Homeserver Forum

Hallo an alle.

Ich habe letztes Wochenende meinen Server mal den WHS 2011 spendiert und dabei wollte ich gleich mit TC die Ordnerverschlüsslung durchsetzen.
Gesagt getan. Leider habe ich erst dann bemerkt, dass immer nur ein Rechner einen Ordner mounten kann.
Also ist es nicht möglich, dass 2 Leute gleichzeitig eine Freigabe mounten kann, was mir natürlich gar nicht gefällt.
Möglich wäre es natürlich noch das der Server die Laufwerke mounted und denn Frei gibt, aber das müsste denn automatisch erfolgen, und die Ordner wären im Netzwerk wieder unverschlüsselt.
Hat einer von euch noch einen Vorschlag?

probier doch Bitlocker auf dem WHS - ich bin sehr zufrieden damit.
Gruß Joachim

Hab mal nen bisschen gegoogelt..
Bitlocker kann nur Laufwerke (Partitionen) verschlüsseln?
Vllt könntest du auch mal kurz beschreiben wie du es bei dir gemacht hast

viewtopic.php?f=72&t=15529&p=115176#p115176. Für alle völlig transparent.
Gruß Joachim

Okay mir gehts es zwar nicht ums Backup, aber ist hier auch kein großer Unterschied.
Aber d.h. du hast nen Stick an deinem Server und wenn der drin steckt denn entschlüsselt er automatisch?
Sowas würde ich sehr gerne vermeiden.
Ich möchte dass die verschlüsselten Elemente (ordner patitionen etc) freigegeben werden, und dann von dem Client gemounted werden.. so stelle ich mir das zumindestens vor ^^

Edit: Okay noch mal etwas gelesen, vllt wäre ja doch die Systemverschlüsslung mit USB-Stick eine gute Variante
Stick einmal rein zum starten, danach weg denn er geht nur noch schlafen und benötigt den Stick nur wenn er neustartet. Denn wäre die Shares nicht mehr verschlüsselt aber sobald er aus geht (geklaut, beschlagnahmt was auch immer), bekommt man ohne den Stick nichts mehr

Also ich habe es so gemacht:
Je nach Zuordnung hab ich 100-800GB große Container erstellt und mit TC verschlüsselt. Da hat man 2 Möglichkeiten
1. TC auf WHS installieren und dort die Container mounten und Freigeben für bestimmte User. Kann man einstellen bei der Freigabe zB, nur der User biu hat zugriff bei Container X und Container Y und der User Sylar hat nur zugriff auf Container Y.

2. Die Container liege auf den Shares und der Client mountet die Platte -> nur der Client kann die Daten benützen.

Also ich nutze beide Varianten und ich bin mit der Lösung recht zufrieden derzeit. Nachteil ist halt die Performance bremse bei mir mit dem Intel Atom. Aber da baue ich meistens die Platte aus dem Server raus und schließe die am PC an, hab da deutlich mehr Performance.

Also ich werde wohl auch die Container vom WHS mounten lassen, und den USB stick kann ich ja denn "sicher" (bei verwandten oder so) lassen (System von Bitlocker verschlüsselt rest TC), so das wenn er vom netz genommen wird und erneut hochfahren soll alles verschlüsselt ist

biu hat geschrieben:Okay mir gehts es zwar nicht ums Backup, aber ist hier auch kein großer Unterschied.

bei mir sind die Partitionen C, D, und F und G verschlüsselt, also nicht nur Backup sondern auch das System, Clientbackups und wichtige Shares, nur das Medienarchiv nicht.

biu hat geschrieben:Aber d.h. du hast nen Stick an deinem Server und wenn der drin steckt denn entschlüsselt er automatisch?
Sowas würde ich sehr gerne vermeiden.

Der Stick ist nur beim Booten erforderlich und befindet sich also normalerweise wo ganz anders. Beim Aufwachen aus dem Standby wird der Stick nicht gebraucht (kann man so konfigurieren, will ich nicht).

biu hat geschrieben:Ich möchte dass die verschlüsselten Elemente (ordner patitionen etc) freigegeben werden, und dann von dem Client gemounted werden.. so stelle ich mir das zumindestens vor ^^

tut genau so.

biu hat geschrieben:Edit: Okay noch mal etwas gelesen, vllt wäre ja doch die Systemverschlüsslung mit USB-Stick eine gute Variante
Stick einmal rein zum starten, danach weg denn er geht nur noch schlafen und benötigt den Stick nur wenn er neustartet. Denn wäre die Shares nicht mehr verschlüsselt aber sobald er aus geht (geklaut, beschlagnahmt was auch immer), bekommt man ohne den Stick nichts mehr

Du hast es begriffen..

Sylar hat geschrieben:Also ich nutze beide Varianten und ich bin mit der Lösung recht zufrieden derzeit. Nachteil ist halt die Performance bremse bei mir mit dem Intel Atom. Aber da baue ich meistens die Platte aus dem Server raus und schließe die am PC an, hab da deutlich mehr Performance.

Lokales Kopieren auf dem WHS läuft trotz Atom mit ca 20MB/s (unverschlüsselt->verschlüsselt), bei mir ist also das WLAN die stärkere Bremse als Bitlocker, und meine Familie muß eh erst durch den OpenVPN Tunnel durch..
Gruß Joachim

Also Performence sollte nicht das Problem darstellen, mein kleiner 4850e packt das bisher ganz gut
Ich werde wenn ich mit dem Server fertig bin, ihn auch mal vorstellen.

Danke nochmal an euch, denke mein Problem ist gelöst

Laufen tut alles, nur ob man mit der Performance zufrieden ist, ist halt eine andere Frage.
Also für mich ist eine Komplettverschlüsselung leider zu langsam. Auch die Container sind unter meinen Q6600 nur um 10MB/s schneller als beim Intel Atom! Der Unterschied zwischen Container und verschlüsselte HDD ist doch enorm..

kurzes update:
tc ist nun vollkommen weg, denn es kann die systemplatte nicht verschlüsseln mit einm keyfile von einm usbstick ..
also nun bitlocker genommen -> kein problem, bis ich gespiegelte festplatten verschlüsseln wollte (von windows gespiegelt), das scheint er nicht zu können, weitere updates folgen

Edit: ich spiel nun erstmal updates ein ..
Edit2: also bitlocker kann wohl keine dynamischen datenträger verschlüsseln ..

biu hat geschrieben: Edit2: also bitlocker kann wohl keine dynamischen datenträger verschlüsseln ..

Genau aus diesem Grund setze ich auf die RAID-Funktionalität des Mainboards oder eines extra RAID-Controllers, dann kann man auch RAID1 oder RAID5 mit Bitlocker verschlüsseln, auch wenn es nur ein Fake-RAID ist, Hauptsache kein dynamischer Datenträger. Und sogar ein Intel Onboard-RAID kann ein RAID5 um eine Platte erweitern, das geht mit einem dynamischen Datenträger-RAID ebenfalls nicht.
Mein TPM habe ich erst heute bekommen, derzeit wird alles entschlüsselt um von Bitlocker mit USB Key auf Bitlocker mit TPM und Pin umstellen zu können, ohne Pin ist mir das zu unsicher. Warum MS bei der Verwendung eines USB Keys keinen PIN ermöglicht, kann ich nicht verstehen.

Martin M. hat geschrieben:Und sogar ein Intel Onboard-RAID kann ein RAID5 um eine Platte erweitern, ...

Aber erst ab ICH10R.
Guckst Du hier: http://www.intel.com/support/chipsets/i ... 022304.htm

Gruß
sTunTe

Martin M. hat geschrieben:Mein TPM habe ich erst heute bekommen, derzeit wird alles entschlüsselt um von Bitlocker mit USB Key auf Bitlocker mit TPM und Pin umstellen zu können, ohne Pin ist mir das zu unsicher. Warum MS bei der Verwendung eines USB Keys keinen PIN ermöglicht, kann ich nicht verstehen.

Unterstützt Dein TMP 1.2 und exponential Delay (http://technet.microsoft.com/en-us/libr ... 51452.aspx) ? Ansonsten ist jede PIN als Schlüssel dem USB Key unterlegen - vorausgesetzt natürlich er wird getrennt aufbewahrt.
Daß MS USB+PIN nicht unterstützt liegt ganz bestimmt daran daß eine PIN nur sinnvoll ist wenn man den Schlüssel bei Fehlversuchen sperren, löschen, oder zumindest den Zugriff verzögern kann. Da man ein USB-Device schreibschützen oder kopieren kann bringt das einfach nichts, das wäre nur eine scheinbare Sicherheit.
Und noch eine Frage: wie sind Deine Backups geschützt? Mal angenommen die Bude brennt ab und das TPM ist futsch, der WHS auch - sind Deine Backups außer Haus und verschlüsselt?
Gruß Joachim

Also ich bin ja fast am Ende mit dem Teil
Alles etwas nevenaufreibend ^^
Sehe grade auch nur noch folgende Optionen:
1. aufs raid verzichten, stattdessen jeden Tag/woche/monat nen script (bzw backup funktion vom whs) welches Daten schauffelt
2. raid vom mobo nutzen, dem vertraue nich eigentlich sehr wenig, wobei raid 1 eigentlich sehr wenig schwierigkeiten mitbringt

so nu erstmal zur arbeit ^^

Edit: also denke grade drüber nach das raid sein zu lassen, weil ich durch backups ausreichend geschützt bin (bilde ich mir ein ^^), aber denn würde ich wenigstens gern dn speicher durch die zusätzlichen Platten erhöhen, was ja wieder ein problem darstellt,
zur erläuterung,
habe
2x1 tb - normale daten
2 x 1,5 TB - viedeos
2 x 2 tb - dokus
also insgesamt auch nur 3 shares die ich nutze, da wirds denn mit 6 platten schwierig :/ muesste ja sowas wie JBOD her aber denn geht das wieder mit den dynamischen platten los ^^