Bitlocker WHS 2011

Allgemeine Themen rund um WHS2011 (vormals Codename Vail).
Antworten
FreeZe
Foren-Einsteiger
Beiträge: 2
Registriert: 21. Nov 2012, 17:04

Bitlocker WHS 2011

Beitrag von FreeZe »

Hallo,
ich bin neu hier und wollte mal ein paar Informationen bezüglich WHS 2011 mit Bitlocker komplett zu verschlüsseln.

Speicherkonfiguration:
1x SSD Für das OS
2x HDD als Hardware Raid1 für die Daten
1x HDD für Clientbackups
1x HDD für Serverbackup

diese Festplatten sind alle intern.
Ist es möglich diese ALLE inkl. der Serverbackup Festplatte zu verschlüsseln so dass alle automatisch per USB Key entschlüsselt werden?

Frage1:
Wie sieht es mit der Backupplatte aus? WHS partitioniert, formatiert und entfernt den Laufwerksbuchstaben ja automatisch sobald sie als Serversicherungsplatte gewählt wird.
Was passiert dann mit der Verschlüsselung?

Frage2:
Wie komme ich an die noch vorhandenen Daten auf den anderen Laufwerken falls die Systemplatte defekt wäre?

Frage3:
Wie sieht es mit der Wiederherstellung aus einer Serversicherung aus wenn das Systemlaufwerk verschlüsselt ist/war? Bzw. wenn Serversicherungsplatte und Systemlaufwerk verschlüsselt sind/waren?

Vielen Dank schonmal im Voraus :)
JoachimL
WHS-Experte
Beiträge: 1228
Registriert: 21. Sep 2009, 22:48

Re: Bitlocker WHS 2011

Beitrag von JoachimL »

Frage0??
FreeZe hat geschrieben:Ist es möglich diese ALLE inkl. der Serverbackup Festplatte zu verschlüsseln so dass alle automatisch per USB Key entschlüsselt werden?
Sehe keinen Hinderungsgrund (da Hardware RAID - aber willst Du das wirklich? hast Du eine identische Konfiguration in der Du die verschlüsselten Platten einhängen kannst?). Auf dem USB Stick braucht es nur den Key der Systemplatte, die anderen Keys merkt sich Windows auf Wunsch in der Systemkonfiguration wenn die auf einer verschlüsselten Platte liegt. Dass der Stick getrennt vom Server an einer sicheren Stelle aufbewahrt werden sollte ist klar, und weitere Backups der Keys gehören verschlüsselt...
FreeZe hat geschrieben:Frage1:
Wie sieht es mit der Backupplatte aus? WHS partitioniert, formatiert und entfernt den Laufwerksbuchstaben ja automatisch sobald sie als Serversicherungsplatte gewählt wird.
Was passiert dann mit der Verschlüsselung?
Verschlüssel gleich nach der ersten Sicherung, daran stört sich die Sicherung nicht.
FreeZe hat geschrieben:Frage2:
Wie komme ich an die noch vorhandenen Daten auf den anderen Laufwerken falls die Systemplatte defekt wäre?
Du brauchst natürlich die Schlüssel, kannst dafür natürlich den gleichen USB Stick verwenden. An Dein RAID wirst Du ohne kompatible (identische) Konfiguration nicht rankommen. Ich würde eher in eine 2. Backupplatte investieren als in RAID.
FreeZe hat geschrieben:Frage3:
Wie sieht es mit der Wiederherstellung aus einer Serversicherung aus wenn das Systemlaufwerk verschlüsselt ist/war? Bzw. wenn Serversicherungsplatte und Systemlaufwerk verschlüsselt sind/waren?
Die Recoverykonsole erkennt eine verschlüsselte Festplatte nicht. Was gehen sollte ist die Sicherungsplatte an einen anderen Rechner zu hängen, Key eingeben, und dann Restore übers Netzwerk. Das hab ich aber nicht zu Ende probiert weil man dabei keinen älteren Zustand auswählen kann und der letzte war bei mir kaputt. Wahrscheinlich ist danach die Systemplatte nicht verschlüsselt und muss erneut verschlüsselt werden. Weil ich stattdessen Systemzustand wiederherstellen gewählt habe, kann ich mit Sicherheit sagen dass Systemzustand wiederherstellen problemlos geht ohne zu entschlüsseln - aber dafür muss das System noch laufen.
Gruß Joachim
WHS r.i.p. - Software die nicht mehr gewartet wird sollte man nicht mehr einsetzen.
Bei mir laufen drei Dell T20, inzwischen alle unter Hyper-V-2019. Darauf viele virtuelle Maschinen, darunter Windows 10 Pro, Ubuntu 18.04/20.04 LTS (teilweise mit Docker), und auch mal andere. Ein T20 läuft 7*24 und stellt u.a. Mailcow-Dockerized und einen Samba-Domain-Controller (ein 2. läuft auf einem NUC) bereit. Klingt vielleicht seltsam, aber so ist das System - alle - mit Bitlocker verschlüsselt und kann vollständig und konsistent gesichert werden - beides sonst unter Linux schwierig bis unmöglich. Zum Sichern dient das von mir entwickelte Lindenberg Software Backup.
Fragen bitte nicht per PN sondern im Forum - dann haben andere auch was davon. Ich poste hier in meiner Freizeit, Ungeduld ist meiner Meinung nach fehl am Platz...
FreeZe
Foren-Einsteiger
Beiträge: 2
Registriert: 21. Nov 2012, 17:04

Re: Bitlocker WHS 2011

Beitrag von FreeZe »

FreeZe hat geschrieben:Frage1:
Wie sieht es mit der Backupplatte aus? WHS partitioniert, formatiert und entfernt den Laufwerksbuchstaben ja automatisch sobald sie als Serversicherungsplatte gewählt wird.
Was passiert dann mit der Verschlüsselung?
Verschlüssel gleich nach der ersten Sicherung, daran stört sich die Sicherung nicht.
Also quasi 1. Systemlaufwerk verschlüsseln 2. Datenlaufwerk verschlüsseln 3. Sicherungsplatte hinzufügen 4. Sichern 5. Sicherungsplatte verschlüsseln?
FreeZe hat geschrieben:Frage2:
Wie komme ich an die noch vorhandenen Daten auf den anderen Laufwerken falls die Systemplatte defekt wäre?
Du brauchst natürlich die Schlüssel, kannst dafür natürlich den gleichen USB Stick verwenden. An Dein RAID wirst Du ohne kompatible (identische) Konfiguration nicht rankommen. Ich würde eher in eine 2. Backupplatte investieren als in RAID.
Verstehe ich jetzt nicht ganz... Ich habe ein Raid1 eingerichtet die Platten werden doch nur 1:1 gespiegelt. Somit sollte ich doch eine beliebige Platte aus dem Raid an jeden normalen Controller hängen und dann mittels Key die Platte entschlüsseln können... Oder liege ich jetzt falsch?

Eine weitere Sicherung möchte ich per Filecopy auf ein externes verschlüsseltes Laufwerk machen.

-----------------
Habe mich noch nie wirklich mit dem Thema Bitlocker beschäftigt, kann es passieren, dass irgendetwas mit der ver/entschlüsselung schief geht und die Daten dann nicht mehr lesbar sind? Abgesehen davon Key verloren o.ä.
Wie zuverlässig läuft das ganze?
JoachimL
WHS-Experte
Beiträge: 1228
Registriert: 21. Sep 2009, 22:48

Re: Bitlocker WHS 2011

Beitrag von JoachimL »

FreeZe hat geschrieben: Also quasi 1. Systemlaufwerk verschlüsseln 2. Datenlaufwerk verschlüsseln 3. Sicherungsplatte hinzufügen 4. Sichern 5. Sicherungsplatte verschlüsseln?
Genau - wobei 2. dabei keine Rolle spielt.
FreeZe hat geschrieben:Verstehe ich jetzt nicht ganz... Ich habe ein Raid1 eingerichtet die Platten werden doch nur 1:1 gespiegelt. Somit sollte ich doch eine beliebige Platte aus dem Raid an jeden normalen Controller hängen und dann mittels Key die Platte entschlüsseln können... Oder liege ich jetzt falsch?
Bin kein RAID-Experte, aber m.W. ist das nur in kompatibler/identischer Konfiguration garantiert. Probier´s aus - Notfallpläne sind nur was wert wenn sie auch geübt werden!
FreeZe hat geschrieben:Wie zuverlässig läuft das ganze?
Ich hab kein Problem das ich auf Bitlocker schieben würde.
Gruß Joachim
WHS r.i.p. - Software die nicht mehr gewartet wird sollte man nicht mehr einsetzen.
Bei mir laufen drei Dell T20, inzwischen alle unter Hyper-V-2019. Darauf viele virtuelle Maschinen, darunter Windows 10 Pro, Ubuntu 18.04/20.04 LTS (teilweise mit Docker), und auch mal andere. Ein T20 läuft 7*24 und stellt u.a. Mailcow-Dockerized und einen Samba-Domain-Controller (ein 2. läuft auf einem NUC) bereit. Klingt vielleicht seltsam, aber so ist das System - alle - mit Bitlocker verschlüsselt und kann vollständig und konsistent gesichert werden - beides sonst unter Linux schwierig bis unmöglich. Zum Sichern dient das von mir entwickelte Lindenberg Software Backup.
Fragen bitte nicht per PN sondern im Forum - dann haben andere auch was davon. Ich poste hier in meiner Freizeit, Ungeduld ist meiner Meinung nach fehl am Platz...
evilscytheman
Foren-Einsteiger
Beiträge: 23
Registriert: 11. Feb 2011, 21:10

Re: Bitlocker WHS 2011

Beitrag von evilscytheman »

Hallo zusammen,

ich grabe mal dieses alte Thema aus.

Ich möchte meine Daten auf dem Server auf Grund der Diebstahlgefahr (ganzer Server, nicht einzelne Festplatten) verschlüsseln. Zusätzlich habe ich von StableBit den DrivePool installiert, so dass es wohl zu Problemen führen kann, wenn nicht alle Festplatten entschlüsselt werden. Ob es reicht, wenn alle HDD entschlüsselt werden, sobald ich auf den Server zugreife, müsste ich testen.

Ich würde also so vorgehen: alle Datenfestplatten verschlüsseln, die Systemplatte aber unverschlüsselt zu lassen. Wenn ich nun auf meine Shares zugreife, meldet sich das Benutzer Windows ja mit einem Account am Server an. Kann man Bitlocker nun so einstellen, dass dann alle Datenfestplatten entschlüsselt werden?

Wenn ja, würde ich das so mal testen und schauen, ob der DrivePool Probleme macht.

Oder seht ihr eine andere / bessere Möglichkeit?

Grüße
JoachimL
WHS-Experte
Beiträge: 1228
Registriert: 21. Sep 2009, 22:48

Re: Bitlocker WHS 2011

Beitrag von JoachimL »

Das macht m.E. gar keinen Sinn weil eine unverschlüsselte Systemplatte immer die Achillesferse ist. Jeder der physischen Zugriff hat, kann das System manipulieren und damit die Kontrolle übernehmen, ggfs. indem er einen Trojaner oder Keylogger mitbringt. Automatische Entschlüsselung bietet Bitlocker deswegen auch nur bei verschlüsseltem System an.
Meine Strategie wäre klar: wenn DrivePool nicht mit Bitlocker kann würde er sofort rausfliegen. Ok, ich hab ihn nie ausprobiert, insofern bleibt ihm das erspart. Ich hab fünf Windowsrechner, alle mit Bitlocker.
Gruß Joachim
WHS r.i.p. - Software die nicht mehr gewartet wird sollte man nicht mehr einsetzen.
Bei mir laufen drei Dell T20, inzwischen alle unter Hyper-V-2019. Darauf viele virtuelle Maschinen, darunter Windows 10 Pro, Ubuntu 18.04/20.04 LTS (teilweise mit Docker), und auch mal andere. Ein T20 läuft 7*24 und stellt u.a. Mailcow-Dockerized und einen Samba-Domain-Controller (ein 2. läuft auf einem NUC) bereit. Klingt vielleicht seltsam, aber so ist das System - alle - mit Bitlocker verschlüsselt und kann vollständig und konsistent gesichert werden - beides sonst unter Linux schwierig bis unmöglich. Zum Sichern dient das von mir entwickelte Lindenberg Software Backup.
Fragen bitte nicht per PN sondern im Forum - dann haben andere auch was davon. Ich poste hier in meiner Freizeit, Ungeduld ist meiner Meinung nach fehl am Platz...
evilscytheman
Foren-Einsteiger
Beiträge: 23
Registriert: 11. Feb 2011, 21:10

Re: Bitlocker WHS 2011

Beitrag von evilscytheman »

OK verstanden.

Aber System HDD und Daten HDDs richtig sinnvoll zu verschlüsseln ginge ja nur mittels Key auf USB Stick oder TPM Modul, richtig? Da das TPM Modul und der USB Stick aber am Rechner dran sind, wäre dieser auch nach einem Diebstahl entschlüsselt oder sehe ich das falsch?

Auf unseren Firmen Laptops haben wir auch Bitlocker, aber ohne TPM. Hier muss man vor dem Booten ein spezielles Bitlocker PW eingeben. Das macht ja aber bei einem Server ohne wirkliche Eingabemöglichkeit vor dem Boot keinen Sinn.

Irgendwie habe ich einen Knoten im Hirn, der mir hier die Logik dahinter versperrt.

Kannst du mich da etwas aufklären?

Danke dir und Grüße
JoachimL
WHS-Experte
Beiträge: 1228
Registriert: 21. Sep 2009, 22:48

Re: Bitlocker WHS 2011

Beitrag von JoachimL »

In beiden Fällen funktionieren die klassischen Angriffe auf Windows in dem man die Systemplatte an einem anderen Rechner manipuliert nicht mehr. Fährt Windows hoch, verlangt es natürlich User&Passwort bevor Du was am System ändern kannst.
Bei TPM gehen noch Angriffe via DMA (benötigt speziell präparierte Hardware) - aber ein normaler Dieb wird sich die Mühe vermutlich eher nicht machen. Die sicherere Variante ist der USB-Stick, den kannst Du nach dem Booten abziehen und wegschließen. Passwort oder PIN beim Booten ist auch in Ordnung (Tastaturen sind billig, Du wirst ja nur eine kleine Anzahl Server haben - in einem Rechenzentrum ist das eher ein Thema, und auf AMT will man nicht unbedingt setzen), eine USV und ein stabiles System dann hilfreich um die Anzahl der Eingaben auf einmal im Monat zu begrenzen. Daher durchaus eine Überlegung Wert: Hyper-V oder Windows Core Server, die brauchen viel weniger Updates als ein normales Windows. Kannst ja ein vollständiges Windows (oder was auch immer) dann virtualisiert auf dem verschlüsselten Grundsystem laufen lassen.
Die Logik ist eigentlich die: Sicherheit hat immer ein Preisschild. Ein autonom startendes System ist zwangsläufig unsicherer als eines dem man helfen muss, aber immer noch besser als ein unverschlüsseltes System.
Windows ist da insgesamt sehr komfortabel, mit Linux ist das richtig schwierig.
Gruß Joachim
WHS r.i.p. - Software die nicht mehr gewartet wird sollte man nicht mehr einsetzen.
Bei mir laufen drei Dell T20, inzwischen alle unter Hyper-V-2019. Darauf viele virtuelle Maschinen, darunter Windows 10 Pro, Ubuntu 18.04/20.04 LTS (teilweise mit Docker), und auch mal andere. Ein T20 läuft 7*24 und stellt u.a. Mailcow-Dockerized und einen Samba-Domain-Controller (ein 2. läuft auf einem NUC) bereit. Klingt vielleicht seltsam, aber so ist das System - alle - mit Bitlocker verschlüsselt und kann vollständig und konsistent gesichert werden - beides sonst unter Linux schwierig bis unmöglich. Zum Sichern dient das von mir entwickelte Lindenberg Software Backup.
Fragen bitte nicht per PN sondern im Forum - dann haben andere auch was davon. Ich poste hier in meiner Freizeit, Ungeduld ist meiner Meinung nach fehl am Platz...
evilscytheman
Foren-Einsteiger
Beiträge: 23
Registriert: 11. Feb 2011, 21:10

Re: Bitlocker WHS 2011

Beitrag von evilscytheman »

OK danke dir :)
Antworten