neues notebook - verschiedene OS und verschlüsselte Partitionen

[justmicha]

Hi,

ich habe mir ein neues notebook zugelegt und möchte auf das Notebook mehrere OS installieren. Das Notebook selbst hat nur eine 1TB SSD verbaut und ist auch an keiner Stelle zugänglich, so dass ich eine weitere Festplatte installieren könnte.

Kurz zur wesentlichen Hardware:
ASUS Zenbook Pro Du UX582 mit 1TB (M.2 PCIe NVMe)

Aktuell habe ich auf der ersten Partition WIN 11 laufen. Dieses OS möchte ich für mich in meinem privaten Umfeld nutzen.

Weiterhin möchte ich auf einer weiteren Partition noch ein windows laufen lassen, welches ich im Unternehmen nutze.

Auf einer bzw. zwei weiteren Partitionen soll eine Linux Distri laufen.

Die letzte Partition soll dann als shared drive dienen um Daten abzulegen, die ich von jedem der installierten OS aus abrufen kann.

Alle OS Partitionen sollen so verschlüsselt werden und laufen, dass es nicht möglich ist von einem laufenden OS auf eine andere Partition zuzugreifen (zur Datensicherheit) - einzige Ausnahme soll das shared drive bilden.

Die Linux Installation lässt diese Verschlüsselung relativ einfach zu - nur wie kann ich die windows Laufwerke auch so schützen, dass ich beim booten zunächst das Laufwerk entschlüsseln muss? Windows hat ja Bitlocker an Bord... Taugt das was und lässt das auch diese Möglichkeit der Verschlüsselung zu, wie ich es beschrieben habe?

Vielen Dank schon einmal für Euren Input

Gruß Micha

 

[koech]

...kauf dir zwei "ASUS Zenbook Pro Du UX582"! Dazu ein NAS & fertig.

 

[snaxilian]

Weiterhin möchte ich auf einer weiteren Partition noch ein windows laufen lassen, welches ich im Unternehmen nutze.

Leg dir 'nen zweiten Benutzer an und installiere private Programme nur für den privaten Nutzer und berufliche Programme nur für den beruflichen Nutzer.

Auf einer bzw. zwei weiteren Partitionen soll eine Linux Distri laufen.

Das war im Jahr 2000 eine gute Idee und 2010 auch noch aber bitte bitte bitte spare dir diesen unnötigen Aufwand und nutze WSL2 oder HyperV und virtualisiere.

Windows hat ja Bitlocker an Bord... Taugt das was und lässt das auch diese Möglichkeit der Verschlüsselung zu, wie ich es beschrieben habe?

Ja, bisher ist kein Designfail o.ä. bekannt und alles was man dagegen so sagen könnte oder nicht sind Vermutungen die irgendwo zwischen kleinem Funken Wahrheit und maximalem Aluhut anzusiedeln sind.
Sofern du dich nicht nur auf den TPM verlässt sondern explizit PIN bzw. Kennworteingabe zur Verschlüsselung aktivierst, sollte dies deine Anforderungen erfüllen.
Der allergrößte Streß und Aufwand wird aber sein, zwei Windows (jeweils getrennt inkl. Bitlocker) und ein oder mehrere Linux Distris zu installieren ohne dass dir bei irgendwelchen Updates andauernd der Bootloader von einem der anderen Systeme überschrieben wird. Maximales Gefrickel und vollkommen unnötig wenn du nur ein OS installierst und die anderen virtualisierst. Dann hast du auch deine Trennung voneinander und einen geteilten Ordner zwischen Host und den VMs kann man ebenso einrichten.

 

[justmicha]

Hi...

der eigentliche Hintergrundgedanke war eben die Sicherheit. Im privaten Bereich kann es ja passieren, dass durch irgendeine Unachtsamkeit ein Virus o. ä. auf dem System landet - den wollte ich kategorisch vom Unternehmen fernhalten wollen. Beides im gleichen System, würde auch bedeuten, dass die Schadsoftware auch im Unternehmen gelandet wäre... also nicht so toll... und das verschlüsseln sollte ebenfalls helfen, dass die sich die Schadsoftware nicht einfach auf andere verfügbare Laufwerke kopiert.

Soviel also zu meiner Theorie - die sauberste und effizienteste Trennung wäre also nach wie vor zwei unterschiedliche Computer - richtig?

Wie sicher wäre es, wenn ich nur ein Windows mit mehreren accounts verwende, dem privaten account nur ein Gast-/Userrecht einräume, welches auch nur auf wenigen Verzeichnissen (ggf. einer Partition shared documents oder ähnliches) schreibrechte hat? Kann man dadurch ein eindringen von Schadsoftware verhindern?

Zum Thema virtual machine muss ich wirklich noch mal separat recherchieren... Hätte nicht gedacht, dass das seit ca 10 Jahren nicht mehr praktikabel ist...

Gruß Micha

 

[Roman1210]

Ich würde an deiner Stelle auch einfach virtualisieren, so wie du es machen willst ist es eigentlich nicht mehr zeitgemäß. VirtualBox, VmWare Workstation, Hyper V, du hast genug möglichkeiten die ganzen Betriebssysteme laufen zu lassen

 

[justmicha]

okay, viele erfahrene Leute mit gleichen Ansätzen - da muss also was dran sein Spaß beiseite - Danke für die tipps.

Ist es mit der Virtualisierung auch möglich, dass aus dem virtuellen OS nichts in das Basis OS reingeschrieben werden kann (z.B. durch Schadsoftware)?

Gruß Micha

 

[snaxilian]

der eigentliche Hintergrundgedanke war

Toll, noch ein TE der hier Zeitverschwendung Dritter betreibt und von seinen XY-Problemen labert anstatt DIREKT zum eigentlichen Anliegen zu kommen...

Beides im gleichen System

Dann virtualisiere halt auch dein Firmen-Windows. Das ist jetzt nicht unbedingt Raketentechnik.

verschlüsseln sollte ebenfalls helfen, dass die sich die Schadsoftware nicht einfach auf andere verfügbare Laufwerke kopiert.

Jain. Ja, es könnte sich drauf kopieren, und dann? Zum auslesen von Daten ist kein kopieren nötig was du vermutlich eher meinst.
Bei VMs kannst du die vDisks ebenso verschlüsseln und so vor unbefugtem Zugriff schützen. Vor versehentlichem löschen, Ransomware, etc. helfen Backups die man so oder so haben sollte.

Windows mit mehreren accounts

Grundsätzlich sollte man das alltägliche arbeiten generell nur mit einem nicht privilegiertem User durchführen und/oder die UAC recht hoch drehen, ansonsten kann man sich auch jegliche Gedanken um Sicherheit sparen.
Windows hat inzwischen doch den ein oder anderen brauchbaren Mechanismus implementiert aber die meisten Anwender schalten diese aus Unwissenheit, Ignoranz, Besserwissertum oder einer Kombination daraus schnell wieder aus.

die sauberste und effizienteste Trennung wäre also nach wie vor zwei unterschiedliche Computer - richtig?

Auch hier ein klares Jain. Getrennte Hardware ist die am einfachsten umzusetzende Variante sofern es keine weiteren Geräte (NAS o.ä.) gibt über die sich Schadsoftware weiter verbreiten könnte wobei das ein eher selteneres Szenario ist.
Virtualisierung ist technisch (etwas) aufwendiger, dafür braucht man eben nur einmal Hardware.
Du könntest auf das Blech auch nur ein schlankes OS + Hypervisor installieren sowie den gewünschten shared folder und alle Umgebungen (beruflich, privat, 1 bis n Linux Distris) virtualisieren.

aus dem virtuellen OS nichts in das Basis OS reingeschrieben werden kann (z.B. durch Schadsoftware)?

In dem Moment wo du zwischen Host/Basis und VM einen geteilten Ordner erstellst bzw. einbindest und deine VM bzw. dein Benutzer in der VM da Schreibrechte drin hat, kann jede Software die du in der VM ausführst auch da hinein schreiben oder lesen. Willst du das verhindern darfst du diesen geteilten Ordner nur lesend einbinden.

 

[justmicha]

okay, danke für Deinen weiteren Input. Ich schaue mir mal die VM Optionen an und wenn ich dann nochmals Unterstützung benötige, komme ich wieder auf Euch zu

Thema zunächst erledigt

 

[Art Vandelay]

Zum Thema virtual machine muss ich wirklich noch mal separat recherchieren... Hätte nicht gedacht, dass das seit ca 10 Jahren nicht mehr praktikabel ist...

Lass mal die etwas scharfe Wortwahl von snax... außen vor, natürlich kann man auch heute noch Dual Boot mit separatem Boot Menü betreiben, aber wie schon geschrieben wurde hat man damit bei jedem größeren Windows Update ärger, so dass das Boot Menü überschrieben wird und man ggf. an eines der installierten Betriebssysteme nicht mehr ran kommt. Und das ist sehr ärgerlich.

An einem alten Lenovo Thinkpad X201 von mir konnte ich auch vom SD Kartenlese booten und habe mir auf eine 32GB SD Karte eine Linux Distribution gemacht. Dies konnte ich dann via F12 Taste beim booten auswählen und die SD Karte hatte ihren eigenen Boot Loader und da konnte auch kein Windows Upgrade was kaputt schreiben. Mit Linux kann man sowas machen, aber Windows vom SD / oder USB Datenträger ist nicht wirklich performant, da ständig auf dem Datenträger rumgelesen wird. Aber du kannst es ja mal testen ob das funktioniert --> https://tech-aktuell.de/windows-10-auf-usb-stick-installieren-so-gehts

 

[snaxilian]

Nur weil man etwas technisch machen kann, muss es nicht (mehr) unbedingt sinnvoll sein. Darauf wollte ich vor allem hinaus.
Es gibt halt inzwischen deutlich angenehmere Methoden um zwei oder mehr Betriebssysteme auf einer Hardware zu nutzen ohne überschriebene Bootloader bei Upgrades, um das vermutlich häufigste Problem zu nennen.
Methoden, die es vor 10 oder 20 Jahren einfach nicht gab oder nur mit starken Einschränkungen.