Festplattenverschlüsselung und Backup

S

sustain

New member
Themenstarter
Registriert
28 Feb. 2021
Beiträge
19
Hallo!

Nachdem ich hier schon so perfekt zu dem Kauf eines T14 beraten wurde und das Stück nun seit wenigen Tagen in den Händen halte, schiebe ich nochmal eine zweite Frage hinterher.
Momentan beschäftigte ich mich mit dem Thema Sicherheit unter Windows 10. Telemetriedaten von Windows10 und Office habe ich schon über die Gruppeneinstellungen deaktiviert.

Nun folgt die Festplattenverschlüsselung. Ich habe nicht herausgefunden, ob die aktuelle 1TB Lenovo-Platte eine SED-SSD ist (hier gab es ja mal eine Diskussion ob da überhaupt eine Festplattenverschlüsselung notwendig ist). Deshalb möchte ich sicherheitshalber meine Systemfestplatte verschlüsseln. Gerne möchte ich Veracrypt und nicht Bitlocker benutzen (erscheint mir wegen OpenSource sicherer).

Gleichzeitig möchte ich ein Backup-Programm haben. Es sollte natürlich ebenfalls verschlüsselte Backups erstellen und gerne open source sein. Gibt es da Empfehlungen? Kann es passieren das die Festplattenverschlüsselung mit VeraCrypt irgendwie mit dem Backup interferiert? Oder ist, wenn die Systemfestplatte einmal "offen" ist durch Eingabe des Passworts, der Weg für das Backup-Programm frei?

Ich bin dankbar für Infos!
sustain
 
Meine Empfehlung ist Blocker mit PIN. Warum? Weil es schnell und sicher ist. Zudem geht Bitlocker bei der PIN Variante nach mehrmaliger Falscheingabe in den Recoverymodus über und verlangt den Wiederherstellungsschlüssel. Damit wiederum ist es unmöglich die Verschlüsselung zu knacken.

Backup ist egal. Sobald die Verschlüsselung den Zugriff auf die Platte freigegeben hat läuft das transparent. Also am besten das Backupmedium auch verschlüsseln.
 
+1 für Bitlocker mit Passwort (ohne TPM)

Vracrypt ist auch ok (Opensource) also +2 :thumbsup:

+3 wäre dann weg von Windos :cool:
 
boisbleu schrieb:
Meine Empfehlung ist Blocker mit PIN. Warum? Weil es schnell und sicher ist. Zudem geht Bitlocker bei der PIN Variante nach mehrmaliger Falscheingabe in den Recoverymodus über und verlangt den Wiederherstellungsschlüssel. Damit wiederum ist es unmöglich die Verschlüsselung zu knacken.
Zum Vergrößern anklicken....
mcb schrieb:
+1 für Bitlocker mit Passwort (ohne TPM)
Zum Vergrößern anklicken....
Ein unschlagbarer Vorteil in dieser Methode liegt darin, dass die verschlüsselte SSD auch in einen anderen Rechner (z.B. Ersatz-T14) ohne Datenverlust eingebaut und genutzt werden kann. Lediglich im UEFI muss der Security-Chip (TPM) "disabled" werden, damit die Policy "Bitlocker mit Passwort" auch aktiviert/benutzt werden kann.

Backup-Programme können ohne Probleme aus dem laufenden Windows Sicherungen erstellen. Das Backup sollte aber passwortgeschützt werden.
Backup ganzer Laufwerke/Partitionen mit einem von USB gebooteten Klon/Backup-Tool (z.B. Acronis) können bei einigen dieser Tools nicht durchgeführt werden, solange die Platte/Partition verschlüsselt ist.
 
Danke für die Antworten.

Also doch Windows vertrauen und Bitlocker benutzen (?). Könntet ihr das mit dem "Bitlocker mit Passowort (ohne TPM)" nochmal erklären?
Bzgl. des Passworts: Das braucht man doch eh immer um die Festplatte zu entschlüsseln?
Bzgl. TPM: Sorgt der nicht gerade für mehr Sicherheit, bzw. bindet eben die spezifisch verschlüsselte Festplatte an das Computersystem? Ich sehe zwar den Vorteil, dass bei Totalschadens des Rechners (aber nicht der Festplatte - eher selten?), die Festplatte in einen anderen Computer eingebaut werden kann. Aber ist dafür nicht gerade die Backup-Festplatte da, dass man eine neue Festplatte mit dem Backup versorgen kann?

Bezüglich des Backup-Programms: Hier gab es noch keine Empfehlung. Gibt es da Programme, die das automatisch machen? Ich komme von MacOS und kenne TimeMachine. Sowas geht also nach Aussage von Mornsgrans nicht? Oder wie habe ich das zu verstehen? Können also bei Festplattenverschlüsselung immer nur einzelne Ordner gesichert werden?
 
Ich sichere unter Windows nur meine Arbeitsordner automatisch auf einem mit Bitlocker verschlüsseltem externen Laufwerk. Zusätzlich machen ich manuell einmal pro Woche ein Systemimage. Zum Glück, bisher habe ich noch nie eins meiner Backups gebraucht. Weder durch Schadsoftware, noch durch defekt hatte ich jemals einen defekten oder kompromitierten Rechner.
 
Zum Backup Programm. Ich sichere alles zwischen stündlich und wöchentlich, je nachdem wie oft es auf dem Laufwerk Änderungen gibt und wie schwierig es ist die Daten neu zu erstellen.
Die Disk mit ständigen Änderungen wird jede Stunde gesichert. Normalerweise werden nur die Änderungen gesichert und etwa alle 20 Änderungen wird eine neue Basis Sicherung angelegt und darauf wieder die Increments.
Das Verfahren hat die letzten 10 Jahre gut mit Acronis True Image funktioniert. Auch bei ein paar Festplattenausfällen wurden die Daten erfolgreich wiederhergestellt.
Leider wurde True Image von Jahr zu Jahr komplizierter. Nach dem Update 2020, letztes Jahr, waren dann einige Backups nicht wieder herstellbar. Sowas mag ich gar nicht.
Ich habe deshalb AOMEI Backup ausführlich getestet und bin dann auf dieses umgestiegen. Läuft jetzt seit 9 Monaten problemlos, ich teste auch regelmäßig, ob auch der Restore funktioniert.
 
sustain schrieb:
Danke für die Antworten.

Also doch Windows vertrauen und Bitlocker benutzen (?). Könntet ihr das mit dem "Bitlocker mit Passowort (ohne TPM)" nochmal erklären?
Bzgl. des Passworts: Das braucht man doch eh immer um die Festplatte zu entschlüsseln?
Bzgl. TPM: Sorgt der nicht gerade für mehr Sicherheit, bzw. bindet eben die spezifisch verschlüsselte Festplatte an das Computersystem? Ich sehe zwar den Vorteil, dass bei Totalschadens des Rechners (aber nicht der Festplatte - eher selten?), die Festplatte in einen anderen Computer eingebaut werden kann. Aber ist dafür nicht gerade die Backup-Festplatte da, dass man eine neue Festplatte mit dem Backup versorgen kann?

Bezüglich des Backup-Programms: Hier gab es noch keine Empfehlung. Gibt es da Programme, die das automatisch machen? Ich komme von MacOS und kenne TimeMachine. Sowas geht also nach Aussage von Mornsgrans nicht? Oder wie habe ich das zu verstehen? Können also bei Festplattenverschlüsselung immer nur einzelne Ordner gesichert werden?
Zum Vergrößern anklicken....


Es spricht wenig gegen Veracrypt / ich hatte ja mal +2 gevotet :thumbsup:

Bitlocker mit TPM und ohne Passwort ist im Zweifel ziemlich nervig - wenn Windows dann meint nach dem
Recoverykey fragen zu müssen weil dem System etwas "quer"sitzt ...
 
Mornsgrans schrieb:
Google führt mich zu
https://www.tecchannel.de/a/windows-praxis-laufwerke-mit-bitlocker-verschluesseln,2038441,2

Du brauchst einen USB-Stick, auf dem der Wiederherstellungsschlüssel gespeichert werden muss, bevor Bitlocker mit der Verschlüsselung beginnt. Den Wiederherstellungsschlüssel kannst Du dann auf einem sicheren Datenträger verschieben.
Zum Vergrößern anklicken....


Ich meine nicht, wie das technisch umsetzbar ist. Sondern ich würde gerne noch verstehen warum ich den TPM bei Bitlocker nicht nutze. Da habe ich trotz Suchmaschine keine Antworten gefunden. Eine Anschlussfrage wäre, was VeraCrypt tut? Nutzt automatisch den TPM nicht?

Bin sehr dankbar über Hilfe!
 
So groß sind die Unterschiede ja nicht

- Bitlocker mit TPM wenn es doof läuft will Windos den Recoverykey (das passt dann meist nicht und nervt)
- Bitlocker ohne TPM (mit Passwort) -> du gibst das Passwort beim Booten ein (Win schließt dich nicht ev. mal aus)
- Veracrypt du gibst das Passwd ein beim Start (TPM nutzt Veracrypt nicht soweit ich weiß)
 
Kann ich Festplatten auf demselben Computer austauschen, wenn BitLocker auf dem Betriebssystemlaufwerk aktiviert ist?

Ja, Sie können mehrere Festplatten auf demselben Computer austauschen, wenn BitLocker aktiviert ist, aber nur, wenn die Festplatten auf demselben Computer mit BitLocker geschützt wurden. Die BitLocker-Schlüssel sind für das TPM und das Betriebssystemlaufwerk eindeutig. Wenn Sie also ein Sicherungsbetriebssystem oder Datenlaufwerk vorbereiten möchten, falls ein Datenträger ausfällt, stellen Sie sicher, dass sie mit dem richtigen TPM übereinstimmen. Sie können auch verschiedene Festplatten für verschiedene Betriebssysteme konfigurieren und BitLocker anschließend jeweils mit unterschiedlichen Authentifizierungsmethoden (z. B. eine nur mit TPM und eine mit TPM und PIN) ohne Konflikte aktivieren.
Zum Vergrößern anklicken....
Heißt für mich im Umkehrschluss, dass ein im Rechner A mit Hilfe des TPM verschlüsseltes Laufwerk im Rechner B nicht läuft.
https://docs.microsoft.com/de-de/wi...r/bitlocker-deployment-and-administration-faq

Aber laut diesem Thread soll es mit dem Wiederherstellungsschlüssel klappen:
https://www.mcseboard.de/topic/2104...ker-mit-tpm-in-baugleiches-notebook-einbauen/
 
Zuletzt bearbeitet:
Danke für die Antwort, Mornsgrans. Allerdings war es ja nicht meine Frage, wie ich sicher Systemfestplatten verschlüssel UND zwischen Rechnern austauschen kann.
Sondern es ging mir nur um eine sichere Verschlüsselung. Und da wäre es doch deutlich sicherer, wenn die Platte an meinen Rechner gebunden ist (mit TPM), als wenn sie in jeden Rechner eingebaut (und theoretisch) dort entschlüsselt werden könnte? Deshalb verstehe ich Sinn hinter deinem Tipp nicht, den TPM zu deaktivieren. Oder meinst du eher, dass wenn mal mein Laptop defekt ist, aber nicht die Platte, dass dann die Daten verloren wären? Oder stehe ich auf dem Schlauch?

Hier wird bspw. auch die Verschlüsselung mit TPM als Standard/sichere Variante genannt und nur bei fehlenden TPM eine Verschlüsselung ohne TPM zu aktivieren: https://www.heise.de/ratgeber/Windo...mitteln-verschluesseln-4572663.html?seite=all
Mornsgrans schrieb:
Heißt für mich im Umkehrschluss, dass ein im Rechner A mit Hilfe des TPM verschlüsseltes Laufwerk im Rechner B nicht läuft.
https://docs.microsoft.com/de-de/wi...r/bitlocker-deployment-and-administration-faq

Aber laut diesem Thread soll es mit dem Wiederherstellungsschlüssel klappen:
https://www.mcseboard.de/topic/2104...ker-mit-tpm-in-baugleiches-notebook-einbauen/
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
sustain schrieb:
Oder meinst du eher, dass wenn mal mein Laptop defekt ist, aber nicht die Platte, dass dann die Daten verloren wären? Oder stehe ich auf dem Schlauch?
Zum Vergrößern anklicken....
Genau das war meine Intention. Darum auch die leicht widersprüchlichen Links zu eben diesem Thema.

Zum Thema "sichere Verschlüsselung" sollte nämlich auch gehören, ob und wie ich an meine Daten komme, sollte der Rechner das Zeitliche segnen.
 
Windows und TPM -> man kommt auf anderen Rechnern an die Daten mit dem Recoverykey (25 Stellen) ...

- TPM ohne Startpasswort -> der Rechner bootet ohne Passwd bis zum Windowsdesktop -> es sind einige Angriffsmöglichkeiten offen, die ein Startkennwort verhindern würde ....

muß dann jeder selbst wissen. :confused:
 
Mornsgrans schrieb:
Genau das war meine Intention. Darum auch die leicht widersprüchlichen Links zu eben diesem Thema.

Zum Thema "sichere Verschlüsselung" sollte nämlich auch gehören, ob und wie ich an meine Daten komme, sollte der Rechner das Zeitliche segnen.
Zum Vergrößern anklicken....

und genau deswegen habe ich alle wichtigen Daten in der Cloud, die natürlich mit Cryptomator (Open Source) verschlüsselt sind. Das Programm läuft auf allen Plattformen, ich nutze es unter Windows und auf dem iPad und dem iPhone.
 
Genau, Bitlocker mit TPM erlaubt auch auf anderen Rechnern das Öffnen. Dann benötigt man aber eben den Recovery-Key und nicht nur das Passwort. Grundsätzlich haben die Lösungen mit und ohne TPM beide ihre Vor- und Nachteile, die man abwägen sollte. Vorteil mit TPM: Es wird nicht nur das Passwort geprüft, sondern auch ob die Umgebung vertrauenswürdig ist. Nachteil: Die Sicherheit hängt auch vom TPM und eventuellen Lücken in diesem ab.
 
Hallo!
Danke noch mal für die Erklärungen. Zur Dokumentation nun meine gewählte Lösung:

1. Bitlocker war bereits aktiviert. Dies scheint unter Windows 10 seit 2019 standardmäßig bei SED-Festplatten zu sein.
2. Ich nutze Bitlocker und werde mich versuchen sobald wie möglich in Linux einzufuchsen um dann komplett umzusteigen (auch auf VeraCrypt).
3. Bitlocker nutze ich mit TPM und einem Startkennwort. Das habe ich den in Gruppenrichtlinien so einstellen können. Hier findet sich eine gute Beschreibung: https://sid-500.com/2017/05/04/windows-10-bitlocker-aktivieren-tpm-pin/. Des Weiteren kann man ebenfalls in den Gruppenrichtlinien eine "erweiterte PIN" erstellen. Das deutet, dass man alle Zeichen benutzen kann. Leider ist die Länge nachwievor auf 20 Zeichen begrenzt. Warum Windows dieses Begrenzungen überhaupt macht, ist mir schleierhaft.

Hinsichtlich des Backups:
1. Ich werde eine externe Festplatte mit Bitlocker verschlüsseln. Dort werde ich (nicht automatisiert) System-Images mit Windows Boardmitteln sichern.
2. Einige wichtige Ordner werde ich separat sichern. Hierfür probiere ich mal folgende Open-Source Software aus: https://personal-backup.rathlev-home.de/index-e.html

Danke für die Antworten :)
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben