8
Verschlüsselte USB-Sticks - ThinClients - Terminalserver
Anwender sollen verschlüsselte USB-Sticks benutzen (TrueCrypt). Gearbeitet wird an ThinClients, über welche sich mit einer Terminalserverfarm verbunden wird. Die USB-Sticks können nicht auf den ThinClients entschlüsselt werden, also am Terminalserver.
Moin zusammen,
dies ist mein erster Beitrag in diesem Forum, bislang habe ich nur bei Recherchen hin und wieder hereingeschaut.
Ich arbeite in einem EDV-Unternehmen und wir haben nun ein Szenario, in dem wir nicht wirklich weiterkommen. Leider habe ich über google, bzw. in diesem Forum noch keinen ähnlichen Vorfall gesehen.
Also fange ich mal an:
Bei einem Kunden existieren mobile Mitarbeiter, die viele Dokumente auf einem USB-Stick speichern müssen. Aus Datensicherheitsgründen müssen die USB-Sticks verschlüsselt werden, da es um sehr sensible Daten geht.
Die besagten Mitarbeiter arbeiten nun sowohl zuhause an ihren privaten Arbeitsplätzen, als auch in der Firma an ThinClient-Arbeitsplätzen. Mit Hilfe der ThinClients wird sich mit einer Windows Terminalserverfarm verbunden.
Dort sollen besagte Dokumente dann abgelegt werden.
Zu allem Übel kommt hinzu, dass die Bedienung SEHR simpel sein muss. Also, USB-Stick rein -> Passwortabfrage -> Datenzugriff. Sowohl zuhause, als auch am Serversystem.
Wir haben uns hier allerdings auf Windows-Systeme beschränkt.
Nun haben wir schon etwas recherchiert und sind bei TrueCrypt als Verschlüsselungsprogramm hängen geblieben. (Hier muss ich leider etwas Wissen in Bezug auf TrueCrypt voraussetzen)
Mit viel investierter Zeit konnten wir das Arbeiten von Truecrypt soweit vereinfachen, dass unsere gestellten Prämissen erfüllt waren. Das besagte Zauberwort in Truecrypt ist die Favoritenfunktion, mit der verschlüsselte Sektoren automatisch beim Starten von Truecrypt gemountet werden. Beim Einsatz am privaten Arbeitsplatz zuhause funktioniert das tadellos, das Problem ist die Terminalserverfarm. Die wenigen Mitarbeiter, die ein Notebook besitzen, bei denen ist es kein Problem. Wir können den entschlüsselten Bereich einfach bis zum Terminalserver durchreichen. Das Problem sind die ThinClient-Arbeitsstationen.
Installiert man Truecrypt auf einem Terminalserver, so kann dieses durchaus genutzt werden, um eine verschlüsselte Datei, die in einer Remotedesktopverbindung von einem ThinClient durchgereicht wird zu entschlüsseln. Das ganze auch so weit vereinfacht, dass es genutzt werden könnte. Ich sage bewusst könnte, da das Resultat nicht so schön ist. Macht man dies also, wird auf dem Terminalserver mit dem Entschlüsseln der Datei automatisch ein Wechseldatenträger angelegt, in dem die ehemals verschlüsselten Dokumente lagern. Dieser Wechseldatenträger kann allerdings von allen anderen Benutzern, die am Server angemeldet sind, ebenfalls eingesehen werden. Es kann sogar auf dieses Datenträger zugegriffen werden und es können Dokumente überschrieben werden.
Diese "Lösung" kann also nicht umgesetzt werden.
Die ThinClients, die wir einsetzten, sind von der Firma ChipPC. In Rücksprache mit denen konnten wir herausfinden, dass wir nicht auf den ThinClients schon entschlüsseln können, um dann nur noch den entschlüsselten Bereich weiterzugeben.
Ich hoffe ich habe das Szenario ausreichend beschrieben, so dass sich jeder ein Bild machen kann, auch wenn man nicht direkt mit dieser Thematik zu tun hat.
Nun also meine Frage an Euch:
Wir sind weder auf die ThinClients, noch auf TrueCrypt fixiert, kennt Ihr evtl. andere Software/Hardware oder irgendwelche Möglichkeiten, wie dieses Szenario umgesetzt werden kann?
Uns konnte durch dieses Forum schon in vielen Fällen geholfen werden, ich hoffe auch dieses Mal.
Ich bedanke mich für Eure Mühe und Zeit schon einmal im Voraus.
Viele Grüße
Marvin
Moin zusammen,
dies ist mein erster Beitrag in diesem Forum, bislang habe ich nur bei Recherchen hin und wieder hereingeschaut.
Ich arbeite in einem EDV-Unternehmen und wir haben nun ein Szenario, in dem wir nicht wirklich weiterkommen. Leider habe ich über google, bzw. in diesem Forum noch keinen ähnlichen Vorfall gesehen.
Also fange ich mal an:
Bei einem Kunden existieren mobile Mitarbeiter, die viele Dokumente auf einem USB-Stick speichern müssen. Aus Datensicherheitsgründen müssen die USB-Sticks verschlüsselt werden, da es um sehr sensible Daten geht.
Die besagten Mitarbeiter arbeiten nun sowohl zuhause an ihren privaten Arbeitsplätzen, als auch in der Firma an ThinClient-Arbeitsplätzen. Mit Hilfe der ThinClients wird sich mit einer Windows Terminalserverfarm verbunden.
Dort sollen besagte Dokumente dann abgelegt werden.
Zu allem Übel kommt hinzu, dass die Bedienung SEHR simpel sein muss. Also, USB-Stick rein -> Passwortabfrage -> Datenzugriff. Sowohl zuhause, als auch am Serversystem.
Wir haben uns hier allerdings auf Windows-Systeme beschränkt.
Nun haben wir schon etwas recherchiert und sind bei TrueCrypt als Verschlüsselungsprogramm hängen geblieben. (Hier muss ich leider etwas Wissen in Bezug auf TrueCrypt voraussetzen)
Mit viel investierter Zeit konnten wir das Arbeiten von Truecrypt soweit vereinfachen, dass unsere gestellten Prämissen erfüllt waren. Das besagte Zauberwort in Truecrypt ist die Favoritenfunktion, mit der verschlüsselte Sektoren automatisch beim Starten von Truecrypt gemountet werden. Beim Einsatz am privaten Arbeitsplatz zuhause funktioniert das tadellos, das Problem ist die Terminalserverfarm. Die wenigen Mitarbeiter, die ein Notebook besitzen, bei denen ist es kein Problem. Wir können den entschlüsselten Bereich einfach bis zum Terminalserver durchreichen. Das Problem sind die ThinClient-Arbeitsstationen.
Installiert man Truecrypt auf einem Terminalserver, so kann dieses durchaus genutzt werden, um eine verschlüsselte Datei, die in einer Remotedesktopverbindung von einem ThinClient durchgereicht wird zu entschlüsseln. Das ganze auch so weit vereinfacht, dass es genutzt werden könnte. Ich sage bewusst könnte, da das Resultat nicht so schön ist. Macht man dies also, wird auf dem Terminalserver mit dem Entschlüsseln der Datei automatisch ein Wechseldatenträger angelegt, in dem die ehemals verschlüsselten Dokumente lagern. Dieser Wechseldatenträger kann allerdings von allen anderen Benutzern, die am Server angemeldet sind, ebenfalls eingesehen werden. Es kann sogar auf dieses Datenträger zugegriffen werden und es können Dokumente überschrieben werden.
Diese "Lösung" kann also nicht umgesetzt werden.
Die ThinClients, die wir einsetzten, sind von der Firma ChipPC. In Rücksprache mit denen konnten wir herausfinden, dass wir nicht auf den ThinClients schon entschlüsseln können, um dann nur noch den entschlüsselten Bereich weiterzugeben.
Ich hoffe ich habe das Szenario ausreichend beschrieben, so dass sich jeder ein Bild machen kann, auch wenn man nicht direkt mit dieser Thematik zu tun hat.
Nun also meine Frage an Euch:
Wir sind weder auf die ThinClients, noch auf TrueCrypt fixiert, kennt Ihr evtl. andere Software/Hardware oder irgendwelche Möglichkeiten, wie dieses Szenario umgesetzt werden kann?
Uns konnte durch dieses Forum schon in vielen Fällen geholfen werden, ich hoffe auch dieses Mal.
Ich bedanke mich für Eure Mühe und Zeit schon einmal im Voraus.
Viele Grüße
Marvin
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 169237
Url: https://administrator.de/contentid/169237
Ausgedruckt am: 19.11.2024 um 07:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
ich verstehe nicht warum ihr den Datenabzug erlaubt wenn ihr Terminalserver habt!?
Wiso gibt ihr nicht die Möglichkeit frei auf den Terminalserver über das böse Inet zu arbeiten?
Gruß
Gorse
ich verstehe nicht warum ihr den Datenabzug erlaubt wenn ihr Terminalserver habt!?
Wiso gibt ihr nicht die Möglichkeit frei auf den Terminalserver über das böse Inet zu arbeiten?
Gruß
Gorse
Moin,
erstmal vielen Dank für Deine Antwort.
Jetzt muss ich nochmal nachfrage.
Was meinst Du mit Datenabzug?
Dass die Leute, die ebenfalls am Terminalserver angemeldet sind, auf den erstellten Wechseldatenträger zugreifen können, liegt an TrueCrypt. Ich habe noch keine Einstellung in TrueCrypt gefunden, die diese Funktion unterbindet.
Gruß
Marvin
erstmal vielen Dank für Deine Antwort.
Jetzt muss ich nochmal nachfrage.
Was meinst Du mit Datenabzug?
Dass die Leute, die ebenfalls am Terminalserver angemeldet sind, auf den erstellten Wechseldatenträger zugreifen können, liegt an TrueCrypt. Ich habe noch keine Einstellung in TrueCrypt gefunden, die diese Funktion unterbindet.
Gruß
Marvin
Hallo,
nein ich meine das hier:
Das ist das Problem vom Mounten.
ist es eine Traveller Disk?
Gruß
Gorse
nein ich meine das hier:
Bei einem Kunden existieren mobile Mitarbeiter, die viele Dokumente auf einem USB-Stick speichern müssen.
auf den erstellten Wechseldatenträger zugreifen können.
Das ist das Problem vom Mounten.
ist es eine Traveller Disk?
Gruß
Gorse
Hi,
ja genau das hängt mit dem Mounten zusammen. Das ganze läuft als Traveller Disk bzw. volle Installation, wobei das keine Rolle spielt, meines Wissens nach.
Dass nicht auf dem Terminalserver übers Internet gearbeitet wird, liegt an deren Management. Die haben, als das damals beschlossen wurde wohl dagegen gestimmt. (Aber ich stecke da nicht so 100% drin, dass ich das genau beantworten kann).
Gruß
Marvin
ja genau das hängt mit dem Mounten zusammen. Das ganze läuft als Traveller Disk bzw. volle Installation, wobei das keine Rolle spielt, meines Wissens nach.
Dass nicht auf dem Terminalserver übers Internet gearbeitet wird, liegt an deren Management. Die haben, als das damals beschlossen wurde wohl dagegen gestimmt. (Aber ich stecke da nicht so 100% drin, dass ich das genau beantworten kann).
Gruß
Marvin
hoi,
welche OS Version fahren die ThinClients und von welcher masse reden wir?
gruß
Gorse
welche OS Version fahren die ThinClients und von welcher masse reden wir?
gruß
Gorse
Hoi,
vielen Dank für die Antwort.
Die ThinClient fahren mit Windows CE 6.0.
Wir sind derzeit bei einer Menge von ca. 15, es soll aber bis Ende des Jahres auf etwa 20-25 aufgestockt werden.
Grüße
vielen Dank für die Antwort.
Die ThinClient fahren mit Windows CE 6.0.
Wir sind derzeit bei einer Menge von ca. 15, es soll aber bis Ende des Jahres auf etwa 20-25 aufgestockt werden.
Grüße
Hallo,
ich denke mal am Terminalserver wird die Entschlüsselung nicht so einfach funktionieren.
Eine Möglichkeit ist es eine "Zentrale" Kopierstation einzurichten.
Du wechselst die ThinClients und suchst dir welche mit XP emb bei denen du möglichkeiten hast etwas zu installieren.
Kann mir eigentlich nicht vorstellen das es bei ChiPC nicht funktioniert dann musste halt mal bei Igel schauen.
Eigenlich sollte es reichen sich als Admin anzumelden, den Schreibfilter raus. Neu starten und installieren. Schreibfilter wieder aktivieren.
Vielleicht hilft dir auch dies hier:
http://allthingsmarked.com/2006/09/06/howto-mount-and-explore-truecrypt ...
Euch ist aber schon bewusst das ihr nur den Transport der Daten schützt aber nicht den Klau oder die "Verseuchung"?
Gruß
Gorse
ich denke mal am Terminalserver wird die Entschlüsselung nicht so einfach funktionieren.
Eine Möglichkeit ist es eine "Zentrale" Kopierstation einzurichten.
Du wechselst die ThinClients und suchst dir welche mit XP emb bei denen du möglichkeiten hast etwas zu installieren.
Kann mir eigentlich nicht vorstellen das es bei ChiPC nicht funktioniert dann musste halt mal bei Igel schauen.
Eigenlich sollte es reichen sich als Admin anzumelden, den Schreibfilter raus. Neu starten und installieren. Schreibfilter wieder aktivieren.
Vielleicht hilft dir auch dies hier:
http://allthingsmarked.com/2006/09/06/howto-mount-and-explore-truecrypt ...
Euch ist aber schon bewusst das ihr nur den Transport der Daten schützt aber nicht den Klau oder die "Verseuchung"?
Gruß
Gorse
Wie wäre es denn mit einem hardwaremäßig verschlüsselten Stick ?
Nachfolgend 1 Beispiel von vielen.
http://www.techgalerie.de/1774/verschluesselter_usb-stick_4gb_mit_selbs ...
Nachfolgend 1 Beispiel von vielen.
http://www.techgalerie.de/1774/verschluesselter_usb-stick_4gb_mit_selbs ...
