Hallo

ich hab ne kleine frage.
habe einen kleinen server mit windows xp
und ich habe 2 clients mit windows vista home premium

demnächst wird das ganze system umgestellt auf windows 7...

ich habe sensible daten auf dem server und hätte diese gerne verschlüsselt.
die verschlüsselung sollte ohne benutzereingriff von statten gehen und sollte auch von den clients unterstützt werden.
desweiteren soll diese ganze geschichte so DAU fähig wie irgend möglich sein.

die zwei clients müssen mit dem server und den verschlüsselten daten umgehen können.

jetzt habe ich gelesen das windows7 ulitimate die funktion bitlocker unterstützt
leider nur mit tpm chip.
nehmen wir mal an ich bau nen server der auf dem board nen tpm chip hat...
kann ich mit 7 ultimate die verschlüsselung nutzen wie ich es oben beschrieben habe ?

gibt es neben bitlocker (bezahlbare) alternativen die ich unter umständen auch unter xp nutzen kann ?
der Windows 7 umstieg ist eigentlich nur wegen bitlocker geplant gewesen, als ich allerdings las das ein tpm chip benötigt wird bin ich jetzt am grübeln. (die usb stick alternative scheidet schon mal komplett aus !)


für euere hilfe wäre ich dankbar.

achso, Linux als Alternative scheidet komplett aus !

Die Verschlüsselung auf Dateisystemebene ist für den Client irrelevant, da dieser davon nichts mitbekommt. Wie greifen denn die Clients auf den Server zu?

Ich hab ein ganz normales TCP Netzwerk laufen, also mit Arbeitsgruppen, Freigaben usw.
Auf dem Server ist ein Ordner "Firma" freigegeben.
Der Inhalt dieses Ordners wird...Bearbeitet...
Gespeichert werden die Daten dann wieder in diesem Ordner.

Letztendlich soll der Server auch vor einem eventuellen Diebstahl geschützt sein.
Ein Windowskennwort reicht mir da nicht aus.
Deswegen würd ich schon gerne den ganzen Server "Verschlüsseln"
Für den fall das irgend einer mal hingeht,die platte klaut, irgendwo anders einbaut und die daten dann in aller ruhe studieren kann.

Nicht das ich hier Fort Knox schützen will, es geht hier einfach um sensible Firmendaten die niemand etwas angehen.

BSI approved ;) (http://www.secunet.com/de/produkte-dienstleistungen/hochsicherheit/sina/sina-box/)
Ein "normales" VPN mit Verschlüsselung sollte es im Normalfall tun, die Clients und den server entsprechend absichern mit Verschlüsselung etc.

Du brauchst jedenfalls eine zusätzliche Methode der Benutzerauthentifizierung, der das System/Verschlüsselung freigibt. Bei BitLocker ohne TPM wäre es das einstecken des USB-Sticks, bei BitLocker mit TPM die/der PIN/USB-Stick und bei TrueCrypt die pass phrase. Ein automatisches freigeben oder mounten des TrueCrypt Containers ist nicht sinnvoll unter diesem Aspekt, denn wenn dann klaut jemand gleich den ganzen Rechner und bräuchte die Kiste nach Erstellung eines Images der Festplatte nur Einschalten, um an die Daten zu kommen.

Wenn du überdies auch den Netzwerkverkehr verschlüsseln möchtest, dann wäre IPSec was für dich.

Noch eine Korrektur zum vorigen Post von mir: normales EFS funktioniert nicht mit Windows-Freigaben außerhalb einer Domäne.

Hmm...bahnhof :D

Bitlocker klingt eigenlich am interessantesten.

1: ist es systemintegriert
2: benutzerfreundlich (oder irre ich mich da)

Mir gefällt nur die usbstick sache nicht so ganz, vielleicht kapier ich sie auch nicht...
wie funktioniert denn das ?
ich meine, wenn ich jetzt den ganzen
"Windows7 truecryptverschlüsselter Rechner mit dem USB-Stick" stehle, dann kann ich doch als dieb mit den daten machen was ich will, ich hab ja den usb stick.
Oder liege ich da komplett falsch ?
ich meine, wenn ich doch den usb stick habe hab ich doch auch die verschlüsselung im sack oder ?
Ist der USB Stick dann das "Passwort" für die verschlüsselung ?

himmel, das ist ein thema davon hab ich null plan :-)

Ok...schritt für schritt
Nehmen wir einmal an ich baue nen Server der TCM Hardwaremäßig unterstützt.
(Kostet ja nicht die Welt, es gibt Gigabyte mainboards die haben den chip onboard p35UD3r(p) )
Jetzt mach ich Windows7 Ultimate auf die Kiste aktiviere Bitlocker, gerneriere ein Passwort und lasse den Chip den rest machen. (läuft das mit dem Windows Kennwort ?)
Die Clients verbinde ich ganz normal mit dem Netzwerk mit dem Server auf TCP ebene und bearbeite meine Daten welche auf dem Bitlocker-System liegen.

Würde das so funktionieren, oder gibt es da noch einiges anderes zu beachten ?

Ich bin mir nicht sicher aber den USB-Stick brauchst du nur für den Start und kann danach abgenommen und sicher weggelegt werden. Anders wäre es wenig sinnvoll. Wenn du ein TP-Modul hast, dann kannst auch auf eine PIN ausweichen, die beim Start eingegeben werden muss.

Was ist mit den Clients? Sobald die auf die Daten zugreifen liegen diese frei zugänglich auf dem Client.

Es konnte mir bis jetzt auch noch keiner erklären was Bitlocker macht, wenn mal ein Board abraucht...

Was ist mit den Clients? Sobald die auf die Daten zugreifen liegen diese frei zugänglich auf dem Client.

Es konnte mir bis jetzt auch noch keiner erklären was Bitlocker macht, wenn mal ein Board abraucht...

naja, die clients...
die stehen im ladenlokal und sind mehr oder weniger immer besetzt.
die wahrscheinlichkeit das da jemand rangeht ist schwindend gering.
(kennwortschutz ist gegeben)
es geht hier eher um die zeit nach feierabend.
wenn das geschäft geschlossen ist liegt alles sicher auf dem server.
datensicherung wird taglich genacht (ext. usb datenträger wird immer mitgenommen)
bricht jetzt jeamnd ein und stiehlt die daten, dann soll es für den jenigen
unmöglich sein diese zu verwenden.
so ist der plan.

vielleicht ist mein threattitel etwas ungeschickt gewählt,
als ich das letzt mal etwas mit verschlüsselung zu tun hatte nutzte
man noch den amiga mit microdot und der pgp verschlüsselung :-)

es geht hier eher um die zeit nach feierabend.
wenn das geschäft geschlossen ist liegt alles sicher auf dem server.Echt? Wie kriegst du die Daten von den Clients wieder sicher runter? Bzw. was du diesbezüglich vom Betriebssystem wie auch der Anwendung erwarten kannst.

bricht jetzt jeamnd ein und stiehlt die daten, dann soll es für den jenigen
unmöglich sein diese zu verwenden.
so ist der plan.Der ist ok ;) Sonst s.o. Die Frage ist, ob er Pfiffig genug wäre den Client zu klauen, um an 20%-30% dessen rankommen was er sucht oder das eher auszuschliessen ist.

Was ist jetzt mit dem Server? Läuft der 24h? Dann wäre ich in der Lage ihn laufend rauszutragen, wenn die nächste Steckdose ~30min weit entfernt ist (kein Sch...). Wenn der eingelogt ist, ist er "entschlüsselt".

Wird er mit dem Feierabend ausgemacht, muß ihn jemand morgens starten bzw. Logon durchführen (?)

Du mußt erstmal die Rahmenbedingungen 100% durch- und ausarbeiten bevor du dir über die Methoden den Kopf machst. Das ist wie bei jedem Sicherheitsthema der Pat der die meiste Zeit verschlingen sollte.
Maschendrahtzaun auszurollen ist einfacher als Stabzäune und das wiederum ist einfacher als ein Mauerzaun zu ziehen.

als ich das letzt mal etwas mit verschlüsselung zu tun hatte nutzte
man noch den amiga mit microdot und der pgp verschlüsselung :-)Willkommen im Club :up: