Systempartition verschlüsseln mit VeraCrypt HP Desktop

[SOMIT]

Hallo zusammen

Habe mir einen kleinen Desktop PC gekauft und würde den gerne mit VeraCrypt verschlüsseln. Es ist ein HP Desktop M01-F2113ng. Als Basis ist FreeDos drauf. Hab ihn mit Win 11 installiert und alle HP-Treiber installiert. Wenn ich VeraCrypt ausführe den Verschlüsselns Algorithmus eingebe und PW macht VeraCrypt vor der Verschlüsselung ein Reboot um zu testen ob das alles funktioniert. Nach diesem Test startet aber der PC nicht mehr. Woran liegt das?

 

[Dark_Paladin]

Definiere startet nicht mehr, bleibt der Bildschirm einfach schwarz? Und welche Version von Windows 11 wird verwendet Home oder Pro?

 

[SOMIT]

Bildschirm bleibt schwarz und der Computer startet immer wieder neu. Windows 11 Pro habe ich.

 

[Dark_Paladin]

Wenn du Windows 11 Pro hast, wäre es aus meiner Sicht sinnvoller BitLocker zu verwenden, da dies nativ ist. Mit Veracrypt gibt es öfters Probleme mit Versionsupdates von Windows und mit Secure Boot.

Gibt es ein spezifischen Grund für Veracrypt?

 

[SOMIT]

Ich habe auf meinem anderen PC und denen davor immer VeraCrypt und nie Probleme. Ich traue Bitlocker einfach nicht auch kannst Du nicht verschiende Verschlüsselungsalgorithmen miteinander kombinieren soweit ich weiss.

Bin einfch erstaund das nach Jahren der Anwendung dies bei einem kleinen HP Desktop PC nicht mehr möglich sein kann. Es muss was beim Bootvorgang ja nicht stimmen. Wenn ich den PC mit dem Rescue Stick von VeraCrypt starte, lät Windows wieder. Mache ich einen Neustart kommt wieder das gleiche Problem.

 

[Dark_Paladin]

Dann solltest du aus technischer Sicht auch Windows 11 nicht vertrauen, bzw. einsetzten. Ja Bitlocker ist proprietär aber wurde immer wieder als sicher eingestuft. Wir setzte bei uns in der Firma und bei Kunden Bitlocker mit PIN ein und wird musste bisher immer die Geräte zurücksetzte wenn der Recovery-Key verloren ging.

Aber in Bezug auf das eigentliche Problem. Bei Veracrypt ist es leider ein verbreitetes Problem wenn die Anbieter irgendwas im EFI/BIOS "bescheiden" einrichten.
So wie du es beschreibst, scheint es ein Problem mit den Windows Bootloader zu geben. Dieser wird ja auch verschlüsselt aber die Entschlüsselungsumgebung kann nicht geladen werden.
Klingt für mich nach einem Problem mit dem Secure Boot.

 

[SOMIT]

Danke für deine Antwort! Jetzt weiss ich auch nicht was ich machen soll. Habe den PC nochmals komplett neu aufgesetzt. Möchte diese Arbeit nicht nochmals wiederholen. Was gibt es noch für alternativen?

 

[Dark_Paladin]

Meine Empfehlung wäre das du deine Systempartition mit Bitlocker verschlüsselst. Und wenn du deine persönlichen Daten zusätzlich absichern möchtest kannst du ja immer noch einen Veracrypt Container anlegen oder eine zusätzliche über Veracrypt verschlüsselte Partition.

 

[SOMIT]

Ich habe den PC gekauft um in meinem Lager zu arbeiten. Da sind dann die ganzen Logins für meinen Webshop, Bank und Börsengeschäfte etc. drauf. Wenn mal eingebrochen wird was zwar unwahrscheinlich ist und der PC mitgenommen wird soll natürlich niemand an die Daten rankommen. Es geht mir nur um das.

 

[Dark_Paladin]

Das ist auch mit Bitlocker sicher gestellt. Du musst nur sicherstellen, das beim Start ein PIN abgefragt wird. (Dies kann man abschalten und hilft wenn nur die Platte geklaut wird)

 

[SOMIT]

Das habe ich gefunden:

https://www.golem.de/news/verschlue...er-trotz-tpm-schutz-umgangen-2107-158524.html

 

[Dark_Paladin]

Darum habe ich ja beschrieben dass Bitlocker mittels eines PINs gesichert werden soll. D.h. das Systems startet erst wenn bei Start ein PIN/Passwort eingegeben wird. Erst nach Eingabe des Pins wird das System entschlüsselt und die in dem Artikel beschrieben Lücke könnte erst danach ausgenutzt werden.

Zudem ist der Artikel 2 Jahre alt, kann aber nicht sagen ob Microsoft darauf reagiert hat. Dennoch ist dies ein sehr spezifisches Szenario was spezifisches Know-How vorraussetzt. Und wenn ein Angreifer an deine Daten will gibt es initial einfacherer Wege die genutzt werden können.

 

[SOMIT]

Ja da hast Du recht. Wie gesagt habe ich den PC nochmals neu aufgesetzt. Mit allen Treibern! Ich möchte das nochmals mit Vera probieren. Wenn der PC auch jetzt nicht Bootet auch nicht mit anderen Bios Einstellungen, ist es möglich einfach den MBR zu überschreiben das der PC wieder normal bootet. Das sollte doch gehen oder? Das System ist ja noch nicht verschlüsselt.

 

[Dark_Paladin]

Windows 11 benutzt nicht mehr den MBR sonder GPT und nein i.d.R. kann man die Partionstabelle nicht einfach überschreiben.

 

[SOMIT]

Ja habe es eben auch gelesen bez. GPT. Habe ich sonst eine Möglichkeit das Booting wieder herzustellen im Fall der Fälle. Mache ja auch eine Rettungskopie von VeraCrypt. Hatte ich das Letze mal auch, konnte aber nicht das Booten wiederherstellen. Habe sehr wahrscheinlich die falschen Optionen ausgewählt.