Diebstahlschutz

MentalFS

Member
Themenstarter
Registriert
23 Jan. 2012
Beiträge
30
Hallo, mein neues Thinkpad W520 ist da, und ich möchte es jetzt natürlich sorgfältig einrichten. Dies ist mein erster Laptop.

Eine Sorge ist natürlich Diebstahl oder Verlust. Ich würde gerne wenigstens meine Daten schützen. Mir fällt da als erstes die Verschlüsselung mit TrueCrypt ein, allerdings sehe ich jetzt auch dass meine Festplatte 3 Partitionen hat. Dass eine für Recovery ist kann man sich ja denken, aber es ist noch eine kleine Partition da, von der wohl gebootet wird? Mache ich da was kaputt wenn ich die Verschlüssele? Ich glaube für eine Systemverschlüsselung muss man ja die Bootpartition verschlüsseln, sonst macht TrueCrypt wohl nicht mit.

Ansonsten kann man wohl ein Festplattenkennwort eingeben - das erscheint mir aber ähnlich wirksam wie ein Bios-Kennwort.

Ich habe so einen TPM-Chip, was kann man damit so anstellen? Ich würde gerne über den Schutz der Daten hinaus sicherstellen, dass nur ich etwas mit dem Thinkpad anfangen kann, indem es z.B. nur von der eingebauten Platte bootet.
 
Die 100mb-Partition gehört zu Windows und wird zum booten gebraucht. (Hier spreche ich aus Erfahrung :facepalm:)
Die Recovery habe ich immer getrost gelöscht, ich habe aber auch Zugang zu MSDNAA. Windows7 gibt es auch so legal als download daher reicht imo die Serial. Zur Sicherheit spiegle die Recovery einfach, damit bist du auf Nummer sicher.
HDDs, finde ich, kann man getrost mit Truecrypt vollverschlüsseln. SSDs verlieren über 50% an Performance (selbst getestet) und ist auch der Gesundheit nicht förderlich. Daher habe ich bei 120GB nur 40GB verschlüsselt.
Außerdem habe ich das Supervisor und das Poweronpasswort gesetzt. Zusätzlich den Bios-Lock. Ein HDD Pw habe ich nicht, da ich Angst habe, wenn mir das Board abraucht ich auch meine SSD vergessen kann...
 
Das Anlegen der 100 MB Bootpartition lässt sich umgehen, wenn man die Partitionierung des Laufwerks vorher mit einem anderen Tool wie z.B. gparted vornimmt und erst danach vom Windows Installationsmedium bootet. Findet Windows dann eine ausreichend große Partition zum Installieren vor, lässt es die Partitionierung unangetastet.
 
Erst einmal Wiederherstellungdatenträger erstellen:
http://thinkwiki.de/ThinkVantage_Tools#Erstellen_von_Wiederherstellungsdatentr.C3.A4gern
Beachte hierzu auch:
http://thinkwiki.de/Erstellung_der_Wiederherstellungsdatenträger_unter_Windows_7

Ohne die 100MB-Partition kann man keine Recovery-Medien erstellen.

Ich würde gerne über den Schutz der Daten hinaus sicherstellen, dass nur ich etwas mit dem Thinkpad anfangen kann, indem es z.B. nur von der eingebauten Platte bootet.
Da reicht schon ein Supervisor-Passwort mit BIOS-Lock.
Nach Austausch der HDD wird m.E. das SVP zum Booten verlangt.

Dies Verschlüsselung der gesamten HDD bremst das System zu sehr aus. Lege die Daten in einen Truecrypt-Container und gut ist.

Das HDD-Passwort lässt sich nur schwer umgehen. Beachte hierbei, dass mit der Einstellung "Use Passphrase" unter Security - Password ein längeres HDD-Passwort eingegeben werden kann, das nur auf Thinkpads, die über diese Option verfügen, verwendet werden kann.

Bei der Sicherheit Deiner HDD musst Du eines bedenken:
Wenn Du die Verschlüsselung unter Zuhilfenahme des TPM-Chips verwendest, sind alle Daten futsch, wenn das System Board aufgrund eines Schadens ausgetauscht werden muss. Der Trucrypt-Container dürfte die beste Variante im Worst-case sein. Dies zusammen mit einem HDD-Passwort dürfte die beste Variante sein.

@.Sun:
Ein anderes Thinkpad reicht schon, um über das HDD-Passwort Zugriff zu erlangen.

Bleibt noch eine Frage offen: Haben die SSDs immer noch den HDD-Passwort-Bug, der die SSD unlesbar machen kann?


Der beste Diebstahlschutz:
Nie aus den Augen lassen. Gerade dort, wo viele Personen anwesend sind, bekommt so ein Teil schnell Beine, selbst wenn man z.B. in der Uni kurz mit dem Hintermann plaudert oder "eben mal schnell" auf die Toilette geht. Beide Fälle hatten wir schon hier im Forum mehrfach behandeln müssen. Selbst ein Kensington-Schloss bietet keine Sicherheit.
 
Zuletzt bearbeitet:
Erst einmal Wiederherstellungdatenträger erstellen
Das war natürlich das erste, was ich gemacht habe.


Da reicht schon ein Supervisor-Passwort mit BIOS-Lock.
Nach Austausch der HDD wird m.E. das SVP zum Booten verlangt.
Das klingt gut. Reicht auf jeden Fall für meine Zwecke aus, danke.

Dies Verschlüsselung der gesamten HDD bremst das System zu sehr aus. Lege die Daten in einen Truecrypt-Container und gut ist.
Also da denke ich mir eher "ganz oder gar nicht". Ich weiß zum Beispiel nicht, was irgendwelche Programme so in die Registry schreiben. Haben die Prozessoren nicht mittlerweile eine eingebaute Beschleunigung für sowas?
Zudem hätte man bei der Vollverschlüsselung ja gleich noch eine schöne Nachricht direkt beim Hochfahren, die man soweit ich weiß anpassen kann.

Ich frage mich halt nur, ob ich alle 3 Partitionen verschlüsseln kann, oder ob ich dadurch quasi gezwungen bin, das System neu aufzusetzen mit nur einer Partition.

Das HDD-Passwort lässt sich nur schwer umgehen. Beachte hierbei, dass mit der Einstellung "Use Passphrase" unter Security - Password ein längeres HDD-Passwort eingegeben werden kann, das nur auf Thinkpads, die über diese Option verfügen, verwendet werden kann.

Bei der Sicherheit Deiner HDD musst Du eines bedenken:
Wenn Du die Verschlüsselung unter Zuhilfenahme des TPM-Chips verwendest, sind alle Daten futsch, wenn das System Board aufgrund eines Schadens ausgetauscht werden muss. Der Trucrypt-Container dürfte die beste Variante im Worst-case sein. Dies zusammen mit einem HDD-Passwort dürfte die beste Variante sein.
Ein bisschen unsicher bin ich bei der Lösung schon, immerhin ist es ja nur eine vorgeschaltete Abfrage und keine Verschlüsselung. Gibt's dazu ne URL die ich als Startpunkt zur Information nehmen kann?

Wenn die Daten dann weg sind sorgt es wenigstens dafür, dass man Backups macht :) Ich habe z.B. vor, alle Daten auf ein Netzlaufwerk zu legen und dieses "Offline benutzbar" zu machen. Das ist auch ein Grund warum ein Datencontainer mir da keine Hilfe wäre.

Der beste Diebstahlschutz:
Nie aus den Augen lassen. Gerade dort, wo viele Personen anwesend sind, bekommt so ein Teil schnell Beine, selbst wenn man z.B. in der Uni kurz mit dem Hintermann plaudert oder "eben mal schnell" auf die Toilette geht. Beide Fälle hatten wir schon hier im Forum mehrfach behandeln müssen. Selbst ein Kensington-Schloss bietet keine Sicherheit.
Das ist natürlich wahr, aber leider genauso wenig durchziehbar wie des Papstes Rat zur Aidsvorsorge: Keuschheit.
Irgendwo alleine liegen lassen will ich das Gerät natürlich nicht, aber es kann ja z.B. mal im Auto liegen bleiben wenn man ins Kino geht.
 
Die 100mb-Partition gehört zu Windows und wird zum booten gebraucht. (Hier spreche ich aus Erfahrung :facepalm:)
Die Recovery habe ich immer getrost gelöscht, ich habe aber auch Zugang zu MSDNAA. Windows7 gibt es auch so legal als download daher reicht imo die Serial. Zur Sicherheit spiegle die Recovery einfach, damit bist du auf Nummer sicher.
HDDs, finde ich, kann man getrost mit Truecrypt vollverschlüsseln. SSDs verlieren über 50% an Performance (selbst getestet) und ist auch der Gesundheit nicht förderlich. Daher habe ich bei 120GB nur 40GB verschlüsselt.
Außerdem habe ich das Supervisor und das Poweronpasswort gesetzt. Zusätzlich den Bios-Lock. Ein HDD Pw habe ich nicht, da ich Angst habe, wenn mir das Board abraucht ich auch meine SSD vergessen kann...

Aber nur wenn du ne alte CPU hast.

Neuere i5/i7 CPUs haben AESni.

Mein i7 schafft zb (getestet innem RAMFs) ca 700mb/s auf EINER! Core. Also mehr als ausreichend. Mein Core2Quad @ 3,9Ghz hat pro Core "nur" 80Mb/s geschafft.

Performance-Probleme sollten mit nem neuen W520 also der Vergangenheit angehören trotz TrueCrypt.

Verlierst bei ner SSD ggf. minimal Zugriffszeiten. Kann ignoriert werden..

Einzig was ich nicht weiß: Es kann sein das TrueCrypt noch kein TRIM kann, bei Luks wirds gerade implementiert, ergo wenn du cryptest wirst du auf Dauer verluste der Leistung haben weil Trim fehlt. Aber es gibt genug Platten die eine sehr sehr gute Garbage-Collection haben wo das Problem dann ebenfalls nicht mehr da ist.
 
Zuletzt bearbeitet:
Dass Verschlüsselung der SSD-Gesundheit schadet ist blanker Unsinn. Ich finde den tatsächlichen Performanceverlust (nicht den Benchmarkwert) bei Vollverschlüsselung (Linux) akzeptabel, auch ohne AESNI. Man muss eben wissen was man will und Prioritäten setzen. HDD-interne Verschlüsselung finde ich zu riskant wg. der SSD-Firmwarebugs und der fehlenden Nachprüfbarkeit.
 
aber es kann ja z.B. mal im Auto liegen bleiben wenn man ins Kino geht.
Das schminke Dir ganz schnell ab:
1. Ist es nicht versichert, wenn es beim Autoaufbruch geklaut wird.
2. Auto <> Tresor
3. Laptops und Handys sind neben Navigationssystemen die bevorzugte Beute.

Also:
Ins Kino gehen ODER Laptop dabeihaben oder Laptop mit ins Kino nehmen (die schlechtere Variante)
 
Was die Daten angeht würde ich sensible Daten erst gar nicht auf dem Notebook deponieren sondern z.B. auf einem USBstick, verschlüsselt.
 
Hi, bist du beim CIA oder BKA beschäftigt, dass du so brisante Daten auf deinem Notebook hast.

Wie "Chill" schon schrieb, alles was wichtig ist auf einen Stick packen.

Nobby
 
Ich bin nicht beim BKA, BND oder sonstwas. Ich hüte auch keine Firmengeheimnisse und ich habe keinen Grund anzunehmen, dass die Polizei meinen PC beschlagnahmen könnte. Das einzige was ich habe sind meine normalen (privaten) Daten. Die soll ein eventueller Dieb, Räuber oder Finder aber nicht durchstöbern können.

Man hat auf seiner Platte ja z.B. auch seine Emails, eventuell Passwörter gespeichert - nicht nur im Browser, auch im Mailprogramm, Instant Messenger und so weiter. Dabei möchte ich mich einfach nicht darauf verlassen, dass mein Laptop "schon nicht wegkommen wird, weil ich ja aufpasse". Ebenso verlasse ich mich nicht darauf, dass ich alle privaten Daten in einen bestimmten Ordner schieben kann. Ich will schlicht und einfach meine (gesamte) Festplatte vor Fremdzugriff schützen. Das dürfte eigentlich nichts ungewöhnliches sein.
 
Verschlüssel das Ding komplett. Warum mit einem zusätzlichen USB-Stick rumschlagen. :facepalm: Dann musst du dir nie Gedanken machen, ob nicht evtl. irgendwo in irgendwelchen temporären Dateien vielleicht doch irgendwas gespeichert war. Und inzwischen sind die Geräte so schnell, dass du von der Verschlüsselung eh nichts merkst.
 
Das Gerät bekommst du in den seltensten Fällen zurück. Und welchen Vorteil hat das dann noch gegenüber kostenloser Verschlüsselung?
 
Bei Computrace gehts nicht nur um Verschlüsselung, Ortung und Wiederbeschaffung. Man kann das Gerät auch unbrauchbar machen, durch Hardwarefunktionen im Bios gestützt. Wenn das Gerät sich nicht alle x Tage bei Computrace meldet oder es dort gesperrt ist macht das Bios das Ding tot, dann ist ein Mainboardwechsel fällig. Ist im Bios ein HDD Kennwort gesetzt kommt man dann auch nicht mehr an die Daten.

Grüz!
Hibbelharry
 
Dass Verschlüsselung der SSD-Gesundheit schadet ist blanker Unsinn.
Sehe ich auch so. Es wird irgendein Bitmuster gespeichert, ob da nun "Egon ist doof!" in den Speicherzellen steht oder "Gj&4S0ßnd$§al#" ist der SSD doch egal...

Ich finde den tatsächlichen Performanceverlust (nicht den Benchmarkwert) bei Vollverschlüsselung (Linux) akzeptabel, auch ohne AESNI. Man muss eben wissen was man will und Prioritäten setzen. HDD-interne Verschlüsselung finde ich zu riskant wg. der SSD-Firmwarebugs und der fehlenden Nachprüfbarkeit.
Kann ich bestätigen. Selbst beim ollen X24 merkt man im Normalbetrieb kaum einen Unterschied zum unverschlüsselten System. Nur beim Kopieren von wirklich (!) großen Dateien merkt man bei alten Prozessoren daß die an die Grenzen kommen, solche Daten hätte man aber auch bei einem teilverschlüsselten System wohl im verschlüsselten Bereich liegen.
 
Vollverschlüsselt hat mein Sysstart sich um 20s verlängert. Das zum "kein Unterschied".
 
Bei Computrace gehts nicht nur um Verschlüsselung, Ortung und Wiederbeschaffung. Man kann das Gerät auch unbrauchbar machen, durch Hardwarefunktionen im Bios gestützt. Wenn das Gerät sich nicht alle x Tage bei Computrace meldet oder es dort gesperrt ist macht das Bios das Ding tot, dann ist ein Mainboardwechsel fällig. Ist im Bios ein HDD Kennwort gesetzt kommt man dann auch nicht mehr an die Daten.

Ist aber nicht ganz billig was die Lizenz angeht zum einen, zum anderen kann es relativ leicht ausgehebelt werden. Dadurch ist es vielleicht sogar gefährlich weil sich Anwender auf einen Schutz verlassen, der in der Praxis einfach nicht zuverlässig schützt und leihtsinniger mit Datne umgehen.
 
Bei Computrace gehts nicht nur um Verschlüsselung, Ortung und Wiederbeschaffung. Man kann das Gerät auch unbrauchbar machen, durch Hardwarefunktionen im Bios gestützt. Wenn das Gerät sich nicht alle x Tage bei Computrace meldet oder es dort gesperrt ist macht das Bios das Ding tot, dann ist ein Mainboardwechsel fällig. Ist im Bios ein HDD Kennwort gesetzt kommt man dann auch nicht mehr an die Daten.

Grüz!
Hibbelharry

Wie soll ein HDD-Passwort die Daten schützen? Solange da keine Verschlüsselung im Spiel ist, kann man die HDD einfach ausbauen und in einen anderen Rechner stecken oder irre ich mich da?
 
HDD-Passwort - ist Passphrase aktiv funktioniert der Festplattenwechsel nur ein einem anderen Thinkpad. Und dort mus das Kennwort dann bekannt sein.

Verschlüsselung von SSD - es ist schädlich für die SSD, da durch die Vollverschlüsselung der Controller nicht entscheiden kann welche Zellen leer und welche belegt sind (alle voll). Entsprechend werden so die Methoden zur Abnutzungsverringerung (Wear Leveling) ausser Kraft gesetzt und die SSD schreibt im schlimmsten Falle nur auf ein paar wenigen Zellen rum, welche das Pech haben die Windows-Protokolle zu speichern. Bei teilweise nur 3 bis 5.000 Zyklen pro Zelle ist das dann recht schnell erreicht und die Zelle stirbt.
 
  • ok1.de
  • thinkstore24.de
  • ok2.de - Notebook Computer Server
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben