patrick-w
Goto Top

Truecrypt entschlüsseln des Platte sichern

Ich bin aktuell in der Testphase mit Truecrypt, vorher haeb wir immer Utimaco SafeGauard Easy bzw. später Sophos eingetzte.

Aktuell suche ich eine Möglichkeit um das Entschlüsseln der Festplatte zu verhindern, bzw. ein Kennwortschutz hier draufzulegen. Hintergrund ist der, dass die User, die die Notebooks von der EDV bekommen, die Fetsplatte nicht selber entschlüsseln dürfen.
Daher möchte ich, wenn es möglich ist Truecrypt soweit wie möglich auf dem System verstecken.

Kennt hiermit hier Lösungsansätze?

Vielen Dank bereits vorab für eure Unterstützung.

MFG
Patrick

Content-ID: 192843

Url: https://administrator.de/forum/truecrypt-entschluesseln-des-platte-sichern-192843.html

Ausgedruckt am: 23.12.2024 um 20:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 16.10.2012 aktualisiert um 12:04:23 Uhr
Goto Top
Zitat von @Patrick-W:
... dass die User ... die Fetsplatte nicht selber entschlüsseln dürfen.
Daher möchte ich, wenn es möglich ist Truecrypt soweit wie möglich auf dem System verstecken.

OhneGruß

Was jetzt? Waschen oder nicht naßmachen?

Wie sollen die User mit einer nicht entschlüsselten Platte arbeiten? Oder soll da jedes mal einer von der IT vorbeikommen, um den Key einzugeben?

lks
Patrick-W
Patrick-W 16.10.2012 um 12:08:37 Uhr
Goto Top
Hallo IKS (sorry haben den Gruß vorher vergessen ;) )

die Platte so durch die PreBoot Authentifikation entschlüssel bzw. freigeschaltet werden. Was ich verhindern möchte, ich dass der User das Programm startet und dann die Festplatte über das Menü "System-Partition/Laufwerk dauerhaft entschlüsseln" kann.
Am besten würde es mir gefallen, wenn das gesamte TrueCrypt Menü noch mit einem weiteren seperaten Kennwort geschützt ist.

Hoffe das ich mich so etwas besser ausgedrückt habe. Sorry

Vielen Dank für die Unterstützung
Lochkartenstanzer
Lochkartenstanzer 16.10.2012 aktualisiert um 12:20:34 Uhr
Goto Top
Zitat von @Patrick-W:
Hallo IKS (sorry haben den Gruß vorher vergessen ;) )

die Platte so durch die PreBoot Authentifikation entschlüssel bzw. freigeschaltet werden.

Und was ist der Sicherheitsgewinn dabei? Oder wollt Ihr nicht die Daten des Notebooks gegen Diebstahl des Notebooks sichern.

Wenn der Benutzer das Paßwort nicht eingeben muß/darf, muß die Platte automatisch entschlüsselt werden, so daß der key irgendwo auf dem Notebook abgelegt werden müßte (oder Stick). Dann kann man aber ohne Probleme den key extrahieren und die Platte entschlüsseln.

Oder der Benutzer muß den Key/die Passphrase manuell eingeben, dann kann er die Platte aber entschlüsseln. Wenn nicht mit dem truecrypt auf der Platte, so doch mit Portable-Truecrypt und Bootmedium und/oder zweitem Rechner.

Irgendwie sehe ich den Sinn dahinter nicht. Man könnte natürlich durch GPOs oder manuelle Änderugn der ACLs dem Benutzer verbieten, truecrypt aufzurufen, aber das wäre imho kein Sicherheitsgewinn.

lks


Nachtrag:

Beschreibe mal das Angriffsszenario, gegen das Euch truecrypt scützen soll. Denn vor dem Benutzer kann es nicht sein, wenn er mit der Platte arbeiten muß.
Patrick-W
Patrick-W 16.10.2012 um 12:30:33 Uhr
Goto Top
Hallo,

so wie es aussieht, habe ich schon bißchen was gefunden. Zwar noch nicht die Perfekte Lösung aber naja. Werde die Notebook einfach mit dem Programm Verschlüsseln (Mobil Version) und dann ist es gut. Dann ist das Programm nicht mehr auf dem PC vorhanden und die User können nicht mal ebend schnell das System entschlüssen.

Zum verständis erkläre trotzdem kurz den genau Hintergrund.

Alle Systeme sollen Verschlüsselt werden und mit einr Pre Boot Authentifiktion geschützt sein. Diese Kennwort bekommt der User natürlich. Was aber verhindet werden soll, ist das der User das System wieder entschlüsseln kann. Um sicher zu gehen, dass es wirklich verschlüsselt bleibt. Bei den Vorher genutzten Programmen war das Administrationstool Kennwort geschützt, sodass der User ohne das Kennwort, keine Chance hatte die Platte zu entschlüsseln. An sowas habe ich bei Truecrypt auch gedacht.
Vielleicht gibt es hier sowas ja trotzdem noch (Programmintern) und ich hab mich vorher nur schlecht ausgedrückt.

Gruß
Lochkartenstanzer
Lochkartenstanzer 16.10.2012 aktualisiert um 12:42:46 Uhr
Goto Top
Zitat von @Patrick-W:

Was aber verhindet werden soll, ist das der User das System wieder entschlüsseln kann. Um sicher zu
gehen, dass es wirklich verschlüsselt bleibt.

Was soll den User (außer seinem gewissen dem Arbeitsvertrag) daran hindern die Platte in einen zweiten Rechner zu stecken und per trucrypt wieder zu entschlüsseln?

Das schützt zwar vor Diebstahl des Notebooks, aber vor dem User, der das preebot-Paßwort weiß, schützt es nicht.


Versteh mich nicht falsch, Du kannst es so machen, um den Benutzer daran zu hindern mal schnell die Platte zu entschlüsseln aber ein Schutz gegen ihn ist das nicht. Da wären Betriebsvereinbarungen udn Arbeitsverträge besser geeignet.

lks
Patrick-W
Patrick-W 16.10.2012 um 12:45:15 Uhr
Goto Top
Klar der USer kann das noch machen. Dazu muss er aber wirklich die abischt haben. Hintergrund ist in erster Linie der Schutz beim diebstahl. Dieser ist natürlich nur gegeben, wenn die Platte auch verschlüsselt bleibt! Und dies möchte ich irgendwie zu einem gewissen maße sicherstellen.
108012
108012 16.10.2012 um 13:20:55 Uhr
Goto Top
Auch kein hallo Patrick-W ,

(sorry haben den Gruß vorher vergessen ;) )
Na dann mal schnell an der rechten Seite den "Bearbeiten" Knopf gefunden und einfach ein "Hallo" eingetippt.

Ich persönlich finde es gibt zwei praktikable Wege das ganze zu lösen.

1. Du kaufst eine sich selbst verschlüsselnde Festplatte von Intel oder Toshiba, wenn das Notebook im Bios
eine PreBoot Authentifizierung unterstützt!

Vorteil:
Die Verschlüsselung findet voll automatisch auf der HDD statt!
Bei einem s.g. BlueScreen kann kein Bit "kippen" und die Platte wird unbrauchbar, wie bei einer
Softwarelösung.

Nachteil:
Das Passwort muss immer eingegeben werden


2. Du benutzt dynamische TrueCrypt Container und einen externen Zertifikatsspeicher für den Schlüssel.

Vorteil:
Geräte unabhängige Verschlüsselung.
Der TC Container kann versteckt werden!
Bei Diebstahl befindet sich der Schlüssel nicht auf dem Gerät!
Der TC Container kann sehr einfach in die Backup Strategie mit einbezogen werden.

Nachteil:
Extra USB Stick muss angeschafft werden (Kosten)

Es ist doch so, dass man die Kosten, die Anforderungen, den Bedarf und vor allem anderen den Nutzen
sorgfältig mit und gegen einander abgleichen sollte und praktikabel sollte es auch noch sein.

Sind die Daten auf dem Laptop so wichtig oder Unternehmens kritisch dann sollte man vielleicht auch einmal darüber nachdenken ob es überhaupt Sinn macht den Mitarbeitern so etwas auszuhändigen, denn wenn Du, der die Leute vor ja kennt, denen schon nicht so richtig traust, was soll da denn noch sicher gemacht werden.

Fällt jemandem das Laptop in die Hände wenn es eingeschaltet ist sind die Daten auch futsch oder schnell kopiert. Einen TC Container kann man aber schnell schließen und "unmounten" und dann den USB Stick abziehen,
das war es dann erst einmal, denn wenn dieser versteckt ist und der Schlüssel nicht greifbar dann nützt
das Notebook niemandem etwas. Nur dafür sollte auch klar sein und zwar einem jeden Anwender/Mitarbeiter
das die wichtigen Daten nur dort abzulegen sind und nirgendwo anders.

Gruß
Dobby
Haumiblau
Haumiblau 16.10.2012 um 13:21:14 Uhr
Goto Top
Hallo,

Also so wie ich das jetzt verstanden habe, wollt ihr verhindern, dass ein User aus Bequemlichkeitsgründen die Platte wieder permanent entschlüßelt, damit er das Passwort nicht immer bei jedem Neustart eingeben muss. Ist das so richtig?

Grüße
Patrick-W
Patrick-W 16.10.2012 um 13:31:19 Uhr
Goto Top
Hallo,
Ja genau, das ist zum Beispiel auch ein Hintergrund.

Gruß
patrick
Lochkartenstanzer
Lochkartenstanzer 16.10.2012 um 14:06:52 Uhr
Goto Top
Zitat von @Patrick-W:
Hallo,
Ja genau, das ist zum Beispiel auch ein Hintergrund.

Solange Dir bewußt ist, daß Die Benutzer könnten, wenn Sie wollten, ist das o.k.

haben die user lokale Admin-rechte, oder sind es nur einfache Benutzer? Im letzteren fall, kanns Du einfach die berechtigunen so setzen, daß sie das programm nciht benutzern dürfen.

Einem Admin higegen eine Programmbenutzung zu verwehren, ist faktisch fast unmöglich (nur mti großen Klöimmzügen).

lks
nikoatit
nikoatit 16.10.2012 aktualisiert um 15:20:05 Uhr
Goto Top
Zitat von @Patrick-W:
Hallo,
Moin,
so wie es aussieht, habe ich schon bißchen was gefunden. Zwar noch nicht die Perfekte Lösung aber naja. Werde die
Notebook einfach mit dem Programm Verschlüsseln (Mobil Version) und dann ist es gut. Dann ist das Programm nicht mehr auf dem
Mit der portablen Version kannst du die Platte nicht verschlüsseln!

Desweiteren sehe ich das wie Lochkartenstanzer und sehe da nicht sehr viel Sinn drin...
Gruß
Gruß zurück
DerWoWusste
DerWoWusste 17.10.2012 um 20:27:23 Uhr
Goto Top
Moin.

Dein Anliegen wird mir nicht klar: Schutz gegen die Nutzung der installierten Truecrypt.exe kannst Du mit NTFS-Rechten machen, klar. Schutz gegen eine mobile Truecrypt.exe bietet das jedoch nicht: ein User der damit auf einem USB-Stick anrückt und das Kennwort hat, kann natürlich entschlüsseln... auszubauen braucht er dafür nicht, Adminrechte jedoch schon.

Was mich jedoch stutzen lässt, ist der Satz "Hintergrund ist in erster Linie der Schutz beim Diebstahl" - Diebstahl durch wen, den Nutzer selbst? Wenn nicht, also ein Fremder stiehlt, der das Kennwort nicht hat, kann er auch nicht entschlüsseln. Oder was willst Du damit ausdrücken?
Lochkartenstanzer
Lochkartenstanzer 17.10.2012 um 22:05:25 Uhr
Goto Top
Moin,

wenn ich denn TO richtig verstanden habe, will er sich nur davor schützen, daß die benutzer allzueinfach die verschlüsselung der Platte wieder Rückgängig machen, um so eingie Umbequemlichkeiten loszuwerden (Paßworteinagbe, Performanceverluste, etc.).

Das ist so ähnlich wie der Schutz mit dem paßwortgeschpützten Bildschirmschoner von Win95, der zwar verhindert hat, daß die neugiereig Putzfrau da mal einen Blick draufgeworfen hat, aber den Kollegen, der zeit und Mußte hatte ncith abgehalten hat.

lks
108012
108012 17.10.2012 um 22:38:53 Uhr
Goto Top
Hallöle,

Mal angenommen der TO würde jetzt sich selbst verschlüsselnde HDD einbauen und das Bios unterstützt diese
PreBoot Authentifikation mittels Passworteingabe, dann wäre doch alles erledigt.

Fertig ist der Lack und alles ist geregelt, sicher das kostet Geld, aber Sicherheit kostet halt immer
auch etwas.

Gruß
Dobby
Patrick-W
Patrick-W 18.10.2012 um 06:39:09 Uhr
Goto Top
Guten morgen,

vielen Dank für die vielen Tipps. Werd einfach selbst Verschlüsselnde Platten einsetzten und gut ist.

Gruß
Patrick-W
DerWoWusste
DerWoWusste 18.10.2012 um 09:07:11 Uhr
Goto Top
Werd einfach selbst Verschlüsselnde Platten einsetzten und gut ist.
Wenn Du dann noch das Bios ausreichend schützt (wie?), damit der Nutzer dort das Kennwort nicht einfach entfernt...
108012
108012 18.10.2012 um 12:18:04 Uhr
Goto Top
Hallo DWW,

wenn das der Fall ist ist das für mich das selbe, als wenn der Benutzer den Mail Account in der Personalabteilung "haxkt" um zu sehen was mit seiner Gehaltserhöhung ist, dann muss er eben gegangen werden oder einmal für den Schaden aufkommen, damit er sich das merkt!

Oder die Gratifikation am Ende das Jahres fehlt eben oder das freiwillig gezahlte Weihnachtsgeld oder was sonst richtig weh tut.

Gruß
Dobby
DerWoWusste
DerWoWusste 18.10.2012 um 19:18:48 Uhr
Goto Top
Ich verstehe nicht, warum Adminrechte (die der User ja nicht hat) als Grenze nicht ausreichen.