VeraCrypt „Gesamtes Laufwerk verschlüsseln” unter Windows UEFI problematisch?

net1

Ensign
Registriert
Juli 2016
Beiträge
128
System: Win10 prof/64bit (UEFI System) gerade neue installiert, secure boot is an, Mainboard P8Z77-v pro

Ich möchte gerne das komplette Laufwerk C, also komplette SSD (ich habe nur die eine Partition drauf wo auch win10 installiert ist) Voll verschlüsseln.

Bei der Installation bekomme ich jedoch das Bild unten. „Gesamtes Laufwerk verschlüsseln“ ist ausgegraut und lässt sich nicht anwählen. Wo liegt das Problem?

Sehe ich das richtig, dass VeraCrypt mit Windows UEFI Systemen nicht umgehen kann?

PS Ich will den Bitlocker nicht verwenden.
 

Anhänge

  • 1.png
    1.png
    276,6 KB · Aufrufe: 370
Zuletzt bearbeitet:
net1 schrieb:
Sehe ich das richtig, dass VeraCrypt mit Windows UEFI Systemen nicht umgehen kann?

Nein.
Mein "Windows UEFI System" ist verschlüsselt. Muss also eine Einstellungssache sein.
Welche das ist, kann ich leider nicht sagen.

An so etwas denke ich direkt bei der Installation von Windows und verschlüssele das gesamte Laufwerk entsprechend unmittelbar nach der Installation von Windows.
Bitlocker aktiviere bzw. verwende ich nicht. Dazu fehlt mir das Vertrauen in eine geschlossene Software.
 
  • Gefällt mir
Reaktionen: stolperstein und net1
SI Sun schrieb:
Bitlocker aktiviere bzw. verwende ich nicht. Dazu fehlt mir das Vertrauen in eine geschlossene Software.
Naja. Windows ist auch geschlossene Software und dann noch vom selben Hersteller.
 
  • Gefällt mir
Reaktionen: aragorn92
@andy_m4
Das ist mir bewusst.
Meine wichtigsten Daten liegen deshalb auch auf einer Linux Distribution auf einem Linux Notebook. :)

Einige Produkte sind leider konkurrenzlos und nur auf Windows verfügbar, weshalb ich weiterhin Windows nutzen muss. Ehrlich gesagt ist vieles bei Windows besser oder komfortabler, aber eben nicht alles.
Das bedeutet aber nicht, dass ich mich völlig ausliefern muss.
 
Ohne dir dein Vorhaben ausreden zu wollen, aber es gibt so viele Threads wo genau diese Art der Verschlüsselung zu problemen führt ... das Forum ist voll davon. Was spräche gegen einen Container? Unter NTFS ist der sogar erweiterbar
 
  • Gefällt mir
Reaktionen: aragorn92
Eine Container Lösung ist in meinem Fall nicht Zielführend. Ich wollte den PC, also die komplette SSD vollverschlüsseln.

Was mir aufgefallen ist, was ich getestet habe:
  • Auf einem Ryzen 5 Notebook eine VC Voll Verschlüsselung hat einwandfrei funktioniert.
  • Auf einem Surface Notebook ein Problem wie oben beschrieben.
  • Auf einem PC ein Problem wie oben beschrieben.
Das ist schön seltsam…
 
net1 schrieb:
Ich möchte gerne das komplette Laufwerk C, also komplette SSD

C: ist nicht die komplette SSD. C: ist "nur" die Systempartition, also da wo Windows installiert ist.

Vergleich die Partitionierung Deiner Geraete und Du wird Unterschiede feststellen.
Bei Deinem jetzigen Geraet solltest Du 4 Partitionen vorfinden. Das da mit dem Pfeil ist bei mir C:

1651530342223.png


Verm. wird Veeracrypt Dir das so anbieten weil es (Veracrypt) Deine Kombination nicht booten koennte wenn es den gesamten Datentraeger vercrypten wuerde.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: net1
@BFF Ich danke Dir für die Erläuterung bezüglich der Partitionen. Bei mir sieht das so aus (siehe Bild unten)

  • 1. Wie kann ich nun der VC beibringen, dass die VC alle Partitionen verschlüsseln soll? Geht das überhaupt? Gibt es hierzu eine Problemlösung?
  • 2. Warum auf einem anderen Notebook vor ca. 1 Jahr gabs dieser Probleme nicht? Lag das an einer frühere vers. von Win10, oder an einer andere vers. von Veracrypt? Die win10 Partitionen waren doch (nähme ich an) genauso vier, wie jetzt?.
  • 3. Wenn ich nun „nur“ die Primäre (Windows system Partition) verschlüssele besteht dann irgendeiner Möglichkeit über die andere (unverschlüsselte) Partitionen irgendwelcher wichtigen Daten bzw. die Daten von der (verschlüsselten) Primären Partition auszulesen?
  • 4. Warum der VeraCrypt könnte meiner Kombination dann nicht booten? Bei dem Bitlocker ist doch auch der gesamte Datenträger verschlüsselt, oder sehe ich das falsch?
  • 5. Ist das so, dass aktuell für Win10 die VeraCrypt für die "Gesamte Laufwerk Verschlüsselung", also für die Verschlüsselung von dem kompletten Datenträger ungeeignet/untauglich ist?
 

Anhänge

  • 2.png
    2.png
    4,2 KB · Aufrufe: 296
Zuletzt bearbeitet:
net1 schrieb:
Bei der Installation bekomme ich jedoch das Bild unten. „Gesamtes Laufwerk verschlüsseln“ ist ausgegraut und lässt sich nicht anwählen. Wo liegt das Problem?
Da ist überhaupt kein Problem, sondern ich würde sagen du hast die Funktionsweise dieser Systemverschlüsselumg nicht verstanden.
Wenn das ganze Laufwerk verschlüsselt werden würde, wo soll dann der VC Bootloader herkommen?

Es wäre auch sinnlos die ESP/MSR/Recovery-Partition zu verschlüsseln, denn da befinden sich auch keinerlei geheime Daten drin.
Man könnte natürlich seine super geheime „Passworttextdatei“ in der ESP
„verstecken“. Dann hat man Pech gehabt und auch etwas nicht verstanden 🤦‍♂️:D

net1 schrieb:
Warum auf einem anderen Notebook vor ca. 1 Jahr gabs dieser Probleme nicht? Lag das an einer frühere vers. von Win10, oder an einer andere vers. von Veracrypt? Die win10 Partitionen waren doch (nähme ich an) genauso vier, wie jetzt?.
Schau dir das Notebook doch einfach an. Alleine von der Logik her, kann die ESP nicht verschlüsselt sein.
Wie das mit MBR läuft keine Ahnung, aber auch da hast du eine „Startpartition“ und irgendwo muss ja VC seinen Bootloader ablegen.

net1 schrieb:
Wenn ich nun „nur“ die Primäre (Windows system Partition) verschlüssele besteht dann irgendeiner Möglichkeit über die andere (unverschlüsselte) Partitionen irgendwelcher wichtigen Daten bzw. die Daten von der (verschlüsselten) Primären Partition auszulesen?
Du kannst sogar von Linux aus deine Daten von der verschlüsselten Windows Partition lesen…. :evillol:
Du musst sie nur in VC mounten und das Passwort kennen :daumen:
Du solltest sogar wissen, wie man sowas macht, um im Notfall an deine Daten ran zu kommen.

net1 schrieb:
Bei dem Bitlocker ist doch auch der gesamte Datenträger verschlüsselt, oder sehe ich das falsch?
Da wissen andere bestimmt besser Bescheid, aber ich nehme mal an, dass Mann da genauso einen „Loader“ braucht, denn Bitlocker ist ja nicht im UEFI implementiert. Also wird auch nicht alles verschlüsselt sein. Wozu auch?

Hannibal Smith schrieb:
es gibt so viele Threads wo genau diese Art der Verschlüsselung zu problemen führt ...
Im Prinzip kann man das alles auf ein oder zwei Nenner bringen:
Fehlendes Verständnis des Funktionsprinzips (oder wer braucht schon RTFM) und fehlendes Backup.
Wenn es dann kracht, wird den Daten hinterher geweint.

Ist es auch nicht so, dass man für bestimmte Windows Updates erst wieder entschlüsseln muss?
net1 schrieb:
PS Ich will den Bitlocker nicht verwenden.
Bitlocker mit Pre-Boot-Authentication ist für sämtliche Belange so ziemlich ausreichend. Aber hier gilt: kein Backup….
 
  • Gefällt mir
Reaktionen: aragorn92 und net1
Note: By default, Windows 7 and later boot from a special small partition. The partition contains files that are required to boot the system. Windows allows only applications that have administrator privileges to write to the partition (when the system is running). In EFI boot mode, which is the default on modern PCs, VeraCrypt can not encrypt this partition since it must remain unencrypted so that the BIOS can load the EFI bootloader from it. This in turn implies that in EFI boot mode, VeraCrypt offers only to encrypt the system partition where Windows is installed (the user can later manualy encrypt other data partitions using VeraCrypt). In MBR legacy boot mode, VeraCrypt encrypts the partition only if you choose to encrypt the whole system drive (as opposed to choosing to encrypt only the partition where Windows is installed).

Quelle: https://veracrypt.fr/en/System Encryption.html
 
  • Gefällt mir
Reaktionen: net1
Ich hab das Problem auch mit meinem neuen Laptop.
EFI verschlüsseln geht nicht aber warum dann nur C und eine weitere Partition muss extra verschlüsselt werden?

Zitat von el.com:
"VeraCrypt offers only to encrypt the system partition where Windows is installed (the user can later manualy encrypt other data partitions using VeraCrypt)."

Ich habe auf der Platte nur eine C Partition (über 400 GB) mit Windows drauf und diese jetzt VC verschlüsselt.
Will aber Betriebssystem und Daten getrennt in C und D.
Jetzt hab ich gemerkt das ich C in der Datenträgerverwaltung ja verkleinern kann (so wie das vor der Verschlüsselung auch immer möglich war!) und aus dem Speicherplatz eine Datenpartition erstellen kann ! Wie gewohnt eben.
Wird das klappen?
Ist die abgespaltete Datenpartition dann auch weiterhin verschlüsselt und kann ich nach einem Neustart darauf zugreifen?
Weil dann hätte ich was ich will - BS und Daten getrennt aber alles verschlüsselt von Anfang an (Bis auf die EFI Partition). Einmal Passworteingabe vor dem Booten eröffnet Betriebssystem C und Datenpartition D.
???

Und wenn ja, warum kann VC das dann nicht ?
Also C und D mit einem Mal verschlüsseln? Die liegen doch nebeneinander...
 
Zuletzt bearbeitet:
Weil das zwei verschiedene Datenträger(Partitionen) sind.
Die in einem Rutsch wie EINEN zu verschlüsseln macht keinen Sinn. Irgendwo muss da eine Trennung sein.

Ich persönlich verschlüssele eigentlich nie die Partition/Datenträger mit dem OS per Veracrypt. Aber das bin ich.

Maitry schrieb:
Einmal Passworteingabe vor dem Booten eröffnet Betriebssystem C und Datenpartition D.

Automatisch einhängen per Veracrypt. Das geht.
https://www.reddit.com/r/VeraCrypt/comments/ofsxrl/mount_drive_automatically_at_startup/?rdt=59073
 
Zurück
Oben