Jump to content
guybrush

Bitlockerverschlüsselte Laufwerke auf Multiuser-System

Recommended Posts

Servus Kollegen,

 

ich habe auf einem Multiusersystem nebst C: noch 3 andere Laufwerke, die Bitlockerverschlüsselt sind. Beim Zugriff wird das Passwort manuell eingegeben. Die danach entsperrten Laufwerke sollen aber nicht für alle User

entsperrt sein. Wenn es z.B.: einen Benutzerwechsel gibt, sollen die Laufwerke bei den anderen Usern wieder gesperrt sein.

 

 Gibt es hierfür einen Weg?

 

LG und Danke

Guy

Share this post


Link to post
Share on other sites

Moin,

 

dann ist Bitlocker nicht die richtige Methode. Du suchst nach einer Verschlüsselung, die benutzerbezogen arbeitet. Dafür kann schon EFS reichen - aber bevor du jetzt dazu greifst, solltest du die Anforderungen genau klären. Aus Erfahrung wird es bei Verschlüsselung sofort kompliziert, wenn Bitlocker Full Disk Encryption nicht passt.

 

Gruß, Nils

 

  • Like 1

Share this post


Link to post
Share on other sites

Hi Nils,

 

danke für deine Antwort. Ich hätte hier gerne Bitlocker verwendet, weil u.a. die Datenträger auch erst gar nicht angezeigt werden und somit auch schon kein Dirlisting möglich ist. Weiters - das stell ich jetzt mal in den Raum, bis ich eines Besseren belehrt werde - glaube ich auch, dass solche Verschlüsselten Volumes auch vor Ransomware geschützt sind, weil ja auch die Files nicht zugegriffen werden kann.

 

Nun gut, dann muss ich die Volumes bewusst dismounten, wenn ich vom PC gehe.

 

Danke für dein Feedback.

LG Guy

Share this post


Link to post
Share on other sites

Bei Tools, die auf Volume-Ebene verschlüsseln, wirst Du um ein Unmount beim Abmelden nicht herumkommen. Du könntest aber zum Beispiel den schnellen Benutzerwechsel deaktivieren und das Unmounten über ein Abmeldescript automatisieren.

 

Bezüglich Ransomware sehe ich keinen Vorteil: solange das Volume gemountet ist, hat jegliche Software darauf Zugriff.

Share this post


Link to post
Share on other sites

Solang sie gemountet sind, ja. Deshalb wollte ich sie gern ungemountet haben, wenn wer anders (=unversierter User)  am Gerät arbeitet, weil dann eben kein Zugriff möglich gewesen wäre. Wenn ich nur mit Berechtigungen arbeite, bin ich nicht sicher. Ohne recherchiert zu haben gehe ich jede Wette ein, dass es schon Ransomware gibt, die per privilege escalation dann die Berechtigungen ergattern, diese zu ändern. Aber ich sehe schon, das wird ein manueller Task bleiben, bzw ein Batchfile. Den schnellen Userwechsel möchte ich behalten, der ist schon sehr bequem :)

 

Backups mache ich eh regelmäßig auf externe Platten, die dann abgesteckt werden. Somit sollts passen...

Share this post


Link to post
Share on other sites
vor 12 Stunden schrieb guybrush:

Ohne recherchiert zu haben gehe ich jede Wette ein, dass es schon Ransomware gibt, die per privilege escalation dann die Berechtigungen ergattern, diese zu ändern.

Ich hake hier mal kurz ein. Wenn es Ransomware auf das Gerät schafft, dann hast du vermutlich größere Probleme, als nur die eine verschlüsselte Partition. ;-) 

 

vor 12 Stunden schrieb guybrush:

Den schnellen Userwechsel möchte ich behalten, der ist schon sehr bequem :)

Sicher, den nutze ich gerne auch. Was du hier übersiehst ist, dass sobald der Computer gesperrt wurde, es möglich ist sich an dem PC als ein anderer Benutzer anzumelden und auf die Daten zuzugreifen. Da beißt sich die Katze in den Schwanz ;-) 

Share this post


Link to post
Share on other sites
Am 16.6.2020 um 09:34 schrieb MurdocX:

Was du hier übersiehst ist, dass sobald der Computer gesperrt wurde, es möglich ist sich an dem PC als ein anderer Benutzer anzumelden und auf die Daten zuzugreifen. Da beißt sich die Katze in den Schwanz ;-) 

Bei RDS-Hosts ist das seit Jahrzehnten das selbe. Falsche lokale Security und der Host ist owned. Das gilt grundsätzlich identisch für Clients. Und zwar mit oder ohne Fast User Switching.

Security by obscurity ist halt oldschool, Security by design wäre aktuell :-)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...