Moin!

Ich weiß, es gibt schon zig Beiträge darüber, aber geholfen hat es bisher nicht und ich verspüre auch wenig Lust, noch mehr Software zu testen.

Mein Anliegen ist:
Ich habe hier eine externe Festplatte, die ich verschlüsseln möchte.
Und zwar so, dass ich mit meinem Login onthefly drauf zugreifen kann.

Probiert habe ich als erstes PGP Desktop. Funktioniert wo weit ganz gut, ABER: PGP fragt beim Systemstart immer sofort nach dem Passwort für die USB-Platte. Ist natürlich nicht so ideal, wenn mehrere Benutzer den PC nutzen.
Die Abfrage kann man umständlich umgehen (was schon ein großes Minus ist beim Systemstart!), aber dann bei Windows fragt er schon wieder nach dem PW. Das ganze passiert, obwohl die Platte gar nicht angeschlossen ist.
Durch die ganze Abfragerei ist PGP für mich wertlos.

Dann habe ich Truecrypt getestet, aber die Software ist nicht in der Lage, ohne voriges Formatieren der Festplatte zu verschlüsseln (oder ich habe die andere Möglichkeit nicht gefunden). Da meine Platte recht voll ist und ich auch nicht die Möglichkeit habe, die Dateien vorher zu sichern, fällt auch diese Software für mich aus.

Dann habe ich die Verschlüsselung von WinXP getestet, funktioniert soweit auch ganz gut, das Blöde ist nur, andere Benutzer können den Ordner lesen, auch wenn sie nicht drauf zugreifen können. Wie stelle ich es also so ein, dass nur ich mit meinem Login es lesen kann und drauf zugreifen kann?
Denn die WinXP-Lösung hat mir eigentlich am besten gefallen, wenn das Problem mit dem Lesen nicht wäre.
Außerdem, was ist, wenn WinXP aus irgendeinem Grund ausfallen sollte, wie komme ich wieder an die Daten wieder ran?
MFG
BB

Moin!

Ich weiß, es gibt schon zig Beiträge darüber, aber geholfen hat es bisher nicht und ich verspüre auch wenig Lust, noch mehr Software zu testen.

Mein Anliegen ist:
Ich habe hier eine externe Festplatte, die ich verschlüsseln möchte.
Und zwar so, dass ich mit meinem Login onthefly drauf zugreifen kann.

Probiert habe ich als erstes PGP Desktop. Funktioniert wo weit ganz gut, ABER: PGP fragt beim Systemstart immer sofort nach dem Passwort für die USB-Platte. Ist natürlich nicht so ideal, wenn mehrere Benutzer den PC nutzen.
Die Abfrage kann man umständlich umgehen (was schon ein großes Minus ist beim Systemstart!), aber dann bei Windows fragt er schon wieder nach dem PW. Das ganze passiert, obwohl die Platte gar nicht angeschlossen ist.
Durch die ganze Abfragerei ist PGP für mich wertlos.

Dann habe ich Truecrypt getestet, aber die Software ist nicht in der Lage, ohne voriges Formatieren der Festplatte zu verschlüsseln (oder ich habe die andere Möglichkeit nicht gefunden). Da meine Platte recht voll ist und ich auch nicht die Möglichkeit habe, die Dateien vorher zu sichern, fällt auch diese Software für mich aus.

Dann habe ich die Verschlüsselung von WinXP getestet, funktioniert soweit auch ganz gut, das Blöde ist nur, andere Benutzer können den Ordner lesen, auch wenn sie nicht drauf zugreifen können. Wie stelle ich es also so ein, dass nur ich mit meinem Login es lesen kann und drauf zugreifen kann?
Denn die WinXP-Lösung hat mir eigentlich am besten gefallen, wenn das Problem mit dem Lesen nicht wäre.
Außerdem, was ist, wenn WinXP aus irgendeinem Grund ausfallen sollte, wie komme ich wieder an die Daten wieder ran?
MFG
BB
verwendest du für die anderen Benutzer wirklich Benutzer oder doch Administratoren? Wenn du Benutzer verwendest, dann regel das über ACLs und NTFS. Das verschlüsseln mit dem XP eigenen EFS soll eher den zugriff durch unbefugte verhindern (also auch Admins, die die Platte woanders anschliessen und dann auslesen). EFS kann auch von Aussen nicht so einfach (wenn überhaupt derzeit!) ausgehebelt werden, NTFS jedoch sehr einfach. Dagegen kannst du Inhalte mit NTFS "quasi" unsichtbar machen, mit EFS nicht. Wenn man aber nur mit admins arbeitet hebelt man das gesamte sicheheitskonzept von Windows aus und braucht dann externe Tools um das wieder geradezubiegen:rolleyes:

verwendest du für die anderen Benutzer wirklich Benutzer oder doch Administratoren? Wenn du Benutzer verwendest, dann regel das über ACLs und NTFS. Das verschlüsseln mit dem XP eigenen EFS soll eher den zugriff durch unbefugte verhindern (also auch Admins, die die Platte woanders anschliessen und dann auslesen). EFS kann auch von Aussen nicht so einfach (wenn überhaupt derzeit!) ausgehebelt werden, NTFS jedoch sehr einfach. Dagegen kannst du Inhalte mit NTFS "quasi" unsichtbar machen, mit EFS nicht. Wenn man aber nur mit admins arbeitet hebelt man das gesamte sicheheitskonzept von Windows aus und braucht dann externe Tools um das wieder geradezubiegen:rolleyes:

Was ist ACL?
Ist das die Karteikarte "Sicherheit" im Eigenschaftenmenü? Denn da blick ich absolut nicht durch, was ist da machen muss.

Kann man beides nicht kombinieren?

Was ist ACL?
ACL = Access Control List (http://de.wikipedia.org/wiki/Access_Control_List) = Zugriffskontrolle
Ist der allgemeine fachbegriff für Zugriffs-Berechtigungs-Steuerung oder so:biggrin:

Kann man beides nicht kombinieren? Ja man kann beides Kombinieren. Ich auch Sinnvoll wenn man denn beides braucht. Aber meistens reicht die NTFS Berechtigung.

Ist das die Karteikarte "Sicherheit" im Eigenschaftenmenü? Denn da blick ich absolut nicht durch, was ist da machen muss.

Uff das ist schwierig "einfach" zu erläutern. Ich habe mal zwei (edit: DREI)Bilder hochgeladen. Ich habe zwei benutzer ich (georg) und meine Frau (Ulrike). Wenn ich einen Benutzer anklicke, wird mir unten in den Kästchen angezeigt was der User darf und was nicht. In der Regel verwendet man die Rechte unter "ZULASSEN". "VERWEIGERN" verwendet man relativ selten wenn es nicht anders geht, oder wenn man mit Gruppen Arbeitet und einzelne User daraus sperren will. Aber das führt ertmal zu weit.

Wie du siehst fehlt bei Ulrike das Recht "schreiben" (Ändern ist schreiben+lesen). Georg hat es. Also darf Ulrike dort nichts verändern, sehr wohl lesen. Würde ich Ulrike anklicken und dann auf Entfernen drücken, dann stünde dort nur Georg und nur ich dürfte dort in den Ordner rein. Ulrike ist komplett ausgesperrt. Wie gesagt Admins können auch ohne Rechte dies verändern (zur Info: Das geht über "Bezitz übernehmen" was nur der Admin darf), weshalb es sinnlos damit zu arbeiten, wenn alle Benutzer auch Admins sind. Aber aus sicherheitsgründen, sollte man eigebtlich immer "nur" mit Benutzern arbeiten, und die Admins nur zum Administrieren verwenden.

Ich hoffe das klärt ein wenig auf, war nur ne kleine Einleitung. Falls noch fragen da sind, schieß los.

ACLs sind keine sinnvolle Sicherheit bei einer USB-Platte, wenn man die an einen Rechner hängt an dem Admin-Rechte hat kann man alles angucken.

TrueCrypt kann auch virtuelle Laufwerke erzeugen die dann in einer Datei gespeichert sind. Normalerweise ist das verschlüsselte Laufwerk dann einfach eine große Datei auf der Festplatte, wenn man es aber einbindet bekommt man ein zusätzliches Laufwerk in Windows. Ich weiß allerdings nicht ob man diese Dinger nach dem Erzeugen noch vergrößern kann...

ACLs sind keine sinnvolle Sicherheit bei einer USB-Platte, wenn man die an einen Rechner hängt an dem Admin-Rechte hat kann man alles angucken.

TrueCrypt kann auch virtuelle Laufwerke erzeugen die dann in einer Datei gespeichert sind. Normalerweise ist das verschlüsselte Laufwerk dann einfach eine große Datei auf der Festplatte, wenn man es aber einbindet bekommt man ein zusätzliches Laufwerk in Windows. Ich weiß allerdings nicht ob man diese Dinger nach dem Erzeugen noch vergrößern kann...

es ging ihm ja darum, dass die anderen Benutzer nicht darauf zugreifen können und den Inhalt nicht sehen können, was man bei EFS ja kann, also Ornder- und Dateiamen. Ansonsten ist natürlich die Verschlüsselung das richtig Mittel. ich schrieb ja schon, dass man durch ankorken an einen anderen Rechner NTFS leicht (sofort) aushebeln kann. Ansonsten bietet sich an EFS und NTFS gleichzeitig zu verwenden, was ich auch schon geschrieben habe.

Ja, irgendwie hat Trap recht, wenn man die USB-Platte woanders anschließt, dann kann man die Daten ja immer noch lesen, auch wenn man sie nicht ändern kann.
Die Daten sind jetzt nicht so hochsensibel, aber lesen soll man sie auch nicht können.
Natürlich könnte man die Platte entwenden, aber das ist hier jetzt nicht das Thema.
Ich möchte, dass nur ich mit meinem Login on-the-fly mit der USB-Platte arbeiten kann, wenn ich sie anschließe und das niemand sonst diese Daten auslesen kann.
Truecrypt könnte das wohl prinzipiell, wenn ich das richtig verstanden habe, aber dazu muss man die Platte formatieren und das ist nicht drin.
Gibt es zu diesem einfachen Fall keine einfache Lösung?

PS: Um noch mal zu ACL zurück zu kommen: bei mir stehen insgesamt 5 Benutzer, obwohl nur ich zur Zeit ein Konto habe.
http://img236.imageshack.us/img236/2052/unbenanntli2.th.jpg (http://img236.imageshack.us/my.php?image=unbenanntli2.jpg)

Und nicht vergessen das Zertifikat zu exportieren und gut aufzuheben, sonst kommst du nie wieder an die Dateien wenn du Windows mal neuinstalliertst.

Start > Ausführen > certmgr.msc

Dort dann das Persönliche Zertifikat exportieren.

im Bild erkennst du unter 1. an den Symbolen, dass bis auf pl die restlichen einträge GRUPPEN sind. Es werden zwei Köpfe statt eines einzelnen abgebildet. System ist ok, das ist der Rechner selbst, Admins genauso, nur zu Benutzer gehören alle anderen. Aber da du sowieso nur einen Benutzer hast, kannst du niemanden aussperren, weil scheinbar alle Nutzer deinses Rechners den selben Benutzer verwenden. Ertmal solltest du einen weiteren Benutzer anlegen.

Ausserdem musst du, um dort die Benutzer entfernen zu können, die Vererbung des übergeordneten Ordners entfernen. Das machst du mit 2. Erweitert und dann bei den beiden Kästchen den ERSTEN entfernen.

Natürlich kannst du - wenn du sicher sein möchtest, dass niemand deine Daten an einem anderen Rechner lesen kann - die Verschlüsselung von XP zusätzlich aktivieren. Das habe ich auch schon zwei mal geschrieben. Was ich eigentlich mit meinen Antworten
mitteilen möchte, ist, dass man für so was keine extra Tolls braucht, weil XP das alles schon mitbringt, wenn man denn bereit ist, sich mit Windows richtig zu beschäftigen.

Aber wie Grendel schon sagte, beim verschlüsseln die Schlüssel auch extern speichern, sonst sind später die Daten weg.