Jump to content
freak_uit

[Sicherheit Windows10 ] Wie bzw. mit welchem Softwaretool das neue Laptop verschlüsseln?

Empfohlener Beitrag

freak_uit
Geschrieben

Hallo,

habe mir ein neues Laptop gegönnt und will nun die HD verschlüsseln.
Warum ich es verschlüsseln will? 
Weil wenn ich ontour bin es ja geklaut werden könnte und dann hätte der Dieb eventuell leichten Zugriff auf Logins bei Amazon, eBay etc.
Das wäre neben dem Verlust mit viel Stress mit Dritten gepaart.

Info zum Läpi:
HD ist ne SSD  (drei Partitionen)
OS ist windows 10 Enterprise.

Suche eine vernünftige reine softwarebasierende Lösung zum Verschlüsseln

Reichen die Boardmittel sprich BitLocker oder besser was anderes ala VeraCrypt ?

Wird die Kiste dann langsamer?
Lassen sich neue PRGs problemlos noch installieren?

Cuties76
Geschrieben

Moin. 

Also prinzipiell kannst du mit Bitlocker unter Windows 10 auch deine Startfestplatte verschlüsseln. Es gibt zig Beschreibungen bei Google oder Microsoft, wie das geht. Allerdings setzt eine taugliche (und performante) Bitlocker-Verschlüsselung einen sogenannten TPM-Chip auf der Hauptplatine voraus. Die meisten aktuellen Notebooks haben den mit drauf, muss aber nicht sein. Wenn du keinen TPM hast, geht es mit mehr CPU-Last bei Festplatten-Zugriffen trotzdem (dann bei Google nach „Bitlocker ohne TPM“ suchen). Wenn du einen drin hast, gibts zwei Optionen:

1. Startpartition - meist C: genannt - und ggf je nach Belieben die anderen Partitionen mit Bitlocker und Kennwort verschlüsseln und den Bitlocker-Key (wird beim Verschlüsseln angezeigt und dient der Entschlüsselung bei Recovery oder für Reparaturen) gut aufheben. Ist eine lange Zahlenkette (mehr als 40 Zeichen, also nix zum Merken) gut auf nem anderen Medium oder ausgedruckt aufheben. Backup und vor allem Wiederherstellen wird so aber meist komplex und spannend. 

2. Nachdem du eh schon mehr als eine Partition hast (von den dreien ist eine vmtl die Recovery-Partition, die kannst du im Fall eins dann eh knicken), unterscheide in der Nutzung der Partitionen zwischen Programm-Installationen und Daten: Erste aktive Partition (wie bisher als Startpartition C:) unverschlüsselt als Betriebssystem-Partition, eine weitere Partition ( nicht die erste kleine Partition mit ca. 100 MB Systempartition, die braucht Win 10 zum starten)  mit entsprechenden Größe als Datenpartition für die schönen Bilder, die privaten Bankunterlagen und sonst so Daten, die vertraulich bleiben sollen. So kann die Betriebssystem-Partition unverschlüsselt bleiben, da Programme meist nicht verschlüsselt werden müssen, aber die Daten - auf der anderen Partition - dann schon. So hast du mit Backup und Wiederherstellung keine Probleme und die Last für Verschlüsselung tritt nur bei den Daten auf, bei denen es auch sinnvoll ist. 

Die dritte der zwei Optionen ist, dass du nen TPM hast und der Hardware-Hersteller vom BIOS/Uefi Verschlüsselung für die SSD unterstützt. Dann im BIOs/Uefi aktivieren und freuen. Dann muss man die Hardware beim Einschalten mit Fingerabdruck oder Passwort entschlüsseln, hat mit dem Ruhezustand bei Windows keinen Stess mehr (dieser beendet nämlich die Entschlüsselung von Bitlocker-Laufwerken nicht) und die Sorgen mit Backup und Recovery sind auch weg, da man ja nur entschlüsselt sichert (aber dann bitte ggf auch Verschlüsselung auf dem Backupziel aktivieren). Mit Windows Hello kann man sogar die Anmeldung beim Einschalten über das TPM zur Windowsanmeldung weiter reichen und muss sich so nur noch einmal (zugegebenermaßen optisch nicht ganz so hübsch wie die Windows Anmeldemaske - weil nur zeichenorientiert) autorisieren. 

Viel Erfolg

freak_uit
Geschrieben

danke für Dein feedback

Also die SSD is ne 1 TB , die "blinde" Partition habe ich nicht mit gerechnet somit wären es vier.-

Auf c: ist mein OS und die installierten PRGs
Auf d: berufliche Daten und mein privater trash
und auf E: div. Arbeitssicherungskopien und das Image von backup

Das Läpi ist ein 15er Dell  aus der Business Ecke mit Metallgehäuse und erfüllt sogar irgendwelche amerikanischen Militär Standards, 
den Fingerprinter habe ich deaktiviert ( Habe mir erst letztens dummerweise in den Finger geschnitten -> da wäre ich ja schon ausgesperrt und was passiert erst wenn diese Fingerprint-Lesehardware mal kaputt geht ?'?? )
Hardwaretechnisch: TPM hat es , aber was ist mit der SSD , wenn mal dieser kleine chip abraucht und sich ins Nirvana verabschiedet ? 
Die Datz dort kann ich dann knicken , weil ich nicht mehr drauf zugreifen kann und nur Format bleibt um die weiter nutzen zu können .
# grummel.
Irgend nen Standard mit Karte auf Tastatur zum Freischalten kann das Ding auch, aber was wenn die Karte die Neodymmagneten meiner Hifianlage getroffen hat ?
Nutze Elac Jets um meine Ohren zu säubern und so ne Karte hat man ja meist im Portemonnaie ?
tippe nix  und ich starre dann auf nen bluescreen und bin ausgesperrt #zweitesgrummel

Verschlüsselte (FDE/SED) FIPS-Festplatte könnte das Teil  auch , aber da muss ich mich noch einlesen ob das komplett ohne "externe" Hardwarehilfe jenseits der SSD geht.

Wie gesagt eine standalone Software-Lösung die sich nur auf der SSD abspielt wäre mir am Liebsten.
-> Password- > Zugang und fertig ! <-
Wenn externes kaputt egal / SSD Kaputt naja dann is das halt so ->  irgendwie weniger Faktoren.

Ein wenig Zeit habe ich noch,
da sind noch paar Toolz die ich vorher installieren möchte Filezilla , nen websitecrawler und dies und das aus der goodiekiste
und dann erst kommst das letzte backup auf ne autarke Externe und das Verschlüsseln kann beginnen.

Die Frage bleibt nur WIE verschlüsseln so rein softwaretechnisch ?
 

Cuties76
Geschrieben

Ich höre raus, dass du nicht per TPM verschlüsseln willst. Es kann eigentlich nicht passieren, dass der TPM abraucht und dann nicht auch das ganze Mainboard Hoppes geht (der TPM ist eher eine unkritische Hardware, weil mit sehr geringer Leistungsaufnahme, für abrauchen sind eher RAM und CPU Kandidaten, und dann ist das Backup gefragt), aber okay, dann ohne TPM. Bitlocker auf den Laufwerken d und e ist unkritisch, einfach Bitlocker nachinstallieren als Windows Feature, Laufwerk d und e auswählen und Bitlocker auf den Lws aktivieren. 

Alternativ geht das ganze auch mit Veracrypt, da wird nach der Installation ein sogenannter Container beliebiger Größe angelegt, der dann verschlüsselt ist und gemeintes, d.h. als zusätzliches Laufwerk eingebunden wird - Dabei wird das Passwort abgefragt - und dann kann man auf dem LW lesen und schreiben. 

Die Bootpartition mit Veracrypt zu installieren ist eher nicht so einfach - erst recht nicht, wenn es nicht auf den TPM zurückgreifen soll beim verschlüsseln, was es standardmäßig tut (TPM ist halt DIE Verschlüsselungshardware, insofern macht es Veracrypt schon richtig!)

Mein Tipp wäre dann trotzdem Bitlocker für d und e oder eben doch Hardware-Verschlüsseln mit dem TPM.

 

Xaisar
Geschrieben

Dennoch hat er dann das Problem, dass seine Anmeldungen immernoch im Firefox/Chrome/Opera/Edge Cache hängen und nicht mitverschlüsselt werden, was ja seine eigentliche "Angst" ist. Daher, TPM nutzen! Ansonsten musst du umständlich deine Passwortcontainer verschieben.

Mario_Hahner
Geschrieben (bearbeitet)

[.]

bearbeitet von Mario_Hahner
Cuties76
Geschrieben

Jepp. Stimmt.

Cuties76
Geschrieben

Jepp. Stimmt.

moodybs
Geschrieben
Am 31.7.2018 at 23:18, schrieb freak_uit:

Hardwaretechnisch: TPM hat es , aber was ist mit der SSD , wenn mal dieser kleine chip abraucht und sich ins Nirvana verabschiedet ?

Das ist kein Problem. Während der Einrichtung von Bitlocker wird ein Wiederherstellungsschlüssel erzeugt, den du ausdrucken oder auf einem externen Laufwerk speichern musst (der Assistent macht nicht weiter wenn du das nicht tust).

Mit diesem Schlüssel kannst du das Laufwerk jederzeit auf einem anderen Rechner entschlüsseln.

  • Gefällt mir 2
SoBinIchAlso
Geschrieben

Warum nicht Veracrypt auf der gesamten Platte? Dann ist alles "weg".

Aber immerr dran denken : Passwort nicht speichern und nicht vergessen.

Klappt.

Passwort vergessen ist dann wie weg.

3 Fach nacheinander verschlüsseln reicht.

Selbst Brute Force müsste dann jede Verschüsselung nacheinander knacken und das von der innersten aus.

sp33dd34d
Geschrieben

Ich bin nicht so der Fan von Windows. Es kommt drauf an, was man an Programmen nutzt und alternativen sucht. Ich habe bei mir linux laufen und hab das schon direkt bei der Installation verschlüsselt.

PommiTHW
Geschrieben

Ich habe nichts gegen Linux, auch nichts gegen Linuxuser. Ich habe aber was gegen Linuxuser, die es partou nicht einsehen wollen, das es Menschen gibt, die kein Linux wollen und dann in jeden für Linux ach so unwichtigen Tread reinschreiben: Windows ist Sch....., nimm Linux. Könnt ihr nicht mal die Leute in Ruhe lassen? Solche findet man bei Windows selten. Oft bei MAC. Aber ganz extrem sind die Linux-User.

primer
Geschrieben
Am 31.7.2018 at 15:07, schrieb freak_uit:

....OS ist windows 10 Enterprise....

Sorry, aber dann mußt du nix verschlüsseln. Die Einfallstore sind offen während du mit Win10 im Internet unterwegs bist!

Ausserdem: Ab gesehen von einem brauchbaren Betriebsystem mußt du beim verschlüsseln auf eine verleugenbare Plausibilität achten, denn wenn du in manche undemokratischen Länder einreist (China, USA....) dann wollen die deine Passworte von dir.

6yLover
Geschrieben
Am 31.7.2018 at 13:07, schrieb freak_uit:

[...]

OS ist windows 10 Enterprise.

[...]

die version ist doch für firmen gedacht - frag doch in deiner it nach

NylonLover69
Geschrieben

Aus 0815 Security Sicht reicht eine Bitlocker Verschlüsselung vollkommen aus. - Sprich: Windows 10 Onboard Hausmittel sind ausreichend.

Solltest du jetzt schützenswertes Material auf deinem Laptop habe, geheime Firmen-Dokumente / Staatsdokumente benötigt es andere Software und vorallem Hardware.

 

Also für den Sicherheitsbewussten "Normalo" reicht BitLocker dicke!

Knacken und cracken kann man bekanntlich so gut wie alles, nur steht das nicht im Verhältnis zum Stromverbrauch/Zeit - ergo macht BitLocker dein Notebook schon uninteressant genug - und damit sicher.

×