Wie schütze ich Daten vor physikalischem Zugriff?
Gibt es eine verständliche Anleitung, wie ich Daten zu 99% schützen kann, wenn ein Angreifer in den Besitz der Festplatte kommt?
Ich gehe jetzt von einer frisch formatierten Festplatte aus.
Was ist wichtig? in welcher Reihenfolge zu befolgen?
Hab leider nicht viel Ahnung der Benutzerhirachie von Windows, war bis jetzt immer mit Admin eingeloggt ohne Passwort, also ziemlich gefährlich, dass soll sich jetzt ändern!!!
z.B. Biospasswort vergeben,... Windows installieren, Adminkonto mit Passwort mit xxx Zeichen anlegen,...(wie viele gelten als sicher?) Was soll noch gesperrt werden? Abgesicherter Modus? Wie geht das? CMD.exe wie geht das? Kann ein XP Adminkonto gehackt werden? Was muss ich alles sperren um das nicht zu ermöglichen. Was darf in normalo Benutzerkonnten auf keinen Fall aktiviert sein?
Wie siehts aus wenn nicht gebootet wird, sondern die Daten auf Harwareebene ausgelesen und Analysiert werden? Dateisystemverschlüsselung? Sicher??
Wie siehts aus mit gelöschten Daten und Recovery(Forensik) Tools? Können die von einem anderen Benutzerkonto aus wieder sichtbar gemacht werden? Kann man das kopieren der Platte mit Writeblockern (Hard/soft) verhindern?
Sollte man EFS verwenden?
Ich weiss, das das unmöglich ist einfach zu erklären, aber vielleicht können ja Links reingestellt werden, wo das alles nachzulesen ist?
Bin mir sicher das es einige Leute gibt, die nicht wollen, das Ihre Daten bei Diebstahl z.B. in falsche Hände kommen!
LG Euer Bexter
Ich gehe jetzt von einer frisch formatierten Festplatte aus.
Was ist wichtig? in welcher Reihenfolge zu befolgen?
Hab leider nicht viel Ahnung der Benutzerhirachie von Windows, war bis jetzt immer mit Admin eingeloggt ohne Passwort, also ziemlich gefährlich, dass soll sich jetzt ändern!!!
z.B. Biospasswort vergeben,... Windows installieren, Adminkonto mit Passwort mit xxx Zeichen anlegen,...(wie viele gelten als sicher?) Was soll noch gesperrt werden? Abgesicherter Modus? Wie geht das? CMD.exe wie geht das? Kann ein XP Adminkonto gehackt werden? Was muss ich alles sperren um das nicht zu ermöglichen. Was darf in normalo Benutzerkonnten auf keinen Fall aktiviert sein?
Wie siehts aus wenn nicht gebootet wird, sondern die Daten auf Harwareebene ausgelesen und Analysiert werden? Dateisystemverschlüsselung? Sicher??
Wie siehts aus mit gelöschten Daten und Recovery(Forensik) Tools? Können die von einem anderen Benutzerkonto aus wieder sichtbar gemacht werden? Kann man das kopieren der Platte mit Writeblockern (Hard/soft) verhindern?
Sollte man EFS verwenden?
Ich weiss, das das unmöglich ist einfach zu erklären, aber vielleicht können ja Links reingestellt werden, wo das alles nachzulesen ist?
Bin mir sicher das es einige Leute gibt, die nicht wollen, das Ihre Daten bei Diebstahl z.B. in falsche Hände kommen!
LG Euer Bexter
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 53383
Url: https://administrator.de/contentid/53383
Ausgedruckt am: 20.11.2024 um 02:11 Uhr
11 Kommentare
Neuester Kommentar
Hi,
wir setzen für Laptops (die schonmal unterwegs vergessen werden) "Safeguard Easy" ein, das verschlüsselt gleich die ganze Platte.
Siehe hier: http://www.utimaco.de/C12570CF0030C00A/vwContentByKey/W26K9K5M068OBELDE
Ansonsten gibt es diverse Software (z.B. Steganos Safe, etc.), die Dir einen mehr oder weniger sicheren Container auf der Platte anlegen in den Du schützneswerte Daten legst, ohne das ganze OS zu verschlüsseln.
Meines Erachtens nach ist es nicht immer sinnvoll, alle Daten zu verschlüsseln. aber das o.g. "Easy Safe" ist halt der "große Hammer", wenn es um Sicherheit geht, alles Andere erfordert ein gewisses "Mitdenken" der User.
Gruß,
crimson1968
wir setzen für Laptops (die schonmal unterwegs vergessen werden) "Safeguard Easy" ein, das verschlüsselt gleich die ganze Platte.
Siehe hier: http://www.utimaco.de/C12570CF0030C00A/vwContentByKey/W26K9K5M068OBELDE
Ansonsten gibt es diverse Software (z.B. Steganos Safe, etc.), die Dir einen mehr oder weniger sicheren Container auf der Platte anlegen in den Du schützneswerte Daten legst, ohne das ganze OS zu verschlüsseln.
Meines Erachtens nach ist es nicht immer sinnvoll, alle Daten zu verschlüsseln. aber das o.g. "Easy Safe" ist halt der "große Hammer", wenn es um Sicherheit geht, alles Andere erfordert ein gewisses "Mitdenken" der User.
Gruß,
crimson1968
EFS ist schön und recht. Du hast aber dann verloren wenn die Platte in ein neues System eingebaut wird. Einen physikalischen Schutz bietet diese Methode also nicht wirklich.
Bitlocker sieht da vielversprechender aus, ist aber noch zu neu.
Die derzeit wohl beste Methode ist wohl die Verschlüsselung mit Hilfe eines Dongles (Alladin, Wibu oder auch andere) oder einer Smartcard zu machen.
Alle anderen mir derzeit bekannten Methoden sind mehr oder weniger kritisch zu betrachten. Das beste ist noch die kritischen Daten auf den Servern zu belassen und diesen sauber wegzusperren.
Noch etwas das häufig vergessen wird: Ist erstmal etwas verschlüsselt kommst du auch meist selbst nicht mehr an die Daten ran, sollte der Dongle kaputtgehen oder das Passwort vergessen worden sein.
Bitlocker sieht da vielversprechender aus, ist aber noch zu neu.
Die derzeit wohl beste Methode ist wohl die Verschlüsselung mit Hilfe eines Dongles (Alladin, Wibu oder auch andere) oder einer Smartcard zu machen.
Alle anderen mir derzeit bekannten Methoden sind mehr oder weniger kritisch zu betrachten. Das beste ist noch die kritischen Daten auf den Servern zu belassen und diesen sauber wegzusperren.
Noch etwas das häufig vergessen wird: Ist erstmal etwas verschlüsselt kommst du auch meist selbst nicht mehr an die Daten ran, sollte der Dongle kaputtgehen oder das Passwort vergessen worden sein.
Moin Moin,
Zum Anfang mal gleich zwei mal Lob von mir
1. Das Du Wert auf Sicherheit legst und schonmal Gedanken darüber gemacht hast, dass ein Admin-Zugang ohne Passwort nicht optimal ist , und
2. dass Du schon erkannt hast, dass Du nur 99% Sicherheit erreichen kannst
Es gibt ganz verschiedene Möglichkeiten, wie aufwändig (und teuer) dass alles werden soll, hängt natürlich davon ab, wie hoch Dein Sicherheitsbedürfnis ist.
Ganz allgemein kann ich mal folgende Tipps zur Absicherung geben (nicht vollständig, einfach mal ein paar Ideen aufgeschrieben):
- Eine Pre-Boot-Authenthisierung und Verschlüsselung der Festplatte mit SafeGuard Easy von Utimaco ist bestimmt schon mal ein sehr guter Anfang. Das Programm ist vom BSI getestet und wird weltweit von vielen Ministerien, Armeen und Firmen eingesetzt, Wir haben es hier auch auf den Notebooks.
- Ansonsten sollte die Bootreihenfolge im BIOS auf "C: only" oder etwas in der Art stehen, also nur das Booten von der ersten Festplatte zulassen: Wer über Diskette/CD/USB/Netzwerk den Rechner booten kann hat Zugriff auf das Betriebssystem und das Dateisystem (das ja aber verschlüsselt ist?). Tool zum Knacken oder Überschreiben von Administrator- und User-Passwörtern gibt es genügend - und die arbeiten alle sehr gut.
- Passwörter sollten grundsätzlich in keinem Wörterbuch auftauchen. Die Passwörter (unter Windows) sollten aus Zahlen, kleinen und großen Buchstaben uind Sonderzeichen bestehen. Achte bei den Sonderzeichen darauf, dass Du sie evtl. auch mit einem anderen Tastaturtreiber wiederfindest, also vielleicht nicht unbedingt das Ö nehmen oder ein ø, sondern "§$ usw. Da unter Win2k (ich denke auch unter neueren Versionen) die Passwörter in 7-Zeichen-Blöcken verschlüsselt werden sollte das Minimum bei 7 Zeichen liegen. "Viel hilft viel"
- Das EFS unter NTFS ist ganz nett, aber um sicheren Schutz der Dateien zu gewährleisten nur bedingt tauglich. Es gibt zB für den Administrator die Möglichkeit verschlüsselte Dateien wieder herzustellen. Das Zertifikat dafür müsste dann also extern ausgelagert werden.
- Ein sehr gutes OpenSource-Tool ist TrueCrypt (www.truecrypt.org) das legt verschlüsselte Container an. nach allem was man im Internet lesen kann arbeitet das Tool sehr gut und sicher.
Ich weiß ja nicht was Du vorhast, aber Solche Security-Suites wie die von Steganos bieten auch eine Menge Tools für die Sicherheit, wie z. B. für das sicher Löschen von Dateien.
Hoffe ich habe schonmal ein wenig geholfen, es gibt noch viel mehr, was alles bedacht werden muss, aber das sind schonmal ein paar grundlegende Dinge, die die Sicherheit massgeblich erhöhen.
Gruß
Erik
Zum Anfang mal gleich zwei mal Lob von mir
1. Das Du Wert auf Sicherheit legst und schonmal Gedanken darüber gemacht hast, dass ein Admin-Zugang ohne Passwort nicht optimal ist , und
2. dass Du schon erkannt hast, dass Du nur 99% Sicherheit erreichen kannst
Es gibt ganz verschiedene Möglichkeiten, wie aufwändig (und teuer) dass alles werden soll, hängt natürlich davon ab, wie hoch Dein Sicherheitsbedürfnis ist.
Ganz allgemein kann ich mal folgende Tipps zur Absicherung geben (nicht vollständig, einfach mal ein paar Ideen aufgeschrieben):
- Eine Pre-Boot-Authenthisierung und Verschlüsselung der Festplatte mit SafeGuard Easy von Utimaco ist bestimmt schon mal ein sehr guter Anfang. Das Programm ist vom BSI getestet und wird weltweit von vielen Ministerien, Armeen und Firmen eingesetzt, Wir haben es hier auch auf den Notebooks.
- Ansonsten sollte die Bootreihenfolge im BIOS auf "C: only" oder etwas in der Art stehen, also nur das Booten von der ersten Festplatte zulassen: Wer über Diskette/CD/USB/Netzwerk den Rechner booten kann hat Zugriff auf das Betriebssystem und das Dateisystem (das ja aber verschlüsselt ist?). Tool zum Knacken oder Überschreiben von Administrator- und User-Passwörtern gibt es genügend - und die arbeiten alle sehr gut.
- Passwörter sollten grundsätzlich in keinem Wörterbuch auftauchen. Die Passwörter (unter Windows) sollten aus Zahlen, kleinen und großen Buchstaben uind Sonderzeichen bestehen. Achte bei den Sonderzeichen darauf, dass Du sie evtl. auch mit einem anderen Tastaturtreiber wiederfindest, also vielleicht nicht unbedingt das Ö nehmen oder ein ø, sondern "§$ usw. Da unter Win2k (ich denke auch unter neueren Versionen) die Passwörter in 7-Zeichen-Blöcken verschlüsselt werden sollte das Minimum bei 7 Zeichen liegen. "Viel hilft viel"
- Das EFS unter NTFS ist ganz nett, aber um sicheren Schutz der Dateien zu gewährleisten nur bedingt tauglich. Es gibt zB für den Administrator die Möglichkeit verschlüsselte Dateien wieder herzustellen. Das Zertifikat dafür müsste dann also extern ausgelagert werden.
- Ein sehr gutes OpenSource-Tool ist TrueCrypt (www.truecrypt.org) das legt verschlüsselte Container an. nach allem was man im Internet lesen kann arbeitet das Tool sehr gut und sicher.
Ich weiß ja nicht was Du vorhast, aber Solche Security-Suites wie die von Steganos bieten auch eine Menge Tools für die Sicherheit, wie z. B. für das sicher Löschen von Dateien.
Hoffe ich habe schonmal ein wenig geholfen, es gibt noch viel mehr, was alles bedacht werden muss, aber das sind schonmal ein paar grundlegende Dinge, die die Sicherheit massgeblich erhöhen.
Gruß
Erik
Hallo,
vor physikalischem Zugriff schützt du deine Daten, in dem du den Rechner in einen abgeschlossenen, bewachten Raum stellst. Soweit also zu der Frage aus deinem Titel.
Ansonsten solltest du jetzt nicht lustig drauflos mit Verschlüsselungen und Sperren anfangen, sondern erstmal genau überlegen, was alles nötig ist.
Eine Firewall sollte dazu gehören, ebenso die Arbeit mit einem Konto ohne Adminrechte, klar.
EFS (die Windowseigene Verschlüsselung) ist auch kein falscher Schritt. Christian meint dazu "EFS ist schön und recht. Du hast aber dann verloren wenn die Platte in ein neues System eingebaut wird. Einen physikalischen Schutz bietet diese Methode also nicht wirklich." Mit letzterm hat er völlig recht, dadurch kommt nämlich kein zusätzliches Schloss in deine Zimmertür. Mit dem vorletzten nicht: Die Daten sind weg, wenn du dein System neu aufsetzt - aber nur, wenn du vorher nicht dein Zertifikat sicherst. Mit dem kann man die Daten auch auf einem anderen (win) Rechner wiederherstellen. Generell gilt: Für jede Verschlüsselung solltest du auch deine Keys sichern (sichern im Sinne von Backup)! Daneben ist EFS aber gerade bei der Datensicherung etwas unhandlich: einmal auf einen Datenträger gesichert, der kein NTFS hat (CDs z.B.), schon ist die Verschlüsselung weg, und jeder kann dein Backup lesen.
Was sich m.E. für Endanwender ganz gut eignet ist ein Programm wie TrueCrypt. Das erzeugt auf deinem Rechner ein neues Laufwerk, das dann verschlüsselt ist. Der Zugriff erfolgt transparent (d.h. nach einmaliger Eingabe des Passworts kann jedes Programm die Daten so nutzen, als würden sie auf einem ganz normalen Laufwerk liegen). Die Sicherung ist auch ganz einfach: die Daten liegen alle in einer Datei, die man einfach auf Backups bringen kann. Damit kriegt man schonmal die wichtigen Daten gesichert.
Dann kann man noch für sein Homeverzeichnis EFS aktivieren. Das empfiehlt sich auch für die Ordner, in denen dein eMail-Programm seine Dateien ablegt.
Die Programmverzeichnisse etc zu verschlüsseln ist im Allgemeinen ja nicht nötig, da stehen selten relevante Informationen, ausserdem führt das zu Performanceverlust und bei Bedienfehlern auch schnell zu einem unbrauchbaren System.
Filipp
vor physikalischem Zugriff schützt du deine Daten, in dem du den Rechner in einen abgeschlossenen, bewachten Raum stellst. Soweit also zu der Frage aus deinem Titel.
Ansonsten solltest du jetzt nicht lustig drauflos mit Verschlüsselungen und Sperren anfangen, sondern erstmal genau überlegen, was alles nötig ist.
Eine Firewall sollte dazu gehören, ebenso die Arbeit mit einem Konto ohne Adminrechte, klar.
EFS (die Windowseigene Verschlüsselung) ist auch kein falscher Schritt. Christian meint dazu "EFS ist schön und recht. Du hast aber dann verloren wenn die Platte in ein neues System eingebaut wird. Einen physikalischen Schutz bietet diese Methode also nicht wirklich." Mit letzterm hat er völlig recht, dadurch kommt nämlich kein zusätzliches Schloss in deine Zimmertür. Mit dem vorletzten nicht: Die Daten sind weg, wenn du dein System neu aufsetzt - aber nur, wenn du vorher nicht dein Zertifikat sicherst. Mit dem kann man die Daten auch auf einem anderen (win) Rechner wiederherstellen. Generell gilt: Für jede Verschlüsselung solltest du auch deine Keys sichern (sichern im Sinne von Backup)! Daneben ist EFS aber gerade bei der Datensicherung etwas unhandlich: einmal auf einen Datenträger gesichert, der kein NTFS hat (CDs z.B.), schon ist die Verschlüsselung weg, und jeder kann dein Backup lesen.
Was sich m.E. für Endanwender ganz gut eignet ist ein Programm wie TrueCrypt. Das erzeugt auf deinem Rechner ein neues Laufwerk, das dann verschlüsselt ist. Der Zugriff erfolgt transparent (d.h. nach einmaliger Eingabe des Passworts kann jedes Programm die Daten so nutzen, als würden sie auf einem ganz normalen Laufwerk liegen). Die Sicherung ist auch ganz einfach: die Daten liegen alle in einer Datei, die man einfach auf Backups bringen kann. Damit kriegt man schonmal die wichtigen Daten gesichert.
Dann kann man noch für sein Homeverzeichnis EFS aktivieren. Das empfiehlt sich auch für die Ordner, in denen dein eMail-Programm seine Dateien ablegt.
Die Programmverzeichnisse etc zu verschlüsseln ist im Allgemeinen ja nicht nötig, da stehen selten relevante Informationen, ausserdem führt das zu Performanceverlust und bei Bedienfehlern auch schnell zu einem unbrauchbaren System.
Filipp
Hallo,
ich bin mir gerade nicht ganz sicher, wie die Gesetzeslage aussieht. Aber u.U. kannst du, genauso wie zum Öffnen des Safes, auch zur Herausgabe deiner Passwörter gezwungen werden. (Da bietet TrueCrypt überigens auch Abhilfe: man kann in einem verschlüsseltem Laufwerk ein weiteres, verstecktes anlegen, dessen Existenz tatsächlich nicht nachweisbar ist - aber das nur am Rande.)
Filipp
ich bin mir gerade nicht ganz sicher, wie die Gesetzeslage aussieht. Aber u.U. kannst du, genauso wie zum Öffnen des Safes, auch zur Herausgabe deiner Passwörter gezwungen werden. (Da bietet TrueCrypt überigens auch Abhilfe: man kann in einem verschlüsseltem Laufwerk ein weiteres, verstecktes anlegen, dessen Existenz tatsächlich nicht nachweisbar ist - aber das nur am Rande.)
Filipp
So weit ist es in Deutschland noch nicht gekommen. Per Gesetzt kann keiner dazu gezwungen werden eine Verschlüsselung zu öffnen, sprich das Passwort rauszugeben. - Auch wenn das so mancher Politiker gerne hätte...
Aber wie gesagt: TrueCrypt kann mit sog. "Hidden Drives" auch dagegen helfen.
Gruß
Erik
Aber wie gesagt: TrueCrypt kann mit sog. "Hidden Drives" auch dagegen helfen.
Gruß
Erik
Die Sicherung ist auch ganz einfach: die
Daten liegen alle in einer Datei, die man
einfach auf Backups bringen kann. Damit
kriegt man schonmal die wichtigen Daten
gesichert.
Daten liegen alle in einer Datei, die man
einfach auf Backups bringen kann. Damit
kriegt man schonmal die wichtigen Daten
gesichert.
Stimmt die Sicherung sollte nicht vergessen werden und das ist mit EFS eindeutig ein Problem.
Die Programmverzeichnisse etc zu
verschlüsseln ist im Allgemeinen ja
nicht nötig, da stehen selten relevante
Informationen, ausserdem führt das zu
Performanceverlust und bei Bedienfehlern auch
schnell zu einem unbrauchbaren System.
verschlüsseln ist im Allgemeinen ja
nicht nötig, da stehen selten relevante
Informationen, ausserdem führt das zu
Performanceverlust und bei Bedienfehlern auch
schnell zu einem unbrauchbaren System.
Das ist klar, aber da muss man halt abwägen, was einem wichtiger ist: Ein Mehr an Sicherheit ist immer mit einem Performanceverlust oder mit einer gewissen Umständlichkeit verbunden.
Wenn die Sicherheit der Daten dies rechtfertigen, dann los, sonst andere Lösung suchen.
Gruß
Erik