Ordnerverschlüsslung mit True Crypt

Die Sicherheit ist wichtiger Bestandteil beim Betrieb eines Home Servers, der mit dem Internet verbunden ist.
Benutzeravatar
biu
Foren-Mitglied
Beiträge: 358
Registriert: 30. Okt 2009, 18:21
Kontaktdaten:

Ordnerverschlüsslung mit True Crypt

Beitrag von biu »

Hallo an alle.

Ich habe letztes Wochenende meinen Server mal den WHS 2011 spendiert und dabei wollte ich gleich mit TC die Ordnerverschlüsslung durchsetzen.
Gesagt getan. Leider habe ich erst dann bemerkt, dass immer nur ein Rechner einen Ordner mounten kann.
Also ist es nicht möglich, dass 2 Leute gleichzeitig eine Freigabe mounten kann, was mir natürlich gar nicht gefällt.
Möglich wäre es natürlich noch das der Server die Laufwerke mounted und denn Frei gibt, aber das müsste denn automatisch erfolgen, und die Ordner wären im Netzwerk wieder unverschlüsselt.
Hat einer von euch noch einen Vorschlag?
Server : Windows Home Server v1
4850e, 4GB RAM
2 * 1,5 TB , 4 * 1 TB,1 * 750GB
Clients : 3 x Win 7 Ultimate 64 bit, Workstation, Lappi, HTPC
JoachimL
WHS-Experte
Beiträge: 1228
Registriert: 21. Sep 2009, 22:48

Re: Ordnerverschlüsslung mit True Crypt

Beitrag von JoachimL »

probier doch Bitlocker auf dem WHS - ich bin sehr zufrieden damit.
Gruß Joachim
WHS r.i.p. - Software die nicht mehr gewartet wird sollte man nicht mehr einsetzen.
Bei mir laufen drei Dell T20, inzwischen alle unter Hyper-V-2019. Darauf viele virtuelle Maschinen, darunter Windows 10 Pro, Ubuntu 18.04/20.04 LTS (teilweise mit Docker), und auch mal andere. Ein T20 läuft 7*24 und stellt u.a. Mailcow-Dockerized und einen Samba-Domain-Controller (ein 2. läuft auf einem NUC) bereit. Klingt vielleicht seltsam, aber so ist das System - alle - mit Bitlocker verschlüsselt und kann vollständig und konsistent gesichert werden - beides sonst unter Linux schwierig bis unmöglich. Zum Sichern dient das von mir entwickelte Lindenberg Software Backup.
Fragen bitte nicht per PN sondern im Forum - dann haben andere auch was davon. Ich poste hier in meiner Freizeit, Ungeduld ist meiner Meinung nach fehl am Platz...
Benutzeravatar
biu
Foren-Mitglied
Beiträge: 358
Registriert: 30. Okt 2009, 18:21
Kontaktdaten:

Re: Ordnerverschlüsslung mit True Crypt

Beitrag von biu »

Hab mal nen bisschen gegoogelt..
Bitlocker kann nur Laufwerke (Partitionen) verschlüsseln?
Vllt könntest du auch mal kurz beschreiben wie du es bei dir gemacht hast :-)
Server : Windows Home Server v1
4850e, 4GB RAM
2 * 1,5 TB , 4 * 1 TB,1 * 750GB
Clients : 3 x Win 7 Ultimate 64 bit, Workstation, Lappi, HTPC
JoachimL
WHS-Experte
Beiträge: 1228
Registriert: 21. Sep 2009, 22:48

Re: Ordnerverschlüsslung mit True Crypt

Beitrag von JoachimL »

viewtopic.php?f=72&t=15529&p=115176#p115176. Für alle völlig transparent.
Gruß Joachim
WHS r.i.p. - Software die nicht mehr gewartet wird sollte man nicht mehr einsetzen.
Bei mir laufen drei Dell T20, inzwischen alle unter Hyper-V-2019. Darauf viele virtuelle Maschinen, darunter Windows 10 Pro, Ubuntu 18.04/20.04 LTS (teilweise mit Docker), und auch mal andere. Ein T20 läuft 7*24 und stellt u.a. Mailcow-Dockerized und einen Samba-Domain-Controller (ein 2. läuft auf einem NUC) bereit. Klingt vielleicht seltsam, aber so ist das System - alle - mit Bitlocker verschlüsselt und kann vollständig und konsistent gesichert werden - beides sonst unter Linux schwierig bis unmöglich. Zum Sichern dient das von mir entwickelte Lindenberg Software Backup.
Fragen bitte nicht per PN sondern im Forum - dann haben andere auch was davon. Ich poste hier in meiner Freizeit, Ungeduld ist meiner Meinung nach fehl am Platz...
Benutzeravatar
biu
Foren-Mitglied
Beiträge: 358
Registriert: 30. Okt 2009, 18:21
Kontaktdaten:

Re: Ordnerverschlüsslung mit True Crypt

Beitrag von biu »

Okay mir gehts es zwar nicht ums Backup, aber ist hier auch kein großer Unterschied.
Aber d.h. du hast nen Stick an deinem Server und wenn der drin steckt denn entschlüsselt er automatisch?
Sowas würde ich sehr gerne vermeiden.
Ich möchte dass die verschlüsselten Elemente (ordner patitionen etc) freigegeben werden, und dann von dem Client gemounted werden.. so stelle ich mir das zumindestens vor ^^

Edit: Okay noch mal etwas gelesen, vllt wäre ja doch die Systemverschlüsslung mit USB-Stick eine gute Variante
Stick einmal rein zum starten, danach weg denn er geht nur noch schlafen und benötigt den Stick nur wenn er neustartet. Denn wäre die Shares nicht mehr verschlüsselt aber sobald er aus geht (geklaut, beschlagnahmt was auch immer), bekommt man ohne den Stick nichts mehr :-)
Server : Windows Home Server v1
4850e, 4GB RAM
2 * 1,5 TB , 4 * 1 TB,1 * 750GB
Clients : 3 x Win 7 Ultimate 64 bit, Workstation, Lappi, HTPC
Sylar
Foren-Mitglied
Beiträge: 320
Registriert: 21. Nov 2009, 20:30

Re: Ordnerverschlüsslung mit True Crypt

Beitrag von Sylar »

Also ich habe es so gemacht:
Je nach Zuordnung hab ich 100-800GB große Container erstellt und mit TC verschlüsselt. Da hat man 2 Möglichkeiten
1. TC auf WHS installieren und dort die Container mounten und Freigeben für bestimmte User. Kann man einstellen bei der Freigabe zB, nur der User biu hat zugriff bei Container X und Container Y und der User Sylar hat nur zugriff auf Container Y.

2. Die Container liege auf den Shares und der Client mountet die Platte -> nur der Client kann die Daten benützen.

Also ich nutze beide Varianten und ich bin mit der Lösung recht zufrieden derzeit. Nachteil ist halt die Performance bremse bei mir mit dem Intel Atom. Aber da baue ich meistens die Platte aus dem Server raus und schließe die am PC an, hab da deutlich mehr Performance.
Server:
Acer Aspire easyStore H340 (Intel Atom N230 1.6GHz, 2GB RAM, 2x2TB HDD)
Windows Home Server v1 | XMarks | jDownloader | WSUS |
HP Proliant Microserver N40L (AMD Turion 2 Neo 2x1,5GHZ, 8GB RAM, 250GB Samsung 840 SSD,1x3TB)
Windows Server 2012 Essentials | jDownloader

Client:
HP Pavillion Desktop(Intel Q6600 4x2,4GHZ, 4GB RAM, Crucial m4 128GB SSD, 3TB HDD)
Sony VAIO FE-11M(Intel Centrino Duo 2x1,66GHZ, 2,5GB RAM, 320GB HDD)
HP Pavilion dv6 (Intel Core i7 2670QM 4x2,2GHZ, 8GB RAM, 1TB HDD)
Benutzeravatar
biu
Foren-Mitglied
Beiträge: 358
Registriert: 30. Okt 2009, 18:21
Kontaktdaten:

Re: Ordnerverschlüsslung mit True Crypt

Beitrag von biu »

Also ich werde wohl auch die Container vom WHS mounten lassen, und den USB stick kann ich ja denn "sicher" (bei verwandten oder so) lassen (System von Bitlocker verschlüsselt rest TC), so das wenn er vom netz genommen wird und erneut hochfahren soll alles verschlüsselt ist ;)
Server : Windows Home Server v1
4850e, 4GB RAM
2 * 1,5 TB , 4 * 1 TB,1 * 750GB
Clients : 3 x Win 7 Ultimate 64 bit, Workstation, Lappi, HTPC
JoachimL
WHS-Experte
Beiträge: 1228
Registriert: 21. Sep 2009, 22:48

Re: Ordnerverschlüsslung mit True Crypt

Beitrag von JoachimL »

biu hat geschrieben:Okay mir gehts es zwar nicht ums Backup, aber ist hier auch kein großer Unterschied.
bei mir sind die Partitionen C, D, und F und G verschlüsselt, also nicht nur Backup sondern auch das System, Clientbackups und wichtige Shares, nur das Medienarchiv nicht.
biu hat geschrieben:Aber d.h. du hast nen Stick an deinem Server und wenn der drin steckt denn entschlüsselt er automatisch?
Sowas würde ich sehr gerne vermeiden.
Der Stick ist nur beim Booten erforderlich und befindet sich also normalerweise wo ganz anders. Beim Aufwachen aus dem Standby wird der Stick nicht gebraucht (kann man so konfigurieren, will ich nicht).
biu hat geschrieben:Ich möchte dass die verschlüsselten Elemente (ordner patitionen etc) freigegeben werden, und dann von dem Client gemounted werden.. so stelle ich mir das zumindestens vor ^^
tut genau so.
biu hat geschrieben:Edit: Okay noch mal etwas gelesen, vllt wäre ja doch die Systemverschlüsslung mit USB-Stick eine gute Variante
Stick einmal rein zum starten, danach weg denn er geht nur noch schlafen und benötigt den Stick nur wenn er neustartet. Denn wäre die Shares nicht mehr verschlüsselt aber sobald er aus geht (geklaut, beschlagnahmt was auch immer), bekommt man ohne den Stick nichts mehr :-)
Du hast es begriffen..
Sylar hat geschrieben:Also ich nutze beide Varianten und ich bin mit der Lösung recht zufrieden derzeit. Nachteil ist halt die Performance bremse bei mir mit dem Intel Atom. Aber da baue ich meistens die Platte aus dem Server raus und schließe die am PC an, hab da deutlich mehr Performance.
Lokales Kopieren auf dem WHS läuft trotz Atom mit ca 20MB/s (unverschlüsselt->verschlüsselt), bei mir ist also das WLAN die stärkere Bremse als Bitlocker, und meine Familie muß eh erst durch den OpenVPN Tunnel durch..
Gruß Joachim
WHS r.i.p. - Software die nicht mehr gewartet wird sollte man nicht mehr einsetzen.
Bei mir laufen drei Dell T20, inzwischen alle unter Hyper-V-2019. Darauf viele virtuelle Maschinen, darunter Windows 10 Pro, Ubuntu 18.04/20.04 LTS (teilweise mit Docker), und auch mal andere. Ein T20 läuft 7*24 und stellt u.a. Mailcow-Dockerized und einen Samba-Domain-Controller (ein 2. läuft auf einem NUC) bereit. Klingt vielleicht seltsam, aber so ist das System - alle - mit Bitlocker verschlüsselt und kann vollständig und konsistent gesichert werden - beides sonst unter Linux schwierig bis unmöglich. Zum Sichern dient das von mir entwickelte Lindenberg Software Backup.
Fragen bitte nicht per PN sondern im Forum - dann haben andere auch was davon. Ich poste hier in meiner Freizeit, Ungeduld ist meiner Meinung nach fehl am Platz...
Benutzeravatar
biu
Foren-Mitglied
Beiträge: 358
Registriert: 30. Okt 2009, 18:21
Kontaktdaten:

Re: Ordnerverschlüsslung mit True Crypt

Beitrag von biu »

Also Performence sollte nicht das Problem darstellen, mein kleiner 4850e packt das bisher ganz gut :-)
Ich werde wenn ich mit dem Server fertig bin, ihn auch mal vorstellen.

Danke nochmal an euch, denke mein Problem ist gelöst ;)
Server : Windows Home Server v1
4850e, 4GB RAM
2 * 1,5 TB , 4 * 1 TB,1 * 750GB
Clients : 3 x Win 7 Ultimate 64 bit, Workstation, Lappi, HTPC
Sylar
Foren-Mitglied
Beiträge: 320
Registriert: 21. Nov 2009, 20:30

Re: Ordnerverschlüsslung mit True Crypt

Beitrag von Sylar »

Laufen tut alles, nur ob man mit der Performance zufrieden ist, ist halt eine andere Frage.
Also für mich ist eine Komplettverschlüsselung leider zu langsam. Auch die Container sind unter meinen Q6600 nur um 10MB/s schneller als beim Intel Atom! Der Unterschied zwischen Container und verschlüsselte HDD ist doch enorm..
Server:
Acer Aspire easyStore H340 (Intel Atom N230 1.6GHz, 2GB RAM, 2x2TB HDD)
Windows Home Server v1 | XMarks | jDownloader | WSUS |
HP Proliant Microserver N40L (AMD Turion 2 Neo 2x1,5GHZ, 8GB RAM, 250GB Samsung 840 SSD,1x3TB)
Windows Server 2012 Essentials | jDownloader

Client:
HP Pavillion Desktop(Intel Q6600 4x2,4GHZ, 4GB RAM, Crucial m4 128GB SSD, 3TB HDD)
Sony VAIO FE-11M(Intel Centrino Duo 2x1,66GHZ, 2,5GB RAM, 320GB HDD)
HP Pavilion dv6 (Intel Core i7 2670QM 4x2,2GHZ, 8GB RAM, 1TB HDD)
Benutzeravatar
biu
Foren-Mitglied
Beiträge: 358
Registriert: 30. Okt 2009, 18:21
Kontaktdaten:

Re: Ordnerverschlüsslung mit True Crypt

Beitrag von biu »

kurzes update:
tc ist nun vollkommen weg, denn es kann die systemplatte nicht verschlüsseln mit einm keyfile von einm usbstick ..
also nun bitlocker genommen -> kein problem, bis ich gespiegelte festplatten verschlüsseln wollte (von windows gespiegelt), das scheint er nicht zu können, weitere updates folgen ;)

Edit: ich spiel nun erstmal updates ein ..
Edit2: also bitlocker kann wohl keine dynamischen datenträger verschlüsseln ..
Server : Windows Home Server v1
4850e, 4GB RAM
2 * 1,5 TB , 4 * 1 TB,1 * 750GB
Clients : 3 x Win 7 Ultimate 64 bit, Workstation, Lappi, HTPC
Martin M.
Foren-Mitglied
Beiträge: 211
Registriert: 1. Nov 2008, 00:13

Re: Ordnerverschlüsslung mit True Crypt

Beitrag von Martin M. »

biu hat geschrieben: Edit2: also bitlocker kann wohl keine dynamischen datenträger verschlüsseln ..
Genau aus diesem Grund setze ich auf die RAID-Funktionalität des Mainboards oder eines extra RAID-Controllers, dann kann man auch RAID1 oder RAID5 mit Bitlocker verschlüsseln, auch wenn es nur ein Fake-RAID ist, Hauptsache kein dynamischer Datenträger. Und sogar ein Intel Onboard-RAID kann ein RAID5 um eine Platte erweitern, das geht mit einem dynamischen Datenträger-RAID ebenfalls nicht.
Mein TPM habe ich erst heute bekommen, derzeit wird alles entschlüsselt um von Bitlocker mit USB Key auf Bitlocker mit TPM und Pin umstellen zu können, ohne Pin ist mir das zu unsicher. Warum MS bei der Verwendung eines USB Keys keinen PIN ermöglicht, kann ich nicht verstehen.
sTunTe
Moderator
Beiträge: 3078
Registriert: 9. Jun 2008, 16:25
Wohnort: im nasskalten Norden

Re: Ordnerverschlüsslung mit True Crypt

Beitrag von sTunTe »

Martin M. hat geschrieben:Und sogar ein Intel Onboard-RAID kann ein RAID5 um eine Platte erweitern, ...
Aber erst ab ICH10R. ;)
Guckst Du hier: http://www.intel.com/support/chipsets/i ... 022304.htm

Gruß
sTunTe
JoachimL
WHS-Experte
Beiträge: 1228
Registriert: 21. Sep 2009, 22:48

Re: Ordnerverschlüsslung mit True Crypt

Beitrag von JoachimL »

Martin M. hat geschrieben:Mein TPM habe ich erst heute bekommen, derzeit wird alles entschlüsselt um von Bitlocker mit USB Key auf Bitlocker mit TPM und Pin umstellen zu können, ohne Pin ist mir das zu unsicher. Warum MS bei der Verwendung eines USB Keys keinen PIN ermöglicht, kann ich nicht verstehen.
Unterstützt Dein TMP 1.2 und exponential Delay (http://technet.microsoft.com/en-us/libr ... 51452.aspx) ? Ansonsten ist jede PIN als Schlüssel dem USB Key unterlegen - vorausgesetzt natürlich er wird getrennt aufbewahrt.
Daß MS USB+PIN nicht unterstützt liegt ganz bestimmt daran daß eine PIN nur sinnvoll ist wenn man den Schlüssel bei Fehlversuchen sperren, löschen, oder zumindest den Zugriff verzögern kann. Da man ein USB-Device schreibschützen oder kopieren kann bringt das einfach nichts, das wäre nur eine scheinbare Sicherheit.
Und noch eine Frage: wie sind Deine Backups geschützt? Mal angenommen die Bude brennt ab und das TPM ist futsch, der WHS auch - sind Deine Backups außer Haus und verschlüsselt?
Gruß Joachim
WHS r.i.p. - Software die nicht mehr gewartet wird sollte man nicht mehr einsetzen.
Bei mir laufen drei Dell T20, inzwischen alle unter Hyper-V-2019. Darauf viele virtuelle Maschinen, darunter Windows 10 Pro, Ubuntu 18.04/20.04 LTS (teilweise mit Docker), und auch mal andere. Ein T20 läuft 7*24 und stellt u.a. Mailcow-Dockerized und einen Samba-Domain-Controller (ein 2. läuft auf einem NUC) bereit. Klingt vielleicht seltsam, aber so ist das System - alle - mit Bitlocker verschlüsselt und kann vollständig und konsistent gesichert werden - beides sonst unter Linux schwierig bis unmöglich. Zum Sichern dient das von mir entwickelte Lindenberg Software Backup.
Fragen bitte nicht per PN sondern im Forum - dann haben andere auch was davon. Ich poste hier in meiner Freizeit, Ungeduld ist meiner Meinung nach fehl am Platz...
Benutzeravatar
biu
Foren-Mitglied
Beiträge: 358
Registriert: 30. Okt 2009, 18:21
Kontaktdaten:

Re: Ordnerverschlüsslung mit True Crypt

Beitrag von biu »

Also ich bin ja fast am Ende mit dem Teil ;)
Alles etwas nevenaufreibend ^^
Sehe grade auch nur noch folgende Optionen:
1. aufs raid verzichten, stattdessen jeden Tag/woche/monat nen script (bzw backup funktion vom whs) welches Daten schauffelt
2. raid vom mobo nutzen, dem vertraue nich eigentlich sehr wenig, wobei raid 1 eigentlich sehr wenig schwierigkeiten mitbringt ;)

so nu erstmal zur arbeit ^^

Edit: also denke grade drüber nach das raid sein zu lassen, weil ich durch backups ausreichend geschützt bin (bilde ich mir ein ^^), aber denn würde ich wenigstens gern dn speicher durch die zusätzlichen Platten erhöhen, was ja wieder ein problem darstellt,
zur erläuterung,
habe
2x1 tb - normale daten
2 x 1,5 TB - viedeos
2 x 2 tb - dokus
also insgesamt auch nur 3 shares die ich nutze, da wirds denn mit 6 platten schwierig :/ muesste ja sowas wie JBOD her aber denn geht das wieder mit den dynamischen platten los ^^
Server : Windows Home Server v1
4850e, 4GB RAM
2 * 1,5 TB , 4 * 1 TB,1 * 750GB
Clients : 3 x Win 7 Ultimate 64 bit, Workstation, Lappi, HTPC
Antworten