Grundsätzliches Ordnungs- und Sicherheitskonzept? Backups, Systemwiederherstellungspunkt, Verschlüsselung und Antivirus-Software

[Melvin Melville]

Grundsätzlich: gibt es Sicherheitsmaßnahmen die die Lebenszeit einer SSD grob verringern?

Ich habe mir einen neuen Laptop geholt und möchte (zum ersten Mal) ein ordentliches Sicherheitskonzept nutzen. Ich habe aber sehr wenig Ahnung was nützlich oder redundant ist. Desweiteren soll das Betriebssystem möglichst benutzerfreundlich bleiben - jeden Tag zig Backups erstellen, ersetzen, verwalten und am besten noch mehrere Passwörter beim Start wären mir zu stressig. Laptop hat nen Fingerprintsensor.
Die 1TB SSD ist unterteilt in eine 100GB Partition für C:, 200 GB E: (Recovery) und der Rest für sonstige Daten(Programme und Dokumente, etc.)

Zur Verschlüssung würde ich Windows 10 Pros BitLocker nutzen um mich im Falle eines Diebstahls nicht auch noch um meine Privatsphäre sorgen zu müssen. Sollte ich dafür auch ein BIOS PW einrichten für optimalen Schutz?

Sind Wiederherstellungspunkte sinnvoll? Las, dass gute Backuplösungen diese praktisch ersetzen zumal Recoverys nicht immer einwandfrei funktionieren. Wollte eigentlich die Recovery-Partition E dafür verwenden da mir ein Bekannter dazu riet aber mit dem Standard Windows 10 Tool kann ich nur in Prozent angeben wieviel der C: Partition für das System auf C: verwendet wird...

Macht es Sinn ein komplettes Image von C: auf der selben SSD in E: zu speichern? Dachte, dass ich im Falle eines Fehlers im Betriebssystem der durch Recovery nicht zu lösen wäre, ein bereits relativ aktuelles Image einfach wieder aufspielen könnte ohne meine ganzen Daten zu tilgen. Bei Ransomware und Malware hilft dies wohl wenig - deshalb eine Kopie auf externer HDD lagern? Ist das möglich ohne diese HDD zu wipen? Müsste ich etwas Spezielles beachten wenn ich zusätzlich BitLocker verwende?

An Daten bin ich nicht auf eine komplette Sicherung angewiesen. Nur Wichtiges und Persönliches wie Savegames und Dokumente aber auch vereinzelte Filme und Musik. Gibt es gute Freeware die das leicht gestaltet mit selektiver Auswahl?

Die Cloud benutze ich nur sehr ungern, aber bei bspw Uni-Dokumenten wär es mir relativ egal ob die auf anderen Systemen lagern und nicht 'wirklich sicher' sind zumal es auch nützlich sein kann mal eben darauf zuzugreifen von anderen Geräten.

Bezüglich Diebstahlschutz hätte ich gerne die Möglichkeit das Gerät zu tracken, aber ständige Überwachung ist mir zuwider.

Reicht Windows Defender als Antivirusprogramm in Verbindung mit freiem Malwarebytes, Vorsicht im Netz und entsprechenden Firefox Add Ons?

 

[DarkInterceptor]

im normalen hausgebrauch schafft es kein mensch seine ssd zum tode durch schreibtätigkeiten zu verdammen.
die ssd schafften in tests (siehe google) weitaus mehr als ihre schöpfer angegeben haben.von daher sei beruhigt und nutzte die ssd wie normal.

 

[Magl]

Reicht Windows Defender als Antivirusprogramm in Verbindung mit freiem Malwarebytes, Vorsicht im Netz und entsprechenden Firefox Add Ons?

Ja. Das reicht. Installier ja keinen zusätzlichen Schmodder...

 

[Scrush]

Kennwörter sind bei mir gespeichert.

zu Verwaltung Keepass.

der Windows Defender reicht in der regel.

ist der rechner ein 0815 home gaming Office rechner?

dann kriegst du das ding per neuinstallation auch schnell genug wieder ans laufen

 

[snaxilian]

Bitlocker: Wie entschlüsselst du? Automatisch nur per TPM? Dann hat auch jeder Dieb die Daten. Immer mindestens PIN oder Fingerprint wobei sich Fingerabdrücke zuhauf auf einem Laptop wieder finden. Mit minimalstem Aufwand hat ein potentieller Dieb auch Zugriff auf deine Daten.

Backups auf dem gleichen System zu nutzen ist Unfug. Laptop defekt oder geklaut = Backups gleich mit weg.

Oh warte ich bekomme gerade ein Fax: Die 2000er haben sich gemeldet und hätten gerne ihre getrennten Systemimages und Dateibackups zurück.

Eine Unterteilung in Backups und Images ist unnötig komplex. Nimm eins der üblichen Backuptools wie z.B. Veeam (Täglich entstehen hier gefühlt 3 Threads zum Thema Backup. Einfach mal selber lesen...). Damit kannst du ein ganzes System wieder herstellen als auch einzelne Partitionen und Dateien. Einmal einrichten, fertig.

Dein Herumgehampel wie "jene Dateien sichern aber diese nicht" wird unter Garantie in wenigen Wochen bis Monaten schief gehen. Bei jeder neu erstellten (wichtigen) Datei musst du diese in deiner selektiven "Sicherung" einpflegen. Das ist genau das Gegenteil von dem was du willst: schnell und einfach.

Bezüglich Diebstahlschutz hätte ich gerne die Möglichkeit das Gerät zu tracken, aber ständige Überwachung ist mir zuwider.

So etwas geht nur mit Geräten, die CompuTrace unterstützen (Google liefert weitere Informationen) oder über Schnittstellen wie vPro & Intel ME verwaltbar sind. Kurzfassung: Für Privatpersonen nicht so einfach realisierbar. Willst du eine simple Lösung: Lass das Gerät nicht unbeaufsichtigt oder sichere es mit einem guten Kensington Lock sodern der Laptop dafür eine entsprechende Buchse hat.

Ja, der Defender reicht als Schlangenöl. Wichtiger als weiteres Schlangenöl ist brain.exe und ein verantwortungsbewusster Umgang. UAC nicht abschalten, nicht mit administrativen Rechten am System hocken und nen brauchbaren Adblocker nutzen.

 

[HaZweiOh]

Windows 10 Pros BitLocker

Lass das mal, damit schränkst du dich nur künstlich ein. Eine vernünftige SSD hat eine eingebaute Hardware-Verschlüsselung, die du nur aktivieren musst.

 

[Cinderella22]

@DarkInterceptor
da kann ich dir nur recht geben. Habe in meinem Server vor ca. 3 Jahren 240 GB Consumer SSDs für die VMs verbaut und die laufen bis heute exakt wie am ersten Tag.. praktisch 24/7...

@Melvin Melville
Eine 1 TB SSD ist schon ganz ordentlich. Die Aufteilung auf mehrere Partition ist auch durchaus sinnig. Was ich aber nicht machen würde ist 200 GB für eine Recoverypartition zu "verschenken". Wenn etwas recovert werden muss, dann geschieht dies über das Backup - sowohl das ganze System, als auch einzelne Dateien.

Ein Backup auf dem Gerät selbst zu sichern, welches ggf. angegriffen/geklaut oder was auch immer werden kann macht keinen Sinn.

Gerät verschlüsseln ist immer eine gute Sache, auch ein BIOS Passwort ist sinnig damit man die Bootreihenfolge nicht manipulieren kann.

Backupsoftware kann ich persönlich Veeam Enpoint Protection empfehlen. Hat mich bisher nie im Stich gelassen und im zweifel sogar mal den Arsch gerettet. Im privaten Umfeld würde ich mindestens 2 externe USB Festplatten empfehlen, und diese täglich / wöchentlich durchtauschen. Veeam, aber da ist Veeam denke ich mal nicht allein stehend, hat auch die Möglichkeit das Backup zu verschlüsseln, falls eine Festplatte abhanden kommen sollte.

Antivirus auch hier für den Privatgebrauch reicht der Defender, Brain.exe einschalten ist aber sowieso pflicht.

 

[Käbeljau]

Defender sollte zusammen mit Brain.exe in den meisten Fällen reichen.

Als Verschlüsselung würde ich auch von Bitlocker abraten, damit habe ich keine guten Erfahrungen gemacht. TrueCrypt bis 7.1a oder dessen Fork VeraCrypt wären hierfür die Tools meiner Wahl.

 

[cruse]

Die Aufteilung auf mehrere Partition ist auch durchaus sinnig

wozu ?

 

[Roesi]

Bitlocker mit TPM Chip unsicher?

 

[Cinderella22]

@cruse
Im Prinzip ja nur wegen der Übersicht, C:/ System und D:/ für Daten/Spiele..
Und Sinnig heißt ja nicht absolutes muss :-)

anders wär es, wenn er 2 SSDs hätte..

 

[cruse]

Die Übersicht braucht man nicht mehr.
Daten packt man in "Bilder", "Dokumente", "Videos" etc.
Spiele hat man eh shortcuts auf dem Desktop, wenn man in die Ordner will: Rechtsklick->Dateipfad öffnen.

Es gibt keinerlei Vorteile, eher Nachteile, falls eine der Partitionen zu klein ist/wird.
Man braucht schon seit Ewigkeiten nix mehr zu Partitionieren, es ist weit entfernt von sinnig.
Und 1 TB ist heutzutage auch nicht mehr viel...

Backups braucht man auch keine Software - einfach die Ordner Bilder/Dokumente/etc. auf externe Träger sichern(oder hochladen, falls man einen FTP Server hat), der Rest wird heutzutage eh online gespeichert (Spielstände etc.). Nur bei älterer Software muss man noch selbst Hand anlegen.

 

[Cinderella22]

@cruse
ja stimmt und ein PC braucht man auch nicht mehr... ist doch eh alles in der cloud... da reicht auch ein Handy..ach was rede ich Handy.. nimm Zettel und Stift ...

Über Sinn und Unsinn einer Partitionierung lasse ich ja gerne noch mit mir diskutieren, aber wenn dann ein solcher Vorschlag bezüglich der Backups kommt, dann bin ich raus.

Ganz ehrlich - Backupsoftware zu nutzen ist heutzutage sehr leicht geworden, und dazu reden wir hier auch noch von einer KOSTENLOSEN Software...

aber gut.. FTP geht natürlich auch klar.. Sicherheit who cares..

 

[Melvin Melville]

Vielen Dank für die vielen hilfreichen Antworten!

Dachte es ist vorteilhaft für das System wenn C möglichst nicht zumüllt. Die Bibliotheken sind auch alle auf D(per Location>Move). Kompletter Unsinn also? :/
Wie aktiviere ich die Hardwareverschlüsselung der SSD? Es ist schade, dass dieses Unterforum keinen FAQ oder nen Guide hat.

@snaxilian
Wieso hat jeder Dieb Zugriff auf meine Daten wenn ich den Fingerprintscanner nutze? Klebestreifen mit meinem Fingerabdruck und einfach dranhalten? Veeam ist nicht kostenlos - gibts empfehlenswerte Freeware die inkrementelle Backups anbietet und Redundanz vermeidet? Acronis wird doch recht häufig genannt - Mist?
Überlege mir gerade nur ein Backup vom jetzigen, sauberen, relativ aktuellen System auf C mit seinen Einstellungen zu machen und ansonsten nur D zu sichern - weil dort 'wirklich wichtige' Dateien lagern. Windows ist schnell wiederhergestellt ob mit oder ohne C Backup, nur ist es mit angenehmer.

Und das Windows-eigene Wiederherstellungstool ist auch Unsinn? Wenn nicht - wieviel Platz ist dafür empfehlenswert?

@Magl
Also auch die Finger von Malwarebytes lassen?
Wenn ich (ausgewählte) Passwörter in Firefox speicher ist das denke ich mal eher unsicher. Werden die nur lokal abgelegt oder sind die irgendwo in der Cloud? Prinzipiell würde ich lieber immer mein PW eingeben aber jeder kleine Scheißservice verlangt ja mittlerweile einen Account und angenehmer ist es allemal mit gespeicherten Passwörtern. Wie sicher ist Keepass?

@HaZweiOh
Inwiefern schränkt man sich mit BitLocker (oder Verschlüsselung allgemein) ein?

 

[Cinderella22]

Veeam ist nicht kostenlos - gibts empfehlenswerte Freeware die

wer nicht will der hat schon :-D

 

[Magl]

@Magl
Also auch die Finger von Malwarebytes lassen?

Nein, ich meinte Windows Defender und Malewarebytes sind schon in Ordnung!

 

[PC295]

Alternative Backupprogramme wären z.B. Aomei Backupper
Hier als kostenlose Vollversion https://www.deskmodder.de/blog/2019/10/10/aomei-backupper-pro-kostenlos-fuer-euch/


Bitlocker würde ich vorziehen, da bekommst du keine Probleme bei BIOS-Aktualisierungen oder Upgrades.

Vom Defender bin ich kein Fan, auch da gibt es bessere Alternativen (kostenlos)

 

[snaxilian]

Eine vernünftige SSD hat eine eingebaute Hardware-Verschlüsselung, die du nur aktivieren musst.

Siehe folgende zwei Links:
https://www.howtogeek.com/fyi/you-cant-trust-bitlocker-to-encrypt-your-ssd-on-windows-10/
https://www.computerbase.de/2018-11/forschung-hardware-verschluesselung-ssd-umgehbar/
Früher hat Bitlocker geprüft ob die eingebaute HDD/SSD eine Hardware Encryption besitzt und falls ja, diese genutzt. Aufgrund dieser und anderer multipler Implementierungsfehler hat MS den Bitlocker dahingehend geändert, dass die Verschlüsselung wieder in Software umgesetzt wird wobei sich "Software" darauf bezieht nicht mehr auf die HDD/SSD Hersteller zu verlassen sondern die Verschlüsselung über die AES-NI Einheit in der CPU zu machen. Performanceeinbußen sind dabei vernachlässigbar, zumindest bei SATA-SSDs, bei NVMe kenne ich persönlich keine vergleichenden Benchmarks.

Wieso hat jeder Dieb Zugriff auf meine Daten wenn ich den Fingerprintscanner nutze? Klebestreifen mit meinem Fingerabdruck und einfach dranhalten?

Bleistift, Pinsel, Sekundenkleber, Tintendrucker und ein klein wenig Zeit (unter 1h) und das ist keine Theorie sondern hat der CCC schon 2008(?) erfolgreich gezeigt.
https://www.ccc.de/de/campaigns/aktivitaeten_biometrie/fingerabdruck_kopieren
Biometrie kann ein Merkmal sein, sollte jedoch nie das Einzige sein.

Bitlocker mit TPM Chip unsicher?

Jain. Solange der Chip und dessen Implementierung nicht Fehler aufweist (ROCA vulnerability 2017) ist der private Schlüssel sicher. Baue ich die HDD/SSD aus oder klone diese komme ich nicht an die Daten, da der Key im TPM verbleibt. Bekomme ich aber beides in die Handy, habe ich einen Angriffsvektor. Bei einem Notebook ist dies dann der Fall wenn ich das gesamte Gerät mit nehme. Daher ist die zusätzliche Eingabe eines PINs oder Passwort/Passphrase weiterhin sinnvoll.

@Melvin Melville Zu Veeam wurde bereits gesagt, dass es auch einen Windows Agent for Windows als kostenlose Variante gibt, die für private Anwendungszwecke in der Regel ausreichend ist.

 

[HaZweiOh]

Für die Probleme der untersuchten SSDs gibt es Firmware-Updates. Das war ein ganz normaler Fehler bei einigen Modellen, wie er in Software genauso vorkommt (und mit Updates behoben wird).

 

[snaxilian]

Software Updates lassen sich einfacher einspielen als Firmware Updates und mal Hand aufs Herz: Wer macht das schon regelmäßig bei allen seinen Komponenten regelmäßig nach neuen Firmwares suchen und diese einspielen? Ändert aber nix an der Tatsache, dass Bitlocker sich nicht mehr auf die Hersteller verlässt.