Systemverschlüsselung (Win10) mit mehreren Platten, NAS und Backup.

[schumischumi]

Hi,

ich möchte die Frühlingsmotivation nutzen und meine Infrastruktur endlich sicherer zu gestalten.
Und zwar möchte ich, falls möglich, über alle System eine Verschlüsselung einrichten und vorab ein paar Fragen.

IST-Stand:
- Win 10 64bit PC, mit autologin, Acronis Backup, 2 SSDs und eine HDD
- ältere Synology NAS (DSM 5.x)

SOLL:
- Win 10 Systemverschlüsselung (z.B. mit veracrypt)
- Verschlüsselung der anderen beiden Platten (auch Veracrypt)
- Verschlüsselung der Backups (liegen auf NAS) mit Acronis Passwort
- Verschlüsselung der NAS (unklar wie sinnvoll machbar)


Nun die Fragen:
- Ist ein PIM in VeraCrypt eurer Meinung nach sinnvoll und wenn ja wie hoch für die Systemplatte
- Wie bekomme ich die beiden anderen Platten (eine SSD und eine HDD) automatisch mit der Systemplatte entschlüsselt
=> Ja siehe link. Danke M@rsupil@mi
- Wie gestallte ich das Ganze möglichst performant aber trotzdem sicher (Algorithmen usw.)
- Ist die Verschlüsselung mit Acronis sinnvoll?
- Kann ich immer noch Systembackups mit Acronis im laufenden System machen und vor allem diese auch wieder einfach restoren?
- Was empfehlt ihr zur Verschlüsslung der NAS-Daten? Die Integrierte Funktion ist zwar "einfach" aber ka wie sinnvoll/sicher und zudem fallen dann Features weg. (NFS Zugriff)
- Ist ein regelmäßiger PW wechsel bei der Systemverschlüsselung wirklich sinnvoll?


Falls ich einen Guide im Forum übersehen haben sollte einfach schelten und verlinken.

 

[M@rsupil@mi]

Zu VeraCrypt & Win 10: Beachte du musst bei jedem Windows 10 Upgrade (etwa 2 x im Jahr) die Systemplatte entschlüssen, das Upgrade einspielen und danach wieder neu verschlüsseln musst. -> https://sourceforge.net/p/veracrypt/discussion/technical/thread/1c9addfb/

Zur Frage der anderen Platten und deren automatische Einbindung -> https://veracrypt.codeplex.com/wikipage?title=FAQ#SystemReinstallUpgrade (-> Can I configure VeraCrypt to mount automatically whenever Windows starts a non-system VeraCrypt volume that uses the same password as my system partition/drive (i.e. my pre-boot authentication password)?)

Die Verschlüsselung am NAS funktioniert so, wie auch am PC. Dort sind es halt Ordner / Verzeichnisse (statt Festplatten / Partitionen), die beim Starten jeweils eingebunden werden müssen. Kann man, analog zum PC, auch automatisch beim Start erledigen lassen und ist dort, wie am Rechner, natürlich eine Abschwächung der Sicherheit. Ob du nun Software XY oder der NAS mehr vertraust ist zu 99,9% eine reine Vertrauensfrage. So lange man zu Software / NAS X nichts findet weiß man halt nicht, wo sich vielleicht ein Patzer bei der Implementierung versteckt. Am Ende des Tages ist der User meist das schwächste Glied in der Sicherungskette.

Ein PW-Wechsel ist immer dann sinnvoll, wenn die Gefahr besteht, dass das PW in falsche Hände geraten ist / geraten kann (etwa auch als vorbeugende Maßnahme).

Man sollte insgesamt vielleicht auch nicht aus den Augen verlieren, dass man es sich selbst nicht alles zu umständlich gestaltet. 100% Sicherheit gibt es eh nicht und im schlimmsten Fall steht man selbst dumm da und kommt nicht mehr an die Daten.

 

[highks]

Bist du sicher, dass damit jedes Win10 Upgrade gemeint ist?

or will veracrypt carry over like most other apps should be with windows 10

If your whole system is encrypted with VeraCrypt, then you need to decrypt your Windows before upgrading to Windows 10.

Die Frage ist in diesem verlinkten Thread ja, ob Veracrypt beim Upgrade nach Win10 (also von Win7 oder 8 her) sich einfach weiterverwenden lässt. Die Antwort ist dann ebenfalls darauf bezogen, dass nach Win 10 upgegradet wird, also von einer Vorgängerversion her.

Ich will nicht behaupten, dass es funktioniert (ich weiß es nicht), aber den verlinkten Thread sehe ich nicht als Beweis dafür, dass man jedes Mal bei internen Win10 Upgrades entschlüsseln muss.

 

[schumischumi]

Danke für die schnellen Antworten.
Ich versuche im ersten Post bissl den Status abzubilden.
Bei der NAS war eher gedacht, ob es neben VeraCrypt (fällt aus da mehrere Clients auch non Windows darauf zugreifen) und dem Synology eigenen Produkt noch etwas gibt.

 

[Snowiron]

Ich will nicht behaupten, dass es funktioniert (ich weiß es nicht), aber den verlinkten Thread sehe ich nicht als Beweis dafür, dass man jedes Mal bei internen Win10 Upgrades entschlüsseln muss.

Ich habe VeraCrypt auf allen Endgeräten im Einsatz und für jedes große Update muss die Systempartition entschlüsselt werden. Entschlüsselt man nicht vor dem Update, schlägt das Update fehl.

 

[schumischumi]

Hmm ok das ist natürlich unschön.
Gibts noch ne andere alternative? Also neben Bitlocker?

 

[chrigu]

was genau willst du schützen?

 

[Snowiron]

Nein, gibt es meiner Kenntnis nach nicht.

 

[schumischumi]

was genau willst du schützen?

Ich würde gerne im ersten Schritt meine Systempartition inkl. aller anderen Platten in meinem Rechner schützen.
Im zweiten Schritt, würde ich dann gerne auch die Backups der Systempartition auf meiner NAS (besser) schützen.

Das sollte natürlich so komfortabel wie möglich von statten gehen, da ich faul und unzuverlässig bin.
Nach den Posts sehe ich aktuell nur Bitlocker als Alternative, da die Win 10 Updates/Upgrades das Ganze sonst sehr wartungsaufwändig machen.

 

[/root]

Ich kann dir Bitlocker empfehlen: schnell, einfach und für private Daten mehr als ausreichendes Sicherheitsniveau

 

[chrigu]

mhhh.. faul und absichern sind zwei worte die im gleichen satz nicht vorkommen sollte.

bitlocker, veracrypt usw. verschlüsseln nur die daten. damit hast du sicherheit, das wenn jemand dein laptop klaut, kann er deine festplatte nicht lesen. hat der lappi kein passwort, nützt bitlocker und co. nichts. (ähnlich wie, du ein auto, schliesst die türen nicht ab, scheiben unten, und lässt den zündschlüssel stecken...).
wird jedesmal beim laptopstart ein passwort eingetipp, kann dank bitlocker auch beim ausbau der festplatte nichts gelesen werden. (autotür verschlossen, scheiben oben, zündschlüssel in deiner tasche, garage zweimal abgeschlossen).
das hat mal mit diebstahl-schutz zu tun.

liegt dir nur an datensicherheit, also verlustschutz falls mal eine festplatte explodiert, musst du regelmässig backup machen auf externe festplatte.
datensicherheit auch im brandfall, doppelt externe HD (eine zuhause/ eine im büro) usw.

 

[schumischumi]

@chrigu:
Das ist mir soweit klar. Mir war beim initialen Post nur nicht bewusst, dass die Systemverschlüsselung mit VeraCrypt einen mMn sehr langen Rattenschwanz nach sich zieht. (Reencryption bei jedem "größeren" Update)
Auf solche Rattenschwänzw war auch die Faulheit bezogen. Dass ich bei jedem Start ein PW eingeben muss ist nicht dramatisch.
Bitlocker ist für mich persönlich nur zweite Wahl, da nicht OpenSource bzw. es existiert kein unabhäniges Audit. Bei VeraCrypt, ist dies, zumindest bei der Truecryptbasis der Fall.
Passworteingabe und somit ein weiteres Stück Sicherheit kann man ja mit beiden realisieren.

Das Thema Backup ist von dem her mit dabei, da ich mir nicht sicher bin, ob mein bestehendes Backup mit Acronis (Online System-Voll-Backup) weiterhin läuft und beim Restore das Volumen verschlüsselt ist bzw. der Restore generell läuft.


Könnt ihr mir trotzdem noch bei den Punkten weiterhelfen:

- PIM bei VeraCrypt abweichend vom Standard sinnvoll, wenn ja welche?
- Wie siehts mit Backup und Restore in Acronis aus?
- Welche Verschlüsselungseinstellungen sollten bei VeraCrypt gewählt werden? (AES-IN sollte supportet sein. Core i7 4790 ohne k)

 

[Snowiron]

- PIM bei VeraCrypt abweichend vom Standard sinnvoll, wenn ja welche?

Die PIM ist nicht unbedingt notwendig. Je höher die PIM, desto länger dauert der initiale Mountvorgang bzw. der Systemstart. Alternativ kann man auch das Passwort einfach ein paar Stellen länger machen. Ich persönlich habe ein langes Passwort und habe die PIM auf 1 gesetzt, da mich das lange Mounten stört. In der Praxis macht das keinen Unterschied, da auch mit einer PIM von 1 das Passwort so lang ist, dass via Brute-Force ein Knacken nicht realistisch ist.

- Wie siehts mit Backup und Restore in Acronis aus?

Weiterhin ganz normal. Acronis bekommt nichts von der Verschlüsselung mit bei der System-Partition und sichert das normal. Das Wiederherstellen sollte auch entsprechend ohne Probleme laufen.

- Welche Verschlüsselungseinstellungen sollten bei VeraCrypt gewählt werden? (AES-IN sollte supportet sein. Core i7 4790 ohne k)

AES reicht vollkommen aus. Geschwindigkeit ist entsprechend hoch durch AES-IN.

Ein Passwort mit 20-30 Zeichen und dazu AES und schon sind deine Daten sicher vor Diebstahl, etc.

 

[schumischumi]

Danke für die Antworten.

Habs heut abend mal probiert, aber scheitere am pre-test.
Nach dem umstellen im Secureboot von "Windows OS" auf "Other OS" komm ich zum Bootloader, aber scheitere dann am Passwort.
Zuerst hab ich gedacht es liegt an meiner Unfähigkeit oder der Umstellung vom Tastaturlayout, aber scheine nicht der einzige zu sein.
Evtl nochmal drüber schlafen und ggf. dann doch eher Bitlocker.

 

[Snowiron]

Secure Boot ist immer so eine Sache. Da kann es wirklich noch zu Problemen kommen wenn ich mich recht entsinne. Ich betreibe meine Systeme grundsätzlich ohne Secure Boot von Anfang an und habe daher glücklicherweise keine Probleme in der Hinsicht. Ansonsten ist BitLocker aber auch eine ausreichende Wahl.