27
Verschlüsselung Notebook VeraCrypt
Tag Leute,
Wir müssen absofort unsere Notebooks verschlüsseln. Dazu wurde mir VeraCrypt empfohlen.
Hat damit jemand bereits Erfahrung?
Muss ich dazu das System formatieren?
Schöne Grüße
Martin
Wir müssen absofort unsere Notebooks verschlüsseln. Dazu wurde mir VeraCrypt empfohlen.
Hat damit jemand bereits Erfahrung?
Muss ich dazu das System formatieren?
Schöne Grüße
Martin
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 309178
Url: https://administrator.de/contentid/309178
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
27 Kommentare
Neuester Kommentar
Hier findest du alles was du zu diesem Thema wissen musst:
http://www.heise.de/ct/ausgabe/2016-14-Ein-Blick-hinter-die-Kulissen-de ...
und für die Praxis:
http://www.heise.de/ct/ausgabe/2016-14-Mit-VeraCrypt-Festplatten-Ordner ...
Fazit: Aktuelles ct' Heft am Kiosk kaufen oder downloaden !
http://www.heise.de/ct/ausgabe/2016-14-Ein-Blick-hinter-die-Kulissen-de ...
und für die Praxis:
http://www.heise.de/ct/ausgabe/2016-14-Mit-VeraCrypt-Festplatten-Ordner ...
Fazit: Aktuelles ct' Heft am Kiosk kaufen oder downloaden !
veracrypt ist soweit bekannt sehr sicher, aber es kein zurück. die wichtigen Daten sollten nicht auf dem Notebook gesichert sein.
geht das Passwort verloren, ists aus.
geht das Passwort verloren, ists aus.
, aber es kein zurück.
Bahnhof ??Das ist übrigens generell bei allen Verschlüsselern so. Passwort weg Daten weg... Solchen simplen Binsenweisheiten weiss man aber auch als Laie !
Zitat von @Marabunta:
veracrypt ist soweit bekannt sehr sicher, aber es kein zurück. die wichtigen Daten sollten nicht auf dem Notebook gesichert sein.
geht das Passwort verloren, ists aus.
Doch, da gibt was ganz neumodisches, nennt sich Backup veracrypt ist soweit bekannt sehr sicher, aber es kein zurück. die wichtigen Daten sollten nicht auf dem Notebook gesichert sein.
geht das Passwort verloren, ists aus.
das gehört zu nicht auf dem Laptop gesichert...
hab mich etwas knapp ausgedrückt =)
hab mich etwas knapp ausgedrückt =)
nein, es gibt auch welche bei denen es masterschlüssel, rücksetzbare passwörter oder zweitpasswörter...
Zitat von @Marabunta:
veracrypt ist soweit bekannt sehr sicher, aber es kein zurück. die wichtigen Daten sollten nicht auf dem Notebook gesichert sein.
geht das Passwort verloren, ists aus.
[ ] Du hast den Sinn einer Verschlüsselung verstandenveracrypt ist soweit bekannt sehr sicher, aber es kein zurück. die wichtigen Daten sollten nicht auf dem Notebook gesichert sein.
geht das Passwort verloren, ists aus.
[X] Du hast keine Ahnung wovon du redest
Der Sinn einer Verschlüsselung ist es, das man ohne den zugehörigen Schlüssel nicht an die Daten heran kommt. Genau da sollte man "wichtige Daten" speichern.
Moin.
@aqui: ich kenne veracrypt seit langem, sowie mindestens 10 weitere Verschlüsseler. Der Artikel bewertet es als "Projekt mit Hand und Fuß", dabei ist es das doch nun wirklich nicht. Es lässt sich zur Vollverschlüsselung nur auf MBR-Platten nutzen - daran wird ja immerhin schon gearbeitet und eine Lösung ist für Oktober in Aussicht gestellt. Aber was viel wichtiger ist: es kennt keine Nutzerhierarchie, jeder darf alles. Das ist für den gesicherten Betrieb in einer Firma ein No-Go. Auch meine Anfrage bezüglich TPM-Unterstützung ist seit Jahr und Tag unbeantwortet, siehe https://veracrypt.codeplex.com/discussions/631068
Ich würde im Firmenumfeld auf keinen Fall auf veracrypt setzen.
@Lauchheimer: warum nicht bitlocker?
@aqui: ich kenne veracrypt seit langem, sowie mindestens 10 weitere Verschlüsseler. Der Artikel bewertet es als "Projekt mit Hand und Fuß", dabei ist es das doch nun wirklich nicht. Es lässt sich zur Vollverschlüsselung nur auf MBR-Platten nutzen - daran wird ja immerhin schon gearbeitet und eine Lösung ist für Oktober in Aussicht gestellt. Aber was viel wichtiger ist: es kennt keine Nutzerhierarchie, jeder darf alles. Das ist für den gesicherten Betrieb in einer Firma ein No-Go. Auch meine Anfrage bezüglich TPM-Unterstützung ist seit Jahr und Tag unbeantwortet, siehe https://veracrypt.codeplex.com/discussions/631068
Ich würde im Firmenumfeld auf keinen Fall auf veracrypt setzen.
@Lauchheimer: warum nicht bitlocker?
Du hast natürlich Recht ! Ich hatte das auch gar nicht bewertet sondern nur auf den Artikel verwiesen. Die Nachteile waren schon in einem früheren KB ct' Artikel angesprochen und bekannt.
http://www.heise.de/ct/hotline/System-Festplatte-mit-VeraCrypt-verschlu ...
Da der TO vermutlich ein Winblows Knecht ist stellt sich wirklich die Frage: "warum nicht Bitlocker?"
http://www.heise.de/ct/hotline/System-Festplatte-mit-VeraCrypt-verschlu ...
Da der TO vermutlich ein Winblows Knecht ist stellt sich wirklich die Frage: "warum nicht Bitlocker?"
es kennt keine Nutzerhierarchie
Warum will ich für eine Vollverschlüsselung eine Benutzerherarchie?Wo ist dabei der Nutzen gegenüber einer Verschlüsselung die bis auf eine Benutzerherarchie zu unterstützen das selbe kann?
Super wäre eine Vollverschlüsselung die auch GPT kann und bei der man auch das OS immer upgraden kann ohne die Verschlüsselung aufheben zu müssen und neu zu machen.
Gruß
Chonta
Warum will ich für eine Vollverschlüsselung eine Benutzerherarchie?
Wo ist dabei der Nutzen gegenüber einer Verschlüsselung die bis auf eine Benutzerherarchie zu unterstützen das selbe kann?
Ganz einfach: willst Du, dass sich der Nutzer selbst zum Admin machen kann mit einfachsten Mitteln? Nein? Dann braucht Deine Verschlüsselung eine Nutzerhierarchie. Hat Sie keine, mountet der Nutzer die Platte von Sseiner Bootdisk und macht sich zum Admin oder manipuliert das OS anderweitig.Wo ist dabei der Nutzen gegenüber einer Verschlüsselung die bis auf eine Benutzerherarchie zu unterstützen das selbe kann?
Super wäre eine Vollverschlüsselung die auch GPT kann und bei der man auch das OS immer upgraden kann ohne die Verschlüsselung aufheben zu müssen und neu zu machen.
Kann Bitlocker beides, ebenso die Nutzerhierarchie.
Wenn ich das richtig verstanden habe gibt es Bitlocker nur auf Ultimate und Enterprise. Ich habe Professionel.
Wir sind ein kleines Unternehmen und haben nur einen User pro Notebook. Deshalb denke ich, dass ich keine Nutzerhirarchie brauche.
Wir sind ein kleines Unternehmen und haben nur einen User pro Notebook. Deshalb denke ich, dass ich keine Nutzerhirarchie brauche.
Zitat von @Lauchheimer:
Wenn ich das richtig verstanden habe gibt es Bitlocker nur auf Ultimate und Enterprise. Ich habe Professionel.
Wenn ich das richtig verstanden habe gibt es Bitlocker nur auf Ultimate und Enterprise. Ich habe Professionel.
Wikipedia
BitLocker ist eine Festplattenverschlüsselung des Unternehmens Microsoft, die serverseitig ab Windows Server 2008 und clientseitig in den Ultimate- und Enterprise-Versionen von Windows Vista und Windows 7, sowie den Pro- und Enterprise-Versionen von Windows 8, Windows 8.1 und Windows 10 enthalten ist.[1][2]
BitLocker ist eine Festplattenverschlüsselung des Unternehmens Microsoft, die serverseitig ab Windows Server 2008 und clientseitig in den Ultimate- und Enterprise-Versionen von Windows Vista und Windows 7, sowie den Pro- und Enterprise-Versionen von Windows 8, Windows 8.1 und Windows 10 enthalten ist.[1][2]
Dann stellt sich die Frage, warum Du nicht auf Windows 10 migrierst. Mit Windows 10 hättest Du Bitlocker inklusive.
Nebenbei gefragt: haben die Notebooks TPM-Chips?
Habt ihr eine Domäne?
Nebenbei gefragt: haben die Notebooks TPM-Chips?
Habt ihr eine Domäne?
Und die Migration ist sogar kostenlos...noch !
Zitat von @Kraemer:
[ ] Du hast den Sinn einer Verschlüsselung verstanden
[X] Du hast keine Ahnung wovon du redest
Der Sinn einer Verschlüsselung ist es, das man ohne den zugehörigen Schlüssel nicht an die Daten heran kommt. Genau da sollte man "wichtige Daten" speichern.
[ ] Du hast den Sinn einer Verschlüsselung verstanden
[X] Du hast keine Ahnung wovon du redest
Der Sinn einer Verschlüsselung ist es, das man ohne den zugehörigen Schlüssel nicht an die Daten heran kommt. Genau da sollte man "wichtige Daten" speichern.
Gebe ich gerne zurück
[ ] Du hast den Sinn einer Verschlüsselung verstanden
[X] Du hast keine Ahnung wovon du redest
Größere Unternehmen verschlüsseln auch die Notebooks etc., aber die wichtigen Daten liegen redundant auf geschützen Shares\Servern... nicht auf dem Laptop eines Mitarbeiters wo die wichtigen Daten sehr schnell verloren gehen können.
Der Schutz auf Laptops ist u.a. für Diebstahlschutz und den Folgen wenn jemand Zugriff auf die Lokalen Daten bekommt. Emails, Passwörter...
Du bist echt schlimm. Wenn keine Daten auf dem Rechner liegen, dann brauchst du auch nichts Verschlüssen!
Wie gesagt Mails, ggf. unsicher abgelegte Passwörter, WLAN Passwörter und andere missbrauchbare Daten.
Für Social Engineering braucht man auch nicht viel.
Eine pauschale Verschlüsselung ist sehr wohl wichtig und nützlich.
Für Social Engineering braucht man auch nicht viel.
Eine pauschale Verschlüsselung ist sehr wohl wichtig und nützlich.
Ich kann Locky empfehlen - verschlüsselt recht zuverlässig.
Spaß beiseite - Ich kann aus eigener Erfahrung Bitlocker empfehlen.
Spaß beiseite - Ich kann aus eigener Erfahrung Bitlocker empfehlen.
Zählen wir einmal durch.
es wurden 19 Antworten gegeben und unter diversen Nettigkeiten nur ein Beitrag vom Autoren Lauchheimer.
LH, wie sieht's aus?
Ich könnte noch hinzufügen, dass Dein "haben nur einen User pro Notebook. Deshalb denke ich, dass ich keine Nutzerhirarchie brauche" evtl zu kurz gedacht ist, je nachdem, wie Eure Anforderungen sind. Ich denke, auch Ihr als Admins meldet euch an diesen Notebooks an - schon habt Ihr zwei Nutzer. Gebe ich einem Nutzer das Veracrypt-Kennwort, kann er mit der Platte alles machen, auch Keylogger installieren, um Adminkennwörter aufzuzeichnen und schon hast Du den Salat. Nicht so bei Bitlocker+TPM.
Also: mehr Feedback und Du bekommst bessere Beratung.
es wurden 19 Antworten gegeben und unter diversen Nettigkeiten nur ein Beitrag vom Autoren Lauchheimer.
LH, wie sieht's aus?
Ich könnte noch hinzufügen, dass Dein "haben nur einen User pro Notebook. Deshalb denke ich, dass ich keine Nutzerhirarchie brauche" evtl zu kurz gedacht ist, je nachdem, wie Eure Anforderungen sind. Ich denke, auch Ihr als Admins meldet euch an diesen Notebooks an - schon habt Ihr zwei Nutzer. Gebe ich einem Nutzer das Veracrypt-Kennwort, kann er mit der Platte alles machen, auch Keylogger installieren, um Adminkennwörter aufzuzeichnen und schon hast Du den Salat. Nicht so bei Bitlocker+TPM.
Also: mehr Feedback und Du bekommst bessere Beratung.
Kurze blöde Frage:
Warum kann er damit alles machen? Nur, weil er auf seine Platte im Laptop zugreifen kann, hat er ja noch keinen Zugriff auf den Admin.
Ich habe ja immernoch den eingeschränkten Benutzer usw., oder was übersehe ich gerade?
Oder ist es, wenn ich die Platte dann als zweite Platte in einen anderen Rechner einhänge, ich mit dem Passwort den Container öffnen kann und dann dort ein bisschen unwesen treiben kann?
Warum kann er damit alles machen? Nur, weil er auf seine Platte im Laptop zugreifen kann, hat er ja noch keinen Zugriff auf den Admin.
Ich habe ja immernoch den eingeschränkten Benutzer usw., oder was übersehe ich gerade?
Oder ist es, wenn ich die Platte dann als zweite Platte in einen anderen Rechner einhänge, ich mit dem Passwort den Container öffnen kann und dann dort ein bisschen unwesen treiben kann?
Hallo,
Veracrypt kannst Du auch von einer BootCD booten die entsprechend prepariert ist oder in einem anderen System mounten.
Wenn das Teil "entschlüsselt" ist kannst Du darauf zugreifen wie Du lutig bist.
So wie ich das verstanden habe geht das bei Multiuser Bitlocker nicht, da darf der Benutzer nur booten aber kann die Platte nicht außerhalb des Systems entschlüsseln und so etwas am Bootprozess manipolieren.
Ein Admin kann mit seinem Zugang dann vermutlich mehr als nur das System starten, oder bin ich auf dem falschen Dampfer.
Gruß
Chonta
Veracrypt kannst Du auch von einer BootCD booten die entsprechend prepariert ist oder in einem anderen System mounten.
Wenn das Teil "entschlüsselt" ist kannst Du darauf zugreifen wie Du lutig bist.
So wie ich das verstanden habe geht das bei Multiuser Bitlocker nicht, da darf der Benutzer nur booten aber kann die Platte nicht außerhalb des Systems entschlüsseln und so etwas am Bootprozess manipolieren.
Ein Admin kann mit seinem Zugang dann vermutlich mehr als nur das System starten, oder bin ich auf dem falschen Dampfer.
Gruß
Chonta
Oder ist es, wenn ich die Platte dann als zweite Platte in einen anderen Rechner einhänge, ich mit dem Passwort den Container öffnen kann und dann dort ein bisschen unwesen treiben kann?
"Ein bisschen" ist doch stark untertrieben. Er kann alles machen inklusive Hashes von Kennwörtern angreifen, sich selbst zum Admin machen, Dateien auslesen und komplett enschlüsseln. Er könnte z.B. dem Admin ein nettes Skript in den Autostart legen, dass bei dessen nächster Anmeldung wer weiß was tut.@Chonta
Ein Admin kann mit seinem Zugang dann vermutlich mehr als nur das System starten, oder bin ich auf dem falschen Dampfer.
Admins haben das Recoverypasswort und damit können sie alles machen. User haben nur die Bitlocker PIN und können das System damit nur starten in einer genau definierten Umgebung (nur auf diesem PC und nur beim Booten direkt von Festplatte).
@DerWoWusste
Vielen Dank für die Info.
In meinen Umgebungen hatte ich bisher nur Truecrypt oder Veracrypt im Einsatz (OS bedingt bzw kein TPM)
Bei Bitlockerverschlüsselung wäre es also möglich Window10 von der aktuellen Version auf RedStone zu bringen ohne das die Verschlüsselung rumspinnt?
Gruß
Chonta
Vielen Dank für die Info.
In meinen Umgebungen hatte ich bisher nur Truecrypt oder Veracrypt im Einsatz (OS bedingt bzw kein TPM)
Bei Bitlockerverschlüsselung wäre es also möglich Window10 von der aktuellen Version auf RedStone zu bringen ohne das die Verschlüsselung rumspinnt?
Gruß
Chonta
Ja. Habe ich alles schon gemacht. Auch mit BL-verschlüsseltem Windows 8 ging schon ein Upgrade auf 10. (Auch Vista mit BL konnte man schon suspendieren und auf Win7 upgraden, wenn ich mich nicht täusche).
TPM-Chip haben die Notebooks keinen.
Zur Nutzung des Notebooks:
Es wird mit CAD-SOftware konstruiert. Daten werden schon auf dem Server abgelegt, aber es ist auch immer eine gewisse Menge Daten auf dem Rechner.
Deshalb wird es auch verschlüsselt.
Auf Grund der Software ist eine Installation von Windows 10 noch nicht möglich.
Ich denke ich werde VeraCrypt draufmachen. Wenn ich das richtig gelesen habe, funktioniert das sogar am laufenden System.
Schöne Grüße
Martin
Zur Nutzung des Notebooks:
Es wird mit CAD-SOftware konstruiert. Daten werden schon auf dem Server abgelegt, aber es ist auch immer eine gewisse Menge Daten auf dem Rechner.
Deshalb wird es auch verschlüsselt.
Auf Grund der Software ist eine Installation von Windows 10 noch nicht möglich.
Ich denke ich werde VeraCrypt draufmachen. Wenn ich das richtig gelesen habe, funktioniert das sogar am laufenden System.
Schöne Grüße
Martin
Martin, hast Du meine Einwände denn verstanden?
Ich meine diese:
Ich meine diese:
Ich könnte noch hinzufügen, dass Dein "haben nur einen User pro Notebook. Deshalb denke ich, dass ich keine Nutzerhirarchie brauche" evtl zu kurz gedacht ist, je nachdem, wie Eure Anforderungen sind. Ich denke, auch Ihr als Admins meldet euch an diesen Notebooks an - schon habt Ihr zwei Nutzer. Gebe ich einem Nutzer das Veracrypt-Kennwort, kann er mit der Platte alles machen, auch Keylogger installieren, um Adminkennwörter aufzuzeichnen und schon hast Du den Salat. Nicht so bei Bitlocker+TPM.
