komplette Verschlüsselung mit Veracrypt

speedy55

Lt. Commander
Registriert
Mai 2013
Beiträge
1.595
Hallo,

ein Bekannter hat sich ein neues Notebook gekauft und neben der System-SSD eine zweite SSD eingebaut.
Er möchte gerne das Notebook komplett verschlüsseln, da er öfters auf Reisen ist.
Ich habe gelesen, dass dafür die HDD/SSD, wo Windows drauf liegt, als MBR formatiert sein muss. GBR ist ja z.B. bei Windows 11 standard. Weiterhin wäre die Frage, ob man auch die zweite SSD, welche dann als Datenträger d: gesetzt wird, mit verschlüsseln kann?

LG
 
Wenn er nicht unbedingt vor dem FBI was verstecken will, Bitlocker mit PIN und gut ist. Und BIOS-PW-Möglichkeiten nutzen.

Edit:

speedy55 schrieb:
Weiterhin wäre die Frage, ob man auch die zweite SSD, welche dann als Datenträger d: gesetzt wird, mit verschlüsseln kann?
Ja.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: |Moppel|
Mir ist mit veracrypt zumindest schon Mal eine verschlüsselte Datei wegen eines Fehlers verloren gegangen. Würde da auch auf bitlocker setzen.
 
Qarrr³ schrieb:
Mir ist mit veracrypt zumindest schon Mal eine verschlüsselte Datei wegen eines Fehlers verloren gegangen. Würde da auch auf bitlocker setzen.
dann ist das aber ein Benutzerfehler. Kein Backup, selbst schuld
 
  • Gefällt mir
Reaktionen: nkler, coasterblog, madmax2010 und eine weitere Person
DenB schrieb:
Wenn er nicht unbedingt vor dem FBI was verstecken will, Bitlocker mit PIN und gut ist.
Auch wenn. Selbst dann reicht Bitlocker korrekt eingerichtet mit Pre-Boot-PIN aus.
Die können nicht alles knacken.

Ich würde allein schon Bitlocker vorziehen, wegen der besseren Kompatibilität.
 
Mit Veracrypt möglich.

Systemplatte verschlüsseln (geht im laufendem Betrieb) und daneben die zweite SSD ebenfalls verschlüsseln (Daten werden hierbei gelöscht).
Wichtig ist dabei zu beachten, dass das Passwort der zweiten SSD das gleiche ist wie von der Systemplatte. Hierbei darauf achten, dass unter Windows das Tastaturlayout zur Passworteingabe der zweiten SSD auf englisch umgestellt wird. Dies ist nötig, da bei der Pre-Boot-Authentification kein Tastaturlayout geladen ist und das normale englische greift.

Anschließend in Veracrypt die zweite SSD als System-Favoriten hinterlegen und in den Einstellungen kann man einen Haken setzen, dass System-Favoriten automatisch beim Start gemounted werden sollen.

Größte Fehlerquelle ist das Passwort mit Deutsch/Englischem-Tastaturlayout.

https://veracrypt.eu/en/System Favorite Volumes.html
 
  • Gefällt mir
Reaktionen: speedy55 und MoonTower
DenB schrieb:
Da steht nichts von, muss MBR sein, wäre auch ziemlicher Schwachsinn.
Afaik kann Veracrypt die komplette Platte nur Verschlüsseln, wenn sie MBR ist. GPT geht nur wenn man die Partitionen verschlüsselt, nicht das komplette Laufwerk.
 
rg88 schrieb:
dann ist das aber ein Benutzerfehler. Kein Backup, selbst schuld
Ich meinte mit der Datei die verschlüsselte Container Datei, nicht die tatsächlichen Daten. Backup sollte man immer machen. Ist aber einfach nervig und zeitraubend, wenn sowas passiert, da ist bitlocker die zuverlässigere Variante.
 
Bei mir ist es gerade umgekehrt! Ich habe sehr schlechte Erfahrung mit der Zuverlässigkeit von Bitlocker gemacht! Bei TrueCrypt und Veracrypt gab es nie ein Problem. Anders gesagt: Ich empfehle ausdrücklich nicht Bitlocker :)
 
  • Gefällt mir
Reaktionen: rg88
Interessant, wie viele hier Bitlocker empfehlen, ohne zu wissen, ob der Bekannte vom TE überhaupt Windows Professional nutzt. Klar gibt es hier und da "Kniffs und Tricks" wie man Bitlocker auch in einer Home-Edition aktivieren und nutzen kann, aber eine System-Verschlüsselung zu empfehlen, die nur mit Kniffs und Tricks aktiviert werden kann ist mutig.

Ich selbst habe mein Laptop mit Veracrypt komplett verschlüsselt.
Habe jedoch nur eine SSD drin, kann daher keine Erfahrungen zum Verschlüsseln einer zweiten SSD geben.
Veracrypt bietet dies jedoch an.
Eine andere Möglichkeit wäre das Erstellen eines Container, wobei dies bei entsprechender Größe der SSD durchaus länger dauern kann.
 
AxelFoley schrieb:
Interessant, wie viele hier Bitlocker empfehlen, ohne zu wissen, ob der Bekannte vom TE überhaupt Windows Professional nutzt. Klar gibt es hier und da "Kniffs und Tricks" wie man Bitlocker auch in einer Home-Edition aktivieren und nutzen kann,
Dazu braucht es keine "Kniffs und Tricks". In den Home-Versionen heisst es nur "Geräteverschlüsselung"
(Einstellungen > Datenschutz & Sicherheit > Geräteverschlüsselung),
dahinter verbirgt sich Bitlocker, nur mit dem Unterschied, dass weniger Konfigurationsmöglichkeiten (Bitlocker-Verwaltung) zur Verfügung stehen.
-> https://support.microsoft.com/de-de...üsselung-0c453637-bc88-5f74-5105-741561aae838
 
@slrzo: Klingt erstmal sehr interessant und werde ich mal weitergeben bzw. auch mal selber an einen alten PC testen. Kannst du kurz sagen, wie die Tastatureingabe auf US-Layout geändert werden kann.

Wie schaut es allgemein mit der Performance aus?
Als wenn auf dem System mal ein Spiel installiert wird. Merkt man da irgendwas?
 
In Windows einfach mal Start -> Sprache eingeben. Da kommt etwas mit Sprache und Tastaturoptionen ändern. Da lässt sich dann Englisch hinzufügen womit man auch das Tastaturlayout erhält. Schon ewig her, dass ich das das letzte mal eingerichtet habe.

Bzgl. Performance kommt drauf an. Rein messbar ist der Performancerückgang (auf ne SSD bezogen) sehr groß. Insbesondere bei vielen kleinen Zugriffen. In der Praxis finde ich, dass es vernachlässigbar ist (solange eine halbwegs aktuelle CPU eingesetzt wird). Ne moderne SSD ist da im Zugriff schnell genug. Mag anders aussehen, wenn man auf tausende IOPS angewiesen ist.
 
Also kann man auch letztlich Windows 11 als GBR installieren und einfach das Laufwerk C verschlüsseln.
Danach verschlüssel ich halt einfach die restlichen Partitionen, wie D/E/F/ ..., und binde die in Veracrypt als System-Favoriten ein.
 
Rückmeldung: Funktioniert problemlos!
Leider tauchen im Explorer zwei Laufwerke auf ... quasi z.B. Laufwerk Z:, welches dann verschlüsselt mit Vera als Laufwerk D: eingebunden wird.
 
  • Gefällt mir
Reaktionen: AxelFoley
Das Laufwerk Z kannst du über die Datenträgerverwaltung ausblenden, indem du den Laufwerksbuchstaben entfernst.
 
  • Gefällt mir
Reaktionen: speedy55
Zurück
Oben