Truecrypt und 2011

[Adabi]

Hallo zusammen

Hat hier zufällig schon jemand die Funktionalität von Truecrypt für den neuen WHS getestet? Alles was ich bis jetzt gelesen habe, deutet daraufhin das es funktionieren sollte. Wäre schön, wenn man den Server endlich komplett verschlüsseln könnte und mir würde es auch leichter fallen die Nervigkeit des Upgradens hinter mich zu bringen und Linux hätte ich auch aus dem Kopf.

Grüsse
A.

[soa]

Du kanns auch Bitlocker benutzen

[JoachimL]

Du kanns auch Bitlocker benutzen

ist der in der WHS 2011 Lizenz mit drin? und wo wird dann der Schlüssel aufbewahrt?

[soa]

Du kanns auch Bitlocker benutzen

ist der in der WHS 2011 Lizenz mit drin? und wo wird dann der Schlüssel aufbewahrt?

Der lässt sich auf jeden Fall installieren.

Den Schlüssel wird entweder in einem TPM chip gespeichert wenn dein motherboard einen hat, oder auf USB Stick.

[JoachimL]

Der lässt sich auf jeden Fall installieren.

Danke für die Info. Könnte ein Kaufanreiz für WHS 2011 für mich sein, bin vielleich etwas paranoid..
Welche Hardware verwendest Du? Welche gefühlte Performanceverschlechterung gibt es durch Bitlocker? Ein Atom ist vermutlich nicht das richtige dafür...

Den Schlüssel wird entweder in einem TPM chip gespeichert wenn dein motherboard einen hat, oder auf USB Stick.

TPM ist m.E. keine gute Wahl - den nimmt der Dieb ja auch mit. Einen USB Stick kann ich an einem langen Kabel wenigstens in die Wand einmauern..
Gruß Joachim

[soa]

Der lässt sich auf jeden Fall installieren.

Danke für die Info. Könnte ein Kaufanreiz für WHS 2011 für mich sein, bin vielleich etwas paranoid..
Welche Hardware verwendest Du? Welche gefühlte Performanceverschlechterung gibt es durch Bitlocker? Ein Atom ist vermutlich nicht das richtige dafür...

Ich hab es persönnlich noch nicht getestet. Ich hab nur auf einer WHS 2011 VM mal geschaut op sich Bitlocker installieren lässt oder nicht (ist standartmässig nicht installiert)

[soa]

Den Schlüssel wird entweder in einem TPM chip gespeichert wenn dein motherboard einen hat, oder auf USB Stick.

TPM ist m.E. keine gute Wahl - den nimmt der Dieb ja auch mit. Einen USB Stick kann ich an einem langen Kabel wenigstens in die Wand einmauern..
Gruß Joachim[/quote]
Naja mit einem USB Stick ist der key nicht geschützt gegen Softwareattacken (sind die heufigsten).
Das beste ist TPM+USB Stick.
Oder TPM+USB+PIN-Code geht aber schlecht mit WHS

Was die Performanceverschlechterung angeht, die scheinen relativ gering zu sein, ~33% mit einem schwachen Atom N260 (Mobile Atom 1 Core):
http://www.ghacks.net/2009/11/26/bitloc ... rformance/



Mmh das interesiert mich jetzt für meine externe Backup Festplatten. Werd mal auf meiner VM testen.

[JoachimL]

Naja mit einem USB Stick ist der key nicht geschützt gegen Softwareattacken (sind die heufigsten).
Das beste ist TPM+USB Stick.

Man muß bei "sicher" halt immer fragen, "wovor" - meine größte Sorgen sind Einbrecher (deswegen Verschlüsselung) und Feuer (Backup außer Haus), da der Server nicht direkt aus dem Internet errreichbar ist mache ich mir weniger Sorgen über Softwareattacken. Die Kombination USB+TPM klingt natürlich gut.

Mmh das interesiert mich jetzt für meine externe Backup Festplatten. Werd mal auf meiner VM testen.

Die Ergebnisse interessieren mich, aber noch mehr interessiert mich die Performance beim Datenpool. Hat jemand das am laufen?
Gruß Joachim

[anacoma]

Wie kann ich mir das denn vorstellen mit Bitlocker und WHS 2011?

Wird es offiziell unterstützt und gibt es keine Einschränkungen (wie HDD nicht im Festplattenpool) wenn ich Bitlocker nutzte? Kann ich wirklich alle Festplatten (gut die System-HDD brauche ich nicht) verschlüsseln? Und dann einfach irgendwann und beim Booten den USB Stick einstecken und alles ist entschlüsselt?

[soa]

Wie kann ich mir das denn vorstellen mit Bitlocker und WHS 2011?

Wird es offiziell unterstützt

Offiziel nicht. Es liegt aber nur daran dass es in Benutzeroberfläche von WHS die nötige Einstellungsmöglichkeiten fehlen.
Nachdem offiziel bekannt wurde dass WHS kein Drive Extender mehr unterstützen würde habe ich auf MS Connect gefragt ob sie dann Bitlocker standartmässig aktiviren konnten. Sie gaben mir die Antwort dass sie an die Möglichkeit schon gedacht hatten aber dass sie eben keine Zeit mehr hätten um die nötigen änderungen in der Benutzeroberfläche + Tests durchführen zu können hätten.

Aber ich mach mir keine Sorgen über Bitlocker. Schlussendlich ist WHS ja nur ein Windows Server 2008 + Client Backup Möglichkeit. Mehr ist es nicht, die Share sind nur noch standart Shares von Windows, der Server Backup ist auch der standart Windows Server Backup, und Video/Audiostreaming [+DLNA] auch nur eine standart Feature von Mediaplayer von Windows 7.

gibt es keine Einschränkungen (wie HDD nicht im Festplattenpool) wenn ich Bitlocker nutzte?

Wie gesagt. Es gibt keinen Festplattenpool mehr wie bei WHS v1. Es sind nur noch standart Shares. Wenn du zum Beispiel ein Shared Folder erstells und das über der standart Windows Benutzeroberfläche (wie auf Xp oder 7) wird das Shared Folder auch dann automatisch im Dashboard sichtbar.
Schlussfolegrung, wenn Windows Server 2008 es kann, dann kann es WHS v2 auch.

Kann ich wirklich alle Festplatten (gut die System-HDD brauche ich nicht) verschlüsseln

Ja

Und dann einfach irgendwann und beim Booten den USB Stick einstecken und alles ist entschlüsselt

Das ist nur gültig wenn die System/boot-Partition verschlüsselt ist.
Für die andere Festplatten muss man entweder manuel ein Passwort eingeben oder eine Smart Card benutzen.
Mann kann auch einstellen dass das HDD automatisch entriegelt wird wenn es an diesem PC angeschlossen wird.
Ist praktisch weil man dann nicht mehr Remote Desktop bracht um die Festplatte zu entriegeln.

Was praktisch ist, ist dass diese verschlüsselte Festplatte auch auf andere PCs entriegelt werden kann auch wenn sie bitlocker nicht ünterstützen (z.b Windows 7 Home, Windows 7 Pro) und das ohne dass eine zusätzliche Software installiert werden muss. [Bitlocker To Go]

[anacoma]

Danke für die ausführliche Antwort.

Hab mich bis jetzt noch nicht mit dem WHS 2011 und Verschlüsselung beschäftigt, weil ich das ganze eigentlich schon nach WHS1 aufgegeben habe.

Ich hätte es halt nur dafür genutzt, wenn ich mal länger weg bin. Dann hätte ich den USB Stick bei mir und niemand kann meine Daten klauen Da wäre es hiflreich, wenn ich es einfach mit dem USB Stick entschlüsseln könnte. Auf ständige Passworteingabe habe ich keine Lust.

[Adabi]

Danke für die Idee mit Bitlocker.

Also Bitlocker kann das komplette System verschlüsseln und wenn zB. ein XP Home auf den Server zugreift, kann ich das so einstellen, dass der Client auf die Daten zugreifen kann. Dann entschuldigt bitte meine drei dummen Fragen dazu:

1. Haben normale Mobos so einen Chip? Ich kenne das bis jetzt nur von Businessnotebooks. Also vermute ich mal es müsste ein Serverboard sein.

2. An welcher Stelle wird das Passwort für die Entschlüsselung abgefragt? Oder wie erfolgt da die Authentifizierung das die Daten freigegeben werden?

3. Welche Vorteile hat Bitlocker ggü. TrueCrypt? Performance ist für mich weniger wichtig, da ist bei mir ggf. eher TCP/IP der Flaschenhals.


Grüsse
A.

[anacoma]

Was mich zum Schluss noch interessieren würde:

Wie ist es denn mit den Freigaben? Wenn die Festplatte bei Systemstart noch nicht da sind, dann sind doch auch (wie bei Win7) die Freigaben weg?

Wenn ich die System-HDD verschlüssel und die Entschlüsselung per USB Stick nutze, werden dann auch alle anderen HDDs entschlüsselt?

[JoachimL]

Doku zu Bitlocker findet sich hier: http://technet.microsoft.com/en-us/libr ... S.10).aspx. Demnach sollte man wenn die Systempartition verschlüsselt ist auch alle anderen angeschlossenen Platten verschlüsseln können und sie werden automatisch beim Zugriff entschlüsselt. Interessant auch daß es eine Policy gibt, mit der man Standby verbieten kann, denn beim Aufwachen aus dem Standby muß der Schlüssel offensichtlich nicht per Stick angeboten werden. D.h. wenn LO den Server in den Standby schickt, muß der Schlüssel nicht verfügbar sein, beim Stromausfall den der Dieb verursacht fehlt er dann.
Interessant ist daß WHS dann die preiswerteste Windowsversion mit Bitlocker ist.
Joachim

[Atomieno]

Hallo!

Ich greife das Thema hier nochmal auf, weil die Überschrift schön passt.
Hat jetzt inzwischen schon jemand Truecrypt auf dem WHS 2011 am Laufen?
Meinereiner hat es gerade probiert - theoretisch funktioniert es auch, aber das Dashboard hat keinen Zugriff auf das Laufwerk (es wird nichts angezeigt), jedoch über den Arbeitsplatz kann ich normal darauf arbeiten. Mir scheint, dass das Dashboard nur die Laufwerke sieht, die auch die "Computerverwaltung"-Console kennt.

Bis jetzt hoffe ich aber noch, dass ich nur etwas übersehen habe, da ich nicht schon wieder den WHS in einer VM laufen lassen wollte.

edit:
Unter "Festplatten" seh ich das Laufwerk nicht - was noch logisch erscheint. Aber wenn ich eine Freigabe verschieben oder neu erstellen will auf dem Laufwerk (da lässt es sich auswählen), kommt eine Fehlmeldung dass der Vorgang nicht abgeschlossen werden konnte.