Seite 2 von 2
Re: Truecrypt - was geht mit WHS und was nicht?
Verfasst: 23. Sep 2012, 00:38
von luca brasi
Wollte zunächst ohne bestehende Partition verschlüsseln, was bei den 3TB GPT-Platten aber nicht ging. Die kleine System partition am Anfang musste erstellt werden und dann der restliche Platz in einer Partition verschlüsselt werden.
Re: Truecrypt - was geht mit WHS und was nicht?
Verfasst: 23. Sep 2012, 08:56
von JoachimL
luca brasi hat geschrieben:.. bei den 3TB GPT-Platten aber nicht ging. Die kleine System partition am Anfang musste erstellt werden ...
Systemplatte mit 3TB? Überhaupt 3TB und WHS v1 mit Standardfreigaben? Ich dachte das geht nicht.
TBS hat geschrieben:Also ich habe 3 Platten mit truecrypt Verschlüsselt. Aber nicht das System
Meine Platten sind auch im Netzwerk freigegeben
Blöd ist nur wenn ich den rechner aus mache usw muss ich alle platten immer und immer wider freigeben also nicht entschlüsseln sondern freigeben
systemplatte verschlüsseln halte ich nicht ver klug, da müsste ich immer wider Monitor tasta usw dran machen
Bei Bitlocker auf WHS 2011 und verschlüsselter Systemplatte reicht es wenn der USB-Stick beim Kaltstart steckt, ansonsten wird weder Stick noch Tastatur oder Monitor benötigt. Auf der Systemplatte werden dann auch die Schlüssel aller anderen Platten gespeichert, einschließlich Backupplatten die nicht dauernd im System sind.
Ich hab das Thema Verschlüsselung beim WHS v1 lange beobachtet (auch in anderen Foren) und keine zufriedenstellende Lösung gesehen, als WHS 2011 bezahlbar wurde hab ich sofort zugegriffen. Ich kann Euch nur empfehlen Bitlocker anzusehen, dass Truecrypt zu einem besseren Ergebnis führt kann ich mir nicht wirklich vorstellen - ausser Ihr glaubt an die angebliche Backdoor in Windows für die US-Behörden und seht Euch davon betroffen.
Gruß Joachim
Re: Truecrypt - was geht mit WHS und was nicht?
Verfasst: 23. Sep 2012, 10:21
von TBS
Naja ich finde, solange das PW nicht im kopf ist ist es nicht sicher.
Kommt aber immer drauf an was man drauf hat und wie sehr jemand die Daten will.
Eine behörde wird kaum was machen wegen Filme und so aber wenn es um KinderPorn geht werden sie alles in ihrer macht einsetzten ( ihr wisst was ich mein )
Anmerkung: sowas habe ich nicht
Hab nur ein Paar BrRips von Normalen Filmen ... deswegen Verschlüsseln. es kann ja immer mal sein
das was kommt
))
und da sie dann alles mitnehmen ist es doof wenn man das auf einem Stick hat
Mir persönlich macht die PW eingabe nix aus
was mich aufregt ist einfach das ich immer und immer wider alles Freigeben muss und schreibe rechte verteilen muss wenn es dafür was geben würde wer ich schon mal glücklich...
Re: Truecrypt - was geht mit WHS und was nicht?
Verfasst: 23. Sep 2012, 11:29
von JoachimL
TBS hat geschrieben:Naja ich finde, solange das PW nicht im kopf ist ist es nicht sicher.
M.E. ganz falsch. PW die man sich merken können, haben meist keine große Entropie oder man kann sic nur ganz wenige gute merken. Das führt dann in der Realität dazu dass das gleiche Passwort an mehreren Stellen wiederverwendet wird, und das ist - wenn man nichts über die Sicherheit des Dienstes weiss - ganz schlecht. Wenn dort Passwörter nicht als Salted Hash gespeichet werden (leider viel zu oft) dann sind gleich mehrere Dienste für den Angreifer offen.
TBS hat geschrieben:und da sie dann alles mitnehmen ist es doof wenn man das auf einem Stick hat
An Dein Passwort kommen Ermittlungsbehörden auch ran, man nennt das Beugehaft und die kann m.W. unbegrenzt eingesetzt werden...
(Disclaimer: ich bin kein Jurist, dies ist keine Rechtsberatung sondern gibt mein Halb- oder Unwissen wieder)
Gruß Joachim
Re: Truecrypt - was geht mit WHS und was nicht?
Verfasst: 23. Sep 2012, 11:36
von TBS
mhm kA ich denke das mein PW im Kopf sicher ist... sind halt nur knapp 25-35 Stellen Großund kelin Sonderzeihen und ka was noch alles
zur beugerhaft ich habe kA was ich bekommen würde wenn ich das PW ausspucken würde
Re: Truecrypt - was geht mit WHS und was nicht?
Verfasst: 23. Sep 2012, 20:40
von gkb
luca brasi hat geschrieben:@gkp:
Und auch vorhandene Truecrypt-Festplatten lassen sich in WHS beim Booten mounten (automatisch inkl. Freigaben), so dass man im Netz von anderen Rechnern auf diese Freigaben zugreifen kann.
Kannst du mir bitte kurz beschreiben wie du das gemacht hast oder einen Link nennen? Ich kenne nur die Funktion der System Favorite Volumes, die werden meines Wissens aber erst nach dem Anmelden gemountet?
Habe das jetzt nicht getestet, aber das ist doch für den WHS und die Freigaben dann zu spät?
Bin zwar auch kein Truecrypt-Experte, aber m.W. ist es so:
- bei "normalen" Favorite Volumes kann man auswählen, dass sie beim
Anmelden eingebunden werden und
- bei "System" Favorite Volumes kann man auswählen, dass sie beim
Booten eingebunden werden (geht nur, wenn man die Systempartition verschlüsselt hat).
Ich habe also auch die Systempartition mit Truecrypt verschlüsselt und Einbinden beim Booten ausgewählt. Die einmal festgelegte Freigabe erfolgt dann auch immer wieder automatisch.
Nachteil: Man muss das Truecrypt-Passwort bei jedem Booten manuell eingeben. Dazu reicht aber eine (einfache, kleine, billige, staubgeschützte, unauffällige, formschöne) Tastatur vollkommen aus. EIn Monitor ist nicht erforderlich. Man kann das Passwort auch "blind" eingeben.
Auch die WHS-Clients sind mit Truecrypt verschlüsselt. Client-Sicherung und Client-Wiederherstellung funktioniert wie es soll, bis auf folgende Besonderheit: Bei der Client-Wiederherstellung wird der Client zunächst unverschlüsselt wiederhergestellt, weil Truecrypt offenbar so transparent ist, dass WHS nicht weiß, dass der Client verschlüsselt ist. Man muss also nach einer Client-Wiederherstellung nur kurz nochmal manuell den Client verschlüsseln. (Die Daten für die Wiederherstellung lagern ja sowie verschlüsselt auf dem WHS-Server.)
Nachteil2: Für die Server-Sicherung kann man keine Truecrypt-verschlüsselte Platte nehmen, siehe
oben -> Man muss auf die Server-Sicherung verzichten, damit die Daten nicht unverschlüsselt "rumliegen".
Re: Truecrypt - was geht mit WHS und was nicht?
Verfasst: 24. Sep 2012, 00:36
von luca brasi
Hi gkb,
super vielen Dank für die Infos! Ich lass im Moment die Verschlüsselungen laufen, was ja ne Zeit dauern wird. Dann werde ich es mal wie von dir genannt einrichten und hoffen dass es klappt.
- bei "System" Favorite Volumes kann man auswählen, dass sie beim Booten eingebunden werden (geht nur, wenn man die Systempartition verschlüsselt hat).
Ich habe also auch die Systempartition mit Truecrypt verschlüsselt und Einbinden beim Booten ausgewählt. Die einmal festgelegte Freigabe erfolgt dann auch immer wieder automatisch.
Soweit verstanden. Das heisst, deine Freigaben sind dann auch nach dem Booten verfügbar, selbst wenn (noch) gar kein User aktiv am WHS angemeldet ist?
Nachteil 1 ist mir bewusst, ich habe das auch so wie du mit einer Tastatur vor, die ich bei Bedarf schnell ansteck.
Das mit der Sicherung der verschlüsselten Clients seh ich relativ unkritisch, so wie du es ja auch beschreibst.
Ich mache mir nur noch Gedanken, wie ich das System des WHS wegsichern soll. Mal schauen was die Sicherungsroutine über Image in der Computerverwaltung oder Acronis so anstellt.
Nachteil2 ist bei mir kein Problem, weil ich nicht auf Platten sicher sondern auf einem anderen Server der wiederum verschlüsselt ist.
Beim Einrichten der Serversicherungsfestplatte wird diese neu formatiert und damit die Truecrypt-Verschlüsselung hinfällig. Und wenn man die eingerichtete Serverplatte nachträglich nochmal verschlüsselt, merkt das WHS und nimmt sie nicht mehr als Sicherungsplatte.
Du meinst hier bestimmt die Sicherungsroutine der WHS-Konsole? Hast du mal probiert die Sicherung über Server-Manager/Speicher/Windows Server-Sicherung einzurichten? Vielleicht nimmt er dort die gemountete Platte direkt als Backup-Speicherort ohne zu formatieren. Ist nur ne Idee, müsstest du probieren.
Re: Truecrypt - was geht mit WHS und was nicht?
Verfasst: 25. Sep 2012, 00:05
von gkb
luca brasi hat geschrieben:Soweit verstanden. Das heisst, deine Freigaben sind dann auch nach dem Booten verfügbar, selbst wenn (noch) gar kein User aktiv am WHS angemeldet ist?
genau
luca brasi hat geschrieben:Beim Einrichten der Serversicherungsfestplatte wird diese neu formatiert und damit die Truecrypt-Verschlüsselung hinfällig. Und wenn man die eingerichtete Serverplatte nachträglich nochmal verschlüsselt, merkt das WHS und nimmt sie nicht mehr als Sicherungsplatte.
Du meinst hier bestimmt die Sicherungsroutine der WHS-Konsole? Hast du mal probiert die Sicherung über Server-Manager/Speicher/Windows Server-Sicherung einzurichten? Vielleicht nimmt er dort die gemountete Platte direkt als Backup-Speicherort ohne zu formatieren. Ist nur ne Idee, müsstest du probieren.
Habe gerade erstmals deinen Tipp umgesetzt: Bei Server-Manager/Speicher/Windows Server-Sicherung kann ich ein Ziel im Netzwerk angeben, bspw. (nur) einen Ordner. Zum schnelleren Testen habe ich jetzt nur ein paar Dateien zum Sichern ausgewählt. Funktioniert!
Re: Truecrypt - was geht mit WHS und was nicht?
Verfasst: 25. Sep 2012, 21:03
von luca brasi
Hi gkb,
ich habe es jetzt soweit zum laufen bekommen. Die Platten werden beim booten gemountet und die bestehenden Freigaben sind auch gleich verfügbar. Was leider nicht geht ist die Verwaltung der Freigaben über die WHS konsole. Kann keine auf den verschlüsselten Platten erstellen oder bestehende dorthin verschieben... Das komische ist, dass die bestehenden auf einer Platte liegen die in place verschlüsselt wurde. Mit denen kann der WHS ohne weiteres umgehen...
Wie ist denn das bei dir? hast du ne Idee?
Re: Truecrypt - was geht mit WHS und was nicht?
Verfasst: 25. Sep 2012, 22:28
von gkb
luca brasi hat geschrieben:Was leider nicht geht ist die Verwaltung der Freigaben über die WHS konsole. Kann keine auf den verschlüsselten Platten erstellen oder bestehende dorthin verschieben...
stimmt, ist bei mir auch so
luca brasi hat geschrieben:Das komische ist, dass die bestehenden auf einer Platte liegen die in place verschlüsselt wurde. Mit denen kann der WHS ohne weiteres umgehen...
Dass WHS mit der in place verschlüsselten Systempartition/-festplatte ganz normal umgehen kann, dürfte daran liegen, dass diese Partition beim Booten vor dem Start von WHS "eingebunden" wird, so dass WHS nichts von der Truecrypt-Verschlüsselung bemerkt. Bei den anderen folgenden Partitionen funktioniert das leider nicht so transparent. Keine Ahnung woran das genau liegt und ob man das irgendwie abstellen könnte.
luca brasi hat geschrieben:Wie ist denn das bei dir? hast du ne Idee?
Bei mir ist es so, wie von dir beschrieben. Allerdings sehe ich darin keinen gravierenden Nachteil. Die Medienbibliothek unter Servereinstellungen/Medien/Medieneinstellungen scheint also nur mit Daten/Ordnern der in place verschlüsselten Systemplatte zu funktionieren. Die Daten auf den anderen Truecrypt-Platten kann man aber auch anders zugänglich machen, bspw. mit dem Windows Media Player (siehe
oben) oder gleich mit einem anderen, besseren Programm.
Für meinen Geschmack finde ich die normale Einstellung von Freigaben (in den Ordnereigenschaften) sowieso besser, vor allem besser nachvollziehbar, als dieses System über das WHS-Dashboard.
Re: Truecrypt - was geht mit WHS und was nicht?
Verfasst: 25. Sep 2012, 22:38
von luca brasi
Ok, danke für die Infos! Ich habe grundsätzlich mit der manuellen Verwaltung der Shares kein Problem da ich beruflich viel damit arbeite. Ich wollte mich jetzt nur nicht in die manuelle Verwaltung der User und deren Rechte einarbeiten was den Remotezugriff betrifft. Aber ich schaus mir mal an, vielleicht ist nur halb so wild...