (wie die steuerung über kommandozeile geht, weiß ich gar nicht; muss mal goggeln) die verschlüsselung zu steuern. bei meinem ersten test ist mir aufgefallen, dass eine .iso-datei angelegt wird, die wollte ich einfach mit deamontools mounten, aber dann gehts später zu einem neustart und ich muss doch wieder hand anlegen.
ich werde jetzt mal nach den kommandozeilen-parametern für truecrypt schauen. für weitere hilfe von dir, wäre ich dankbar^^

also ich habe keine gescheiten befehle gefunden, um automatisch über ne bash die systemplatte zu verschlüsseln. es beschränkt sich irgendwie auf die befehle fürs mounten und unmounten...
Supaman
Supaman 14.10.2008 um 13:29:55 Uhr
Goto Top
bei meinem ersten test ist mir aufgefallen, dass eine .iso-datei angelegt
falsch. trucrypt beherrscht 3 arten von verschlüsselung: direkt für die systempartition, direkt auf weiteren festplatten und containerdateien, die eine beliebige dateiendung haben dürfen. in iso dateien wird da nix abgelegt, es sei denn du benennst deine containerdatei als *.iso

was die kommandozeilen befehle an geht, findest du die auf der webseite, im handbuch und mit "trucrpyt.exe ?" auf der shell. dann wärst du auch über den parameter "/sysenc" gestolpert.
Candyman1985
Candyman1985 14.10.2008 um 14:00:36 Uhr
Goto Top
sysenc klingt gut... danke erst mal insoweit.

wenn man den assi für die systemverschlüsselung ausführt, wird eine .iso-datei angelegt, die muss gebrannt bzw. gemountet werden, bevor er weiter macht mit der verschlüsselung der platte.

also ich finde von sysenc weder etwas auf truecrypt.com über die sufu, noch irgendwas bei truecrypt.exe /?. bei letzterem finde ich auch nur die befehle, die ich auf der HP gefunden habe.
x3n0n-pc
x3n0n-pc 14.10.2008 um 14:33:37 Uhr
Goto Top
Hi,

die *.iso Datei nicht mounten sondern brennen und booten. Verschlüsselungen solltest du auch nicht mit einem AutoIt-Skript konfigurieren, das ist, finde ich, eine ziemlich heikle Geschichte.

Mahlzeit
Candyman1985
Candyman1985 14.10.2008 um 14:38:20 Uhr
Goto Top
Hallo Daniel,

ich kann auf das Brennen verzichten. Im Normalfall sollten auf dem Notebook keine wichtigen Daten sein bzw. überhaupt abgespeichert werden. Es geht nur allgemein um die Sicherheit, falls ein User doch mal so etwas machen sollte, das System crasht und ich die Rescue-CD benötige, hat der User schlichtweg Pech gehabt.
Ich kann deine Bedenken bzgl. AutoIt verstehen, aber so wäre es das einfachste, XP-Installations-CD rein, zwei Stunden später ist alles fertig und das Notebook kann dem User übergeben werden.
Allem Anschein nach, wird es wohl aber darauf hinauslaufen, dass ich manuell die Verschlüsselung vornehmen muss.

VG
x3n0n-pc
x3n0n-pc 14.10.2008 um 14:44:51 Uhr
Goto Top
Hallo Matthias,

wenn im Normalfall keine wichtigen Daten auf dem Notebook sind sollte es doch auch unnötig sein dieses zu Verschlüsseln. Du hast durch die Verschlüsellung ja keinen zusätzlichen Schutz falls ein User im hochgefahrenen Zustand Mist baut.

Gegen Zugriff im ausgeschalteten Zustand wäre ein BIOS oder Build-In HDD Passwort die bessere Lösung, zu Datensicherung natürlich ein BackUp.

Ich hoffe du weißt was ich meine, wobei ich glaube, dass ich dein Ziel nicht richtig verstanden habe. Warum genau möchtest du denn die Systempartition verschlüsseln?
Candyman1985
Candyman1985 14.10.2008 um 15:57:41 Uhr
Goto Top
Hey,
wieso auch immer, soll auf die HDD-Verschlüsselung von FSC verzichtet werden.
Es geht in erster Linie darum, falls einer der User vielleicht doch etwas abspeichert. Stellen wir uns doch einfach mal ein Szenario vor. Vielleicht übertreibe ich jetzt oder so ist es gar nicht möglich, aber ich denke dabei an folgendes. Der User steckt seinen USB-Stick ans Notebook. Darauf sind PDFs gespeichert, die nur wirklich wenigen Leuten etwas angehen. Wie stellst du sicher, dass nicht irgendwo im System eine Sicherungskopie rumliegt? Office tut dies z. B. mit den Docs.
Die Sicherheit bei diesem Notebook-Unterfangen hatte oberste Priorität. Um es mal beim Namen zu nennen. Mit den Notebooks soll es möglich sein, dass Staatsanwälte bei Großverfahren den kompletten Akteninhalt sich per PDF anschauen können, mit einer besonderen Software sich Randnotizen machen können und noch ein bisschen mehr.
Du kannst jetzt sicherlich verstehen, warum unbedingt eine Verschlüsselung erfolgen muss?

VG
Supaman
Supaman 14.10.2008 um 16:08:22 Uhr
Goto Top
das mit dem iso ist eine sicherheitsfunktion, damit der user *garantiert* eine kopie seines kernals besitzt. ohne diesem kernal ist es nicht möglich, im falle eines systemcrashes an die daten zu kommen.

dazu muss man wissen, wie verschlüsselingssoftware arbeitet. die platte wird einmalig mit einen zufälligen key verschlüsselt, der später nicht mehr geändert wird. weiterhin wird der datenblock, wo der key gespeichert ist, mit dem user-pw verschlüsselt. dieses verfahren ist notwendig, damit der user das pw ändern kann, ohne das die ganze platte neu verschlüselt werden muss.

zu deiner problematik: wenn du dir sicher bist, das du niemals etwas von dem gerät "retten" musst kannst du dir ja eine eigene version ohne diese abfrage compilieren - TC ist open source. oder frag jemanden, ob er dir das machen kann.
Candyman1985
Candyman1985 14.10.2008 um 16:13:11 Uhr
Goto Top
*smile*
ich bin mir sicher, dass ich das gerät niemals retten musst und du bist wirklich witzig, was truecrypt angeht. ich habe keine ahnung davon, meine kollegen so an sich auch nicht, also von daher ist doch alles blöd^^
wie gesagt, die abfrage "nervt" zwar, aber man kann sie ja mehr oder weniger umgehen, indem man das image mountet. jedoch kommt danach nen reboot, einmal muss das pw eingegeben werden und DANN erfolgt erst die verschlüsselung.

also wenn hier nicht auf einmal jemand nen nettes skript zu compusec hat, bleibt mir wohl nichts anderes übrig als es mit der hand zu machen. werde ich wohl noch ne kleine bebilderte anleitung schreiben und irgendjemand wird im zweifelsfall dann das notebook richtig aufsetzen können...
joyboy
joyboy 14.10.2008 um 20:03:57 Uhr
Goto Top
Zitat von @Candyman1985:
Hallo,

ich habe soweit meine Unattended-XP-Installation abgeschlossen. Ein
Problem bleibt jedoch...

Wie kann ich voll automatisch die Systemplatte verschlüsseln? Es
sollte kostenlose Software sein, da mein Arbeitgeber (öffentliche
Behörde) kein Geld hat.
TrueCrypt scheidet wohl aus, soweit ich das gesehen habe. CompuSec
wäre wohl eher was, aber wie kriege ich das automatisch hin?
AutoIt gestaltet sich schwieriger als gedacht.

Hat einer von euch eine brauchbare Idee?

VG
Matthias
Candyman1985
Candyman1985 27.11.2008 um 10:47:53 Uhr
Goto Top
TrueCrypt.exe /n ist schon mal ne gute Möglichkeit. Ich habe das jetzt verbunden mit einem AutoIt-Script. Jedoch verschlüssel ich nunmehr nur eine Partition und nicht mehr die Systemplatte.