Notebooksicherung

Hi,

ich würde mein Notebook (technische daten unten) gern ein wenig sicherer machen, hauptsächlich für den Fall, das es verloren geht oder gestohlen wird. Backups sind schon erledigt - was ich gern noch hätte ist eine Maßnahme, damit ein potentieller Dieb (oder auch Finder) mit dem Gerät oder wenigstens den enthaltenen Daten nichts anfangen kann. Beide „Zielgruppen“ dürften keine IT-Profis sein und die Daten sind auch nicht besonders brisant, aber trotzdem

Ich hatte schon TrueCrypt installiert und sowohl die System- als auch die (recht schnell entfernbare, aber geht nicht anders) Datenpartition verschlüsselt, aber das Gerät ist nicht das neueste und entgegen meinen Erwartungen konnte man damit kaum noch arbeiten, weil die CPU zu viel zu tun hatte.

Kennt jemand noch einfachere Maßnahmen, die den Zweck erfüllen?

Die relevanten technischen Daten:
Dieses Gerät: http://www.thinkwiki.org/wiki/Category:X41_Tablet in der 1,5-Ghz-Variante
CF-Karte im PC-Card-Slot für Daten
SSD fürs OS (leider genauso langsam wie die CF-Karte )
Windows 7 Professional

lg
ventrue

Ich hatte schon TrueCrypt installiert und sowohl die System-

Gerade wollte ich TrueCrypt sagen…

Kennt jemand noch einfachere Maßnahmen, die den Zweck
erfüllen?

Jegliche Sicherheit durch Verschlüsselung erkauft man sich durch CPU-Cycles, dann wird’s evtl. langsamer…

Falls Deine Kiste von USB Booten kann könnte _vielleicht_ das hier helfen: http://www.h-online.com/security/features/A-secure-U… - aber ich weiß nicht ob man davon wirklich booten kann.

Hi,

Ich hatte schon TrueCrypt installiert und sowohl die System-

Gerade wollte ich TrueCrypt sagen…

tja

Also TrueCrypt hat mir eigentlich gefallen, muss ich ehrlich sagen. Aber die Verschlüsselung fällt eben immer genau zu dem Zeitpunkt an, wenn die Programme selber was zum Rechnen haben. Und wenn man dann noch vom Akku lebt und die CPU nur mit halber Geschwindigkeit läuft, tröpfeln die Daten mit

1.Also ich hätte darauf getippt nur die Datenpartition per TrueCrypt zu verschlüsseln. Wenn konsequent die Nutzdaten auch dort gespeichert werden hat ein unehrlicher Finder zwar einen neuen Laptop aber Deine privaten Daten sind sicher.

2.BIOS Passwort

3.Passwort für ALLE Windowsaccounts, auch den unsichtbaren AdminAccount!

4.Falls Dein Laptop diesen neuen Verschlüsselungschip hat (TPC oder so ähnlich, bin jetzt zu faul zum googeln) kannst Du mit Windows7 Ultimate die Systempartition mit BitLocker verschlüsseln, dann wird die Verschlüsselung über diesen Chip durchgeführt nicht über die CPU.

Ein unehrlicher Finder kann immer einen BIOS Reset machen, die Festplatte ausbauen, sie woanders formatieren wieder einbauen eigenes OS drauf machen und hat einen nutzbaren Laptop. Also der Punkt 1 und 2 wären wohl die beste Kosten/Nutzen Abwägung.

Hi,

1.Also ich hätte darauf getippt nur die Datenpartition per
TrueCrypt zu verschlüsseln. Wenn konsequent die Nutzdaten auch
dort gespeichert werden hat ein unehrlicher Finder zwar einen
neuen Laptop aber Deine privaten Daten sind sicher.

aber die hiberfil.sys nicht, die liegt auf C. Der Finder könnte also, nachdem er das BIOS-Passwort geknackt hat, einfach ein laufendes, freigeschaltetes System fortsetzen.
Natürlich könnte man TrueCrypt das Volume aushängen lassen - aber dann wird mir das mit den Passwörtern ehrlich gesagt ein bisschen zu viel. Zwei beim Start reichen mir, TrueCrypt wäre das dritte. Da bin ich ja dauernd nur noch am Passwörtereintippen. Hinzu kommt wie gesagt die Performance.

3.Passwort für ALLE Windowsaccounts, auch den unsichtbaren
AdminAccount!

Den unsichtbaren Adminaccount… und wie mache ich den sichtbar?

4.Falls Dein Laptop diesen neuen Verschlüsselungschip hat (TPC
oder so ähnlich, bin jetzt zu faul zum googeln) kannst Du mit
Windows7 Ultimate die Systempartition mit BitLocker
verschlüsseln, dann wird die Verschlüsselung über diesen Chip
durchgeführt nicht über die CPU.

TPM, hats, ja. Wusste ich gar nicht, dass der Chip die Verschlüsselung selbst übernimmt. Ich dachte, der speichert nur irgendwelche Passworter und verknüpft die Datenträger mit dem PC (oder so in der Art). Bist du dir da sicher?
Wenn der Chip das wirklich selbst macht, eröffnet das ganz neue Möglichkeiten - Win7 Pro unterstützt nämlich kein Bitlocker, aber die ThinkVantage Security Solution (die ich nicht installiert habe, weil ich keinen Mehrwert gegenüber TrueCrypt gesehen habe) unterstützt ja vermutlich die Nutzung des Chips statt der CPU…

lg
ventrue

Festplattenverschlüsselung
Nur wenn bei Windows-Rechnern auch die Systempartition verschlüsselt ist, kann man sicher sein, dass keine sensiblen Daten auf C: verbleiben. Leider gibt es aber jede Menge Funktionen und Anwendungen, die genau dafür ungewollt sorgen.

Wenn mein Notebook bootet, fährt erst man ein Minisystem hoch, welches mich zur Eingabe des Passworts auffordert. Erst nach erfolgreicher Eingabe bootet dann Windows unter will dann noch mal das Passwort.

Das Bios-Passwort bringt nicht viel, denn wer weiß, wie man per BIOS vom Stick bootet, der kann auch die Festplatte ausbauen.

Ciao, Allesquatsch

Hi,

Nur wenn bei Windows-Rechnern auch die Systempartition
verschlüsselt ist, kann man sicher sein, dass keine sensiblen
Daten auf C: verbleiben. Leider gibt es aber jede Menge
Funktionen und Anwendungen, die genau dafür ungewollt sorgen.

das war ja auch einer von meinen Gedanken.

Das Bios-Passwort bringt nicht viel, denn wer weiß, wie man
per BIOS vom Stick bootet, der kann auch die Festplatte
ausbauen.

Ich seh nicht so ganz den Zusammenhang… das BIOS-Passwort verhindert doch ein Booten vom Stick, und wer die Festplatten ausbaut, braucht as BIOS überhaupt nicht.

lg
ventrue

Ich seh nicht so ganz den Zusammenhang… das BIOS-Passwort
verhindert doch ein Booten vom Stick, und wer die Festplatten
ausbaut, braucht as BIOS überhaupt nicht.

Nö - es gibt noch viele Wege um trotzdem ins BIOS zu kommen. Einen Jumper auf dem Mainboard setzen, manche haben auch einen Taster. Oder einfach neu Flashen, dann ist das BIOS auch wieder offen.
Andererseits gibt’s natürlich immer noch die ATA-Security, da hilft dann auch kein Ausbauen mehr.

Also Truecrypt ist momentan das sicherste Programm, dasss man als Software bekommen kann, da er die Daten nicht in den Arbeitsspeicher Speichert.

das bios pw allgemein bringt nicht viel, da man ihn einfach umgehen kann.

Hi,

Also Truecrypt ist momentan das sicherste Programm, dasss man
als Software bekommen kann, da er die Daten nicht in den
Arbeitsspeicher Speichert.

danke für die Antwort, das ist sicher gut gemeint von dir, dass du direkt nach der Anmeldung Fragen beantwortest, aber die Daten landen auch mit TrueCrypt sehr wohl unverschlüsselt im Arbeitsspeicher.

lg
ventrue

Hallo,

Kennt jemand noch einfachere Maßnahmen, die den Zweck
erfüllen?

Sicherheit ist leider nie einfach.
Es gibt so einen schönen Satz „Es soll schnell, billig und sicher sein - suche Dir zwei der Kriterien aus. Alle drei sind nicht realisierbar, einen Tod musst Du sterben…“.
Nun, da kommt wohl nur eine Kombination und etwas Kompromissbereitschaft in Frage. Da Truecrypt Dir zu langsam ist bleibt eigentlich nur das auslagern der wichtigen Daten auf ein externes medium (der angesprochene CF Card Slot z.B.) und das konsequente mitnehmen dieses Chips. Du kannst ggf. noch eine etwas ältere version von PGP (mit PGP Disk) oder GnuPG versuchen, aber auch hier ist etwas Rechenleistung erforderlich (wenn ggf. auch etwas weniger.

Der Austausch der langsamen SSD durch ggf. eine schnellere SLC SSD Variante könnte helfen, ist aber auch nicht gerade billig.

Die Kombination aus Bios Passwort UND Truecrypt halte ich allerdings für relativ ( ! ) sicher, denn: Das Bios Passwort wird ja beim hochfahren verlangt (setzt vorraus, das man den Rechner auch wirklich herunterfährt) und somit fällt das Argument des im Arbeitsspeicher gefangene Passwörter auch flach. Wenn man natürlich vor dem Hintergrund der bequemlichkeit den Rechner nicht ausmacht, sondern nur suspendet, dann ist es eh Nebensache.
Beim Betrieb bzw. sobal das Gerät ausser Sichtweite ist noch mit einem Notebooksicherungskabel sichern (auch das kann natürlich entweder mit einem grossen Seitenschneider oder einer Klorolle ausgehebelt werden, aber die Hürde ist denke ich ausreichend hoch).

Das sicherste ist natürlich immer noch die Daten erst garnicht mit sich herum zu schleppen. Und eine wirklich 100%ige Sicherheit ist eh nicht so einfach machbar.

Gruß
h.

Hallo,

Es gibt so einen schönen Satz "Es soll schnell, billig und
sicher sein - suche Dir zwei der Kriterien aus.

Dann hätte ich gern schnell und billig

Ich kann nur nochmal betonen: Es reicht mir ja schon, wenn ein potentieller Finder den Aufwand, an die Daten zu kommen, als zu hoch erachtet (sofern er weiß, wie es geht). Es muss nicht unmöglich sein.

Der Austausch der langsamen SSD durch ggf. eine schnellere SLC
SSD Variante könnte helfen, ist aber auch nicht gerade billig.

Nein, wenn es so weit kommt, würde ich mir eine mit eingebauter Verschlüsselung suchen.

Die Kombination aus Bios Passwort UND Truecrypt halte ich
allerdings für relativ ( ! ) sicher,

Du meinst jetzt, TrueCrypt nur auf der Karte mit den Daten einzusetzen, ja?

Das sicherste ist natürlich immer noch die Daten erst garnicht
mit sich herum zu schleppen.

Die Daten entstehen erst unterwegs, daher geht das nicht anders

Ich hab inzwischen festgestellt, dass mein Kartenleser nur PIO unterstützt und bei jedem Datenzugriff die CPU voll auslastet. Vielleicht war TrueCrypt deswegen so lahm, das werde ich nochmal testen.

lg
ventrue

Problem und Lösung…
Hi,

Ich hatte schon TrueCrypt installiert und sowohl die System-
als auch die (recht schnell entfernbare, aber geht nicht
anders) Datenpartition verschlüsselt, aber das Gerät ist nicht
das neueste und entgegen meinen Erwartungen konnte man damit
kaum noch arbeiten, weil die CPU zu viel zu tun hatte.

ich bin unlängst darauf gekommen, dass mein (bzw. generell jeder) PCMCIA-CompactFlash-Adapter nur PIO unterstützt. Ich hab mir nun einen CardBus-Adapter besorgt, der offenbar irgendwie anders funktioniert und siehe da: TrueCrypt bremst das System plötzlich gar nicht mehr so viel wie vorher, obwohl ich gleich das komplette System verschlüsselt hab. Wer hätte das gedacht…

Danke aber trotzdem für eure Hilfe

lg
ventrue