dressa
Goto Top

Wie kann ich ein Netzwerklaufwerk mit TrueCrypt verschlüsseln?

Hallo zusammen.

Ich habe die Aufgabe bekommen in Windows 7 per TrueCrypt 7.1 ein Netzwerklaufwerk zu verschlüsseln.


So sieht die Umgebung aus.
Ich loge mich in unsere VMWare-Testumgebung (Windows 7) ein.
Die Systempartition ist bereits mit TrueCrypt verschlüsselt.
In VMWare habe ich ein noch nicht verschlüsseltes Laufwerk gemountet.
Das Laufwerk ist also in der VM als Netzwerklaufwerk mit dem Laufwerksnamen Z: sichtbar und ich kann auch darin Daten schreiben.
Nun muss ich Z: ebenfalls mit TrueCrypt verschlüsseln.
Doch in TrueCrypt ist der laufwerksnamen Z: nicht verfügbar.
Egal welchen Buchstaben ich dem Netzwerklaufwerk gebe, dieser Buchstabe ist nie in TrueCrypt verfügbar.

Wie kann ich nun dieses Laufwerk verschlüsseln ?

Vielen Dank für eure Hilfe.
Dressa

Content-ID: 191431

Url: https://administrator.de/forum/wie-kann-ich-ein-netzwerklaufwerk-mit-truecrypt-verschluesseln-191431.html

Ausgedruckt am: 27.12.2024 um 12:12 Uhr

108012
108012 18.09.2012 um 18:29:49 Uhr
Goto Top
Hallo Dressa,

kannst Du mal den Link zur TrueScript Webseite posten?
Danke.

Gruß
Dobby
dressa
dressa 18.09.2012 um 18:33:31 Uhr
Goto Top
Hallo D.o.b.b.y
Das ist der Link zur Webseite

http://www.truecrypt.org/

Gruss dressa
108012
108012 18.09.2012 um 18:36:06 Uhr
Goto Top
Hallo Dressa,

sehr nett von Dir, das habe ich mir schon fast gedacht, möchtest Du nicht lieber auch in der Überschrift
TrueCrypt statt TrueScript schreiben, ich meine ja nur das gibt bestimmt mehr Leute die sich das hier mal anschauen, nur meine Meinung.

Gruß
Dobby
dressa
dressa 18.09.2012 aktualisiert um 18:41:23 Uhr
Goto Top
Ohh jee...


Vor lauter suchen und lesen hab ich mich jetzt grad ziemlich vertan.

Sorry.

Natülich hab ich sofort meine Frage richtig geschrieben

Peinich Peinlich...

Gruss Dressa
Hubert.N
Hubert.N 18.09.2012 um 19:21:53 Uhr
Goto Top
Moin

Schon mal im Userguide gesucht ? -> Sharing over Network

Im Grunde genommen ganz einfach: Ein Netzlaufwerk kannst du nicht verschlüsseln. Du kannst es auf der Maschine,, wo es physikalisch liegt verschlüsseln, dort mounten und die Freigaben nutzen.

Gruß

Hubert
Alchimedes
Alchimedes 18.09.2012 um 20:42:43 Uhr
Goto Top
Nabend,

Hubert hat es im Grunde fast richtig geschrieben.

Die Serverfreigabe sagen wir \\mein\server\Wichtige Daten .... da kannst Du mit Truecrypt einen Verschluesselten Ordner anlegen.

Diesen kannst Du dann auch ueber den Client mounten, jedoch muss natuerlich auf dem Client Truecrypt installiert
und das Passwort vorhanden sein.

Systempartition verschluesselt? wie bootet Ihr dann ?


Gruss
Hubert.N
Hubert.N 18.09.2012 um 20:53:40 Uhr
Goto Top
Systempartition verschluesselt? wie bootet Ihr dann ?

Ähhh... - Anschalten, Kennwort eingeben, glücklich sein ?!
Lochkartenstanzer
Lochkartenstanzer 18.09.2012 um 20:55:55 Uhr
Goto Top
Zitat von @Hubert.N:
> Systempartition verschluesselt? wie bootet Ihr dann ?

Ähhh... - Anschalten, Kennwort eingeben, glücklich sein ?!

same here.

Allerdings muß man aufpassen, weil der trucrypt-bootloader sich nicht mit andern bootloadern verträgt, die sich auch in den Bereich hinter den MBR schreiben wollen (z.B. grub2). Dann muß man wohl oder über mit blocklisten arbeiten.

lks
Alchimedes
Alchimedes 18.09.2012 um 21:28:44 Uhr
Goto Top
Hey HubertN,

das geht leider nicht immer so.

Was ist wenn es verschiedene Partitionen gibt? Dann muss Truecrypt ja vor dem mbr liegen...
Bei einer Partition ( b.z.w Betriebssystem) ist das wohl kein Problem.


@ Lochkartenstanzer

in Grub mit Blocklisten arbeiten? oder hab ich da grad was nicht verstanden?

Danke und Gruss!
Lochkartenstanzer
Lochkartenstanzer 18.09.2012 aktualisiert um 21:55:27 Uhr
Goto Top
Zitat von @Alchimedes:
@ Lochkartenstanzer

in Grub mit Blocklisten arbeiten? oder hab ich da grad was nicht verstanden?

grub2 installiert sich ja üblicherweise ind den MBR + nachfolgendes Sektoren. Da die erste Partition meist bei Sektor 63 oder später beginnt, ist das kein Problem und core.img wird direkt hinter den mbr gepackt.

Wenn nun da aber truecrypt sitzt, funktioniert das nicht und grub2 muß in den Partitionsbootsektor geschrieben werden. da aber hintendran kein Platz ist, braucht der bootlader im bootsector von grub2 eine Blockliste, wo die Blöcke, die core.img enthalten, sind. Da aber das nun in einem Dateisystem liegt, muß man, falls sich core.img verschiebt, die Blockliste nachführen.


Aber man kann auf die Art und weise eine verschlüsselte Systempartition von windows haben und ggf per grub2 ein linux mit verschlüsseltem rootfs hochfahren.

gruß

lks
Alchimedes
Alchimedes 18.09.2012 um 22:11:19 Uhr
Goto Top
Nabend,

@lks

das werde ich mir mal genauer anschauen.

Grub installiert sich natuerlich in den mbr, aber wie erkennt Grub dann die dahinter liegenden Partitionen?

ah ja... das hier ist eine Loesung:


http://wiki.ubuntuusers.de/Dualboot_verschl%C3%BCsseln

Gruss
DerWoWusste
DerWoWusste 19.09.2012 aktualisiert um 01:04:45 Uhr
Goto Top
Moin.

Das Problem muss erst mal verständlicher beschrieben werden, finde ich.
Die Systempartition ist bereits mit Truecrypt verschlüsselt.
Soweit, so gut.
In VMWare habe ich ein noch nicht verschlüsseltes Laufwerk gemountet
Unverständlich/zweideutig. Schreib doch etwas Eindeutiges wie: "ich habe dem virtuellen win7 ein Netzlaufwerk hinzugefügt, das eine Freigabe eines anderen Rechners mountet. Problem ist nun, dass die freigegebenen Ordner unverschlüsselt sind" - ist es das, was Du auszudrücken versuchst?
Wenn ja, warum willst Du nun dies Laufwerk überhaupt verschlüsseln? Wogegen willst Du schützen, welchen potentiellen Angriffsfall siehst Du?

Man verschlüsselt als Client keine Laufwerke vernetzter Rechner. Totaler Humbug. Der PC, der die Freigabe stellt ("Server"), kann allenfalls die Freigabe verschlüsseln, warum sollte dies Dein Win7 ("Client") tun wollen?
Nochmal: wozu das Ganze?

Dann zu Truecrypt und booten: Man kann auch mit Truecrypt verschlüsselte Systempartitionen automatisch ohne Schlüsseleingabe mounten, wenn es eine VM ist - gewusst wie. Dazu muss man die Rescuedisk modifizieren und auf automatische Kennworteingabe stellen und dann dauerhaft in der VM als Bootmedium einstellen. Somit ist ein virtualisierter Server komplett verschlüsselbar und unattended bootbar. Den Schlüssel (=die Rescuedisk) legt man im Netzwerk ab, getrennt vom Server. Bitlocker (pre 2012) bietet virtualisierten Servern die selben Möglichkeiten, BL post 2012 hat dies sogar eingebaut ("netunlock").
Lochkartenstanzer
Lochkartenstanzer 19.09.2012 aktualisiert um 08:05:07 Uhr
Goto Top
Zitat von @Alchimedes:
Nabend,

@lks

das werde ich mir mal genauer anschauen.

Grub installiert sich natuerlich in den mbr, aber wie erkennt Grub dann die dahinter liegenden Partitionen?

Grub2 installiert sich üblicherweise nicht nur in den MBR (erster sektor der Platte), sondern auch in die Sektoren dahinter (core.img wird dorthin geschrieben)). Truecrypt macht dasselbe. Die kommen sich dann gegenseitig in die Quere. und es reicht nicht, nur den ersten Sektor per dd zu sichern um den dann per bootlader zu starten.


Die funktioniert aber nicht immer. Zumindest hat sie bei mir nie funktioniert.

Daher habe ich im MBR+ff truecrypt und im PBR grub2.

Alle Partitionen (bis auf /boot) sind verschlüsselt und so sind zumindest die Daten nicht in falschen Händen, wenn das Notebook mal weg ist.


lks

Nachtrag: Der bei ubuntusers vorgeschlagene Weg funktioniert nur mit legacy-Grub (sieht man daran, daß die von "/boot/grub/menu.lst" reden). Mit grub2, was inzwischen Standrad ist, funktioniert das nciht, weil, wie ich schon sagte tc und grub2 sich um den Platz hinter dem MBr prügeln. Auch die Methode die 31kb hinter dem mbr mit dd in eine datei zu schreiben und dann per bootlader nachzuladen funiktioniert nicht, weil sowohl grub als auch tc sich die daten direkt von den ersten Sektoren der Platte holen.
dressa
dressa 19.09.2012 um 13:26:02 Uhr
Goto Top
Zitat von @DerWoWusste:
---
Man verschlüsselt als Client keine Laufwerke vernetzter Rechner. Totaler Humbug. Der PC, der die Freigabe stellt
("Server"), kann allenfalls die Freigabe verschlüsseln, warum sollte dies Dein Win7 ("Client") tun
wollen?
Nochmal: wozu das Ganze?


Hi. Ich verwende keine Laufwerke eines vernetzten Rechners.
Das kamm jetzt woll irgendwie falsch rüber.

Ich habe die Aufgabe bekommen unsere Produktionsdaten so zu schützen das Sie durch keinen (unbefugten) dritten innerhalb der Firma und auch von (ev.) Angriffen aus dem Netz nicht eingesehen werden können.
Die Bediengung war das die Daten "transportabel" sein sollte wie bisher. (Mein Chef will diese Daten nicht über das Netzwerk verfügbar machen !!)

Bis jetzt sind die Daten auf einen kleinen Netbook installiert der keinen Netz- / Internet-Zugang hat. Dieses Netbook ist a) alt und b) sehr langsam.

Deshalb hatte ich die Idee die Daten auf eine USB-HD zu transferieren.
VMWare ist auf den Rechner installiert wo die befugten Personen arbeiten. Da die Hardware ebenfalls auch die gleiche Identische ist gibts auch keine Probleme mit Treibern.

Ich habe also auf der USB-HD 2 Partitionen erstellt.
1) Windows
2) Daten

auf der Windows-Partition sind alle Daten von/für VMWare
auf der Daten-Partition ist die Programme und Daten installiert.

Derjenige der die Daten nun einsehen will, steckt die USB-HD ein startet VMWare und startet das Installierte Windows 7
Befor Win 7 startet muss er das (TrueCrypt-)Passwort eingeben. Dann startet das Windows und die Daten auf der 2. Partition sind einsehbar.

Mein Problem ist nun das ich TrueCrypt nicht auf jedem Rechner installiern will, sondern alles nur über die USB-HD erledigen möchte.

Bis jetzt ist die 2. Partition mit den wichtigen Daten noch nicht verschlüsselt.

Deshalb auch meine Frage ob ich die 2. Partition vom gestarteten Windows 7 (aus Partition 1) verschlüsseln kann.

Hoffe das es jetzt einigermassen klar ist.

Gruss Dressa
DerWoWusste
DerWoWusste 19.09.2012 um 14:34:41 Uhr
Goto Top
Hoffe das es jetzt einigermassen klar ist.
Ein wenig besser, aber noch nicht klar.

Du möchtest eine mobile Platte nutzen mit einer VM, welche selber auf Daten zugreift. Dann gib der VM eine Datenplatte und verschlüssele einfach den gesamten VM-Ordner, sieht mir einfacher aus.
Lochkartenstanzer
Lochkartenstanzer 19.09.2012 um 14:42:15 Uhr
Goto Top
Moin,

Zwei möglichkeiten:

1. Portable Truecrypt: Auf die USB-Platte spielen, eine Container mit dem rest der Daten und dieser wird dann mit Batchdaeiten gemounted oder dismounted dann ist alles außer truecrypt im Container.

2. Trucrypt im Virtuellen Windows mit verschlüsselter Platte: Dann wird bei jedem reboot des virtuellen System das TC-Paßwort abgefragt.

lks
lenny4me
lenny4me 20.09.2012 um 16:08:40 Uhr
Goto Top
Hallo,

so verbrennt man Zeit. Warum keine Shares und Strikte NTFS Berechtigungen. Gegen Diebstahl noch den Bitlocker auf den Server und gut ist.

Grüße
Alchimedes
Alchimedes 20.09.2012 um 17:08:59 Uhr
Goto Top
Hallo,


Nachtrag: Der bei ubuntusers vorgeschlagene Weg funktioniert nur mit legacy-Grub > (sieht man daran, daß die von "/boot/grub/menu.lst" reden).

Das ding versteckt sich jetzt unter /boot/grub/grub.cfg

Werde mir , wenn ich wieder Zeit habe,mal genauer mit den Bootloader , mbr und sowhat
beschaeftigen.

So ein aehnliches Problem hatte ich auf'n Mac mit rEFlt und Filevault.
Durch Festplattenverschluesselung hat der Mac meinen Bootloader nicht erkannt.

Gruss
Lochkartenstanzer
Lochkartenstanzer 20.09.2012 um 19:00:44 Uhr
Goto Top
Zitat von @Alchimedes:
Hallo,


> Nachtrag: Der bei ubuntusers vorgeschlagene Weg funktioniert nur mit legacy-Grub > (sieht man daran, daß die von
"/boot/grub/menu.lst" reden).

Das ding versteckt sich jetzt unter /boot/grub/grub.cfg

Klar das ist die Konfigurationsdatei für grub2. Wie ich schon sagte: Grub2 packt das core.img normalerweise in den Bereich zwischen mbr und 1. Partition. Und wenn da schon truecrypt sitzt 8oder sitzen will, gibt es Kuddelmuddel.

Deswegen muß grub2 in einen normalen Partitionsbootsektor und muß blocklisten benutzen, damit es core.img ohne Kenntniss des Dateisystems laden kann.

lks