ComputerBase Menü
Aktuelles

Festplattenverschlüsselung in Computerraum-PCs

Photon

Photon

Rear Admiral Pro
🎅Rätsel-Elite ’24
Registriert
Apr. 2006
Beiträge
5.484
Hallo Community,

ich bin Lehrer und im IT-Team einer Schule, in der an die 20 Desktop-PCs in einem Computerraum stehen, die nun "zu alt" für ein Win11-Update sind. Mein Kollege vom IT-Team und ich möchten der Leitung nun vorschlagen, bei diesen PCs auf Linux zu wechseln, um die Ausgaben für neue Hardware zu reduzieren (während einige weitere PCs, die von Leitung, Sekretariat usw. genutzt werden, wohl ersetzt und mit Win11 betrieben werden müssen).

Nun ist es meinem Verständnis nach so, dass Win11 ältere Systeme wegen zu altem TPM aussperrt, das bei der Festplattenverschlüsselung, insbesondere beim Entschlüsseln ohne Passworteingabe, benötigt wird. Was unter Windows (bei vorhandenem TPM) ein Automatismus ist, scheint unter Linux mit einigen Einrichtungsschritten verbunden zu sein.

Ich habe versucht, Debian in einer virtuellen Maschine zu installieren und dabei im Installer die Festplattenverschlüsselung zu aktivieren, damit der Wechsel zu Linux, was den Sicherheitsaspekt betrifft, zumindest kein Downgrade ist. In der Standardkonfiguration scheint es nun so zu sein, dass eine Passworteingabe erforderlich ist und die Entschlüsselung sehr lange dauert (Größenordnung: halbe bis ganze Minute). Das ist natürlich kein Zustand, wo doch Win10 ohne Passworteingabe vor dem Boot und ohne die lange Wartezeit startet.

Ich habe nun gelesen, dass es schneller geht, wenn man /boot und /boot/efi auf eigene Partitionen auslagert und unverschlüsselt lässt, außerdem muss man eine TPM-Implementierung einrichten, um die Passwortabfrage loszuwerden.

Nun frage ich mich;

  1. Macht es überhaupt Sinn, den ganzen Einrichtungsprozess zu durchlaufen oder ist es im Falle von Computerraum-Rechnern eh völlig unsinnig, die Festplatte zu verschlüsseln, weil wir vorhaben, die Rechner nur im Gastnutzer-Modus laufen zu lassen, also im einfachsten Fall alle Benutzerdaten beim Ausloggen gelöscht werden?
  2. Falls eine Verschlüsselung dennoch Sinn macht: Soweit ich es überblicke, muss die Root-Partition bereits bei der Installation verschlüsselt werden, aber die TPM-Einrichtung kann erst im laufenden System erfolgen, stimmt das? Hat da jemand vielleicht eine gute Anleitung dafür? Ich habe versucht, folgende Anleitung mit Debian 13 zu befolgen (https://xpam.pl/blog/?p=570), der Installer schmeißt mich aber am Ende raus, weil er Probleme bei der Installation von GRUB hat ("grub install dummy" schlägt fehl, irgendwie schafft er es wohl nicht, "dummy" mit der richtigen Laufwerksbezeichnung zu ersetzen). Möglicherweise ist das ein Artefakt der VM-Nutzung, habe aber gerade keinen PC, um es "auf bare metal" auszuprobieren.
Danke für alle Tipps!
Photon
 
  • Gefällt mir
Reaktionen: rollmoped
Ohne direkt auf das Thema einzugehen würde mich nur mal interessieren, ob die Computer nicht auch für Sachen wie Office etc. genutzt werden sollen? In einer Schule wird ja sicher auch der Umgang mit Word/Excel/PowerPoint wichtig sein? Somit wäre der Wechsel ja unumgänglich.
 
  • Gefällt mir
Reaktionen: fef_ on_berg, Linuxfreakgraz, Sinatra81 und 2 andere
Ist LUKS für dich auch eine gangbare Lösung?
 
  • Gefällt mir
Reaktionen: madmax2010 und K3ks
Photon schrieb:
Ich habe versucht, Debian in einer virtuellen Maschine zu installieren und dabei im Installer die Festplattenverschlüsselung zu aktivieren, damit der Wechsel zu Linux, was den Sicherheitsaspekt betrifft, zumindest kein Downgrade ist.
Zum Vergrößern anklicken....
Wozu überhaupt die Festplattenverschlüsselung für den Schüler-Computerraum? Ah:
Photon schrieb:
Macht es überhaupt Sinn, den ganzen Einrichtungsprozess zu durchlaufen oder ist es im Falle von Computerraum-Rechnern eh völlig unsinnig, die Festplatte zu verschlüsseln, weil wir vorhaben, die Rechner nur im Gastnutzer-Modus laufen zu lassen, also im einfachsten Fall alle Benutzerdaten beim Ausloggen gelöscht werden?
Zum Vergrößern anklicken....
Unsinnig. ^^
 
  • Gefällt mir
Reaktionen: rollmoped, iron_monkey, acidarchangel und 7 andere
@sethdiabolos, @Azghul0815 Der Raum wird eigentlich vor allem für Informatik-Unterricht genutzt, für andere Fächer haben wir iPad-Koffer. Dort unterrichtet der Kollege, und zwar insbesondere Anfänge der Programmierung mit Python. Für einfache Office-Aufgaben steht uns zudem eine Instanz von OnlyOffice zur Verfügung, die per Webbrowser läuft.

@TheHille Bin da noch kompletter Neuling, insofern bin ich für alles offen, was funktioniert und den gewünschten Effekt hat. :)

@K3ks Vielleicht sollte ich noch ergänzen, dass diese Rechner einmal pro Halbjahr genutzt werden, um neue Kurse ins System einzutragen, wobei die Schüler einen Haufen persönlicher Daten in ein Webformular eintragen. Ändert das was an der Einschätzung?
 
  • Gefällt mir
Reaktionen: rollmoped und Linuxfreakgraz
Photon schrieb:
@K3ks Vielleicht sollte ich noch ergänzen, dass diese Rechner einmal pro Halbjahr genutzt werden, um neue Kurse ins System einzutragen, wobei die Schüler einen Haufen persönlicher Daten in ein Webformular eintragen. Ändert das was an der Einschätzung?
Zum Vergrößern anklicken....
Solange die Systeme Read Only sind, Festplattenmanipulation bzw. Zugriff auch via 3rd Party Boot nicht geht... Hmja, das in #3 erwähnte LUKS hab ich nie benutzt. :freak:

Für Potato-Use wie Office und Surfen reichen ja schon eigentlich Read Only Linux Sticks ohne Platten im Rechner...

E: #Potato:
Photon schrieb:
Anfänge der Programmierung mit Python. Für einfache Office-Aufgaben steht uns zudem eine Instanz von OnlyOffice zur Verfügung, die per Webbrowser läuft.
Zum Vergrößern anklicken....

EE: Sind die Netwerke in der Schule überhaupt richtig getrennt? Je nach Schule konnte damals bei uns jeder rein und hatte dann Zugriff auf mindestens einige Rechner im Netzwerk... o.O EEE: Via WLAN, einige Rechner waren nicht gesichert, third party boot ging auch. O.o
 
Zuletzt bearbeitet:
K3ks schrieb:
Solange die Systeme Read Only sind,
Zum Vergrößern anklicken....
Naja, so ganz Read Only nicht, für die laufende Sitzung ist es ja okay, wenn der Nutzer Dateien anlegt oder herunterlädt und zwischenspeichert, aber beim Ausloggen sollte alles wieder auf den Ausgangszustand zurückgesetzt werden. So etwas wie ein Gastnutzer eben. Haben noch nicht genauer recherchiert, wie man das umsetzen kann, spontan fällt mir ein den Inhalt von /home/nutzer nach der Installation in einen Tarball zu packen und nach jedem Ausloggen den Ordner zu löschen und mit dem Inhalt des Tarballs den Ausgangszustand wiederherzustellen. Aber vielleicht gibt es da eine elegantere Lösung.

K3ks schrieb:
Für Potato-Use wie Office und Surfen reichen ja schon eigentlich Read Only Linux Sticks ohne Platten im Rechner...
Zum Vergrößern anklicken....
Platten sind schon welche verbaut, USB-Sticks müsste man kaufen. ;)

edit: Außerdem könnte die Geschwindigkeit des Systems trotz USB3 leiden, und man müsste im BIOS den Boot von USB erlauben, was dann potentiell Manipulation möglich macht.
 
Photon schrieb:
20 Desktop-PCs in einem Computerraum stehen, die nun "zu alt" für ein Win11-Update sind
Zum Vergrößern anklicken....

Photon schrieb:
Entschlüsselung sehr lange dauert (Größenordnung: halbe bis ganze Minute)
Zum Vergrößern anklicken....
Wenn die Rechner so alt sind, haben die dann überhaupt schon SSDs verbaut oder reden wir über Magnetplatten?
Ergänzung ()

Photon schrieb:
den Inhalt von /home/nutzer nach der Installation in einen Tarball zu packen und nach jedem Ausloggen den Ordner zu löschen und mit dem Inhalt des Tarballs den Ausgangszustand wiederherzustellen. Aber vielleicht gibt es da eine elegantere Lösung.
Zum Vergrößern anklicken....
Das Home Verzeichnis gleich als tmpfs anlegen und die benötigten Configfiles per Script beim Start reinkopieren.
Das spart Festplattenschreibzugriffe.

Hängt natürlich auch etwas davon ab wieviel RAM in den PCs verbaut ist.

Kannst du vielleicht generell auch mal die Daten der PCs posten? Wäre glaube ich schon interessant, wenn wir dir hier was empfehlen sollen. Nicht dass es z.B. schlicht an der CPU krankt oder was auch immer.
 
  • Gefällt mir
Reaktionen: Photon, LinuxKnochen, Renegade334 und 2 andere
blondi3480 schrieb:
Wenn die Rechner so alt sind, haben die dann überhaupt schon SSDs verbaut oder reden wir über Magnetplatten?
Zum Vergrößern anklicken....
SSDs, es sind HP ProDesk 400 G2 Mini (vgl. https://www.lapstore.de/a.php/shop/lapstore/lang/en/a/38356/kw/HP-Prodesk-400-G2-Mini/)
Ergänzung ()

blondi3480 schrieb:
Das Home Verzeichnis gleich als tmpfs anlegen und die benötigten Configfiles per Script beim Start reinkopieren.
Das spart Festplattenschreibzugriffe.
Zum Vergrößern anklicken....
Ah, super Idee, danke für den Tipp!
 
Waren die Windows 10 PCs überhaupt verschlüsselt? Ich kann es mir nicht vorstellen. Warum sollte man jetzt dann damit anfangen? Am Ende sind es ja PCs wo ständig andere Schüler dran sitzen und die sitzen ja auch mehr oder weniger ohne Aufsicht davor (man kann nicht gleichzeitig 20 Schüler kontrollieren). Da ist dann eine Verschlüsselung ja sowieso nicht irgendwie ein sinnvolles Upgrade?

Eine Verschlüsselung macht eigentlich nur Sinn, wenn eine Person mit einem PC arbeitet und dort dann wichtige Daten drauf sind, die sonst keiner lesen soll. Aber bei Gemeinschafts-Rechnern? Und wie läuft es dann praktikabel mit der Entschlüssel ab. Gehst du dann von PC zu PC und gibst überall ein 20 Zeichen langes Passwort ein? Und glaubst du, dass dieses Passwort nicht irgendwann vielleicht doch rauskommt, wenn du es eingibst oder sogar irgendwo teilen musst mit Kollegen und irgendwo auf einem Zettel steht?
 
  • Gefällt mir
Reaktionen: Photon, rollmoped, acidarchangel und 3 andere
Ayo34 schrieb:
Waren die Windows 10 PCs überhaupt verschlüsselt?
Zum Vergrößern anklicken....
Ich meine, dass Windows (ab irgendeiner Version kleiner gleich Win10) im Hintergrund die Festplatte verschlüsselt, man kriegt das als Nutzer nur gar nicht mit, weil die Keys im TPM-Chip gespeichert sind und man das Passwort nicht eingeben muss. Man kann dann zum Beispiel die Festplatte nicht in einem anderen PC einbauen und auf die Dateien zugreifen, weil die Keys in dessen TPM-Chip ja nicht vorhanden sind. So ein Setup würde ich dann auch unter Linux einrichten wollen, wenn es denn überhaupt sinnvoll ist bei Computerraum-PCs.

edit: Stichwort BitLocker.
 
  • Gefällt mir
Reaktionen: Linuxfreakgraz
Und war/ist BitLocker aktiv? Gibt es dazu irgendwelche Vorschriften wie das zu handhaben ist? Fühlt sich alles wie vor 20 Jahren in den Schulen an in Bezug auf PCs hier gerade für mich.

Und zudem, wenn nichts wichtiges auf der Festplatte ist, was bringt dann der Schutz, dass man nicht auf einem anderen PC auf die unwichtigen Daten zugreifen kann? Wenn sie tatsächlich verschlüsselt wäre, dann kann man die Festplatte natürlich weiterhin nutzen, aber eben ohne die aktuellen Daten. Also gegen klauen würde es auch nicht helfen.
 
  • Gefällt mir
Reaktionen: AB´solut SiD
Photon schrieb:
Ich meine, dass Windows (ab irgendeiner Version kleiner gleich Win10) im Hintergrund die Festplatte verschlüsselt
Zum Vergrößern anklicken....
Also von sich aus zum Glück nicht. Du meinst sicher Bitlocker. Muss man in Windows aber auch einrichten. Kannst ja nachschauen ob das übehraupt läuft.
 
  • Gefällt mir
Reaktionen: acidarchangel, Asghan und Ayo34
Wir haben hier auch eine ganze Batterie an Win10 Notebooks und PC´s. Für neues ist kein Geld vorhanden. Ich habe daher erst mal Win11 installiert mit umgehen der TPM Pflicht. dann das erstellte IMAGE auf alle Geräte gebracht!

Einfach ein Inplace Upgrade vornehmen. Den Stick dazu mit Rufus erstellen. Alles dazu hier:

https://www.deskmodder.de/wiki/index.php?title=Windows_11_auch_ohne_TPM_und_Secure_Boot_installieren

dann bereinigen und das IMAGE zum verteilen erstellen. fertig. 175 Geräte funktionieren tadellos. Ein Verschlüsselung ist hier unnötig da keine Daten gespeichert werden auf den Geräten. Das kann dann per Stick erfolgen wenn nötig.

Linux predige ich seit Jahren. Aber bisher unerwünscht. Aber mal schauen was noch passiert.

MfG
 
  • Gefällt mir
Reaktionen: LinuxKnochen und sikarr
Ayo34 schrieb:
Und zudem, wenn nichts wichtiges auf der Festplatte ist, was bringt dann der Schutz, dass man nicht auf einem anderen PC auf die unwichtigen Daten zugreifen kann? Wenn sie tatsächlich verschlüsselt wäre, dann kann man die Festplatte natürlich weiterhin nutzen, aber eben ohne die aktuellen Daten. Also gegen klauen würde es auch nicht helfen.
Zum Vergrößern anklicken....
Haha, ja, stimmt absolut, der gesunde Menschenverstand sagt eine Sache, der Wunsch sich abzusichern eine andere. Da wurde zum Beispiel noch vor meiner Zeit wider besseren Wissens ein Antivirus installiert, um im Ernstfall behaupten zu können, man habe alles Nötige für die Sicherheit unternommen.

Ayo34 schrieb:
Und war/ist BitLocker aktiv?
Zum Vergrößern anklicken....
Gute Frage! Ich weiß, dass er auf unseren Leihlaptops aktiv ist, aber das liegt wohl an dem "Modern Standby", wie ich gerade recherchiert habe. Möglicherweise ist er auf den Rechnern im Computerraum also gar nicht aktiv, müsste ich prüfen. Guter Punkt!
 
Wenn auf den PCs erst gar keine Daten landen die nicht nach draußen gelangen sollen, wozu dann die Verschlüsselung?
 
  • Gefällt mir
Reaktionen: Crisser67, Yogi666, acidarchangel und eine weitere Person
sethdiabolos schrieb:
In einer Schule wird ja sicher auch der Umgang mit Word/Excel/PowerPoint wichtig sein? Somit wäre der Wechsel ja unumgänglich.
Zum Vergrößern anklicken....
Die Grundlagen koennen problemlos mit LibreOffice vermittelt werden. Die Benutzeroberflaeche von MS Office aendert sich ebenfalls laufend, deshalb werden sich User sowieso immer mal wieder anpassen muessen.
 
Zuletzt bearbeitet:
cyberpirate schrieb:
Wir haben hier auch eine ganze Batterie an Win10 Notebooks und PC´s. Für neues ist kein Geld vorhanden. Ich habe daher erst mal Win11 installiert mit umgehen der TPM Pflicht. dann das erstellte IMAGE auf alle Geräte gebracht!

Einfach ein Inplace Upgrade vornehmen. Den Stick dazu mit Rufus erstellen. Alles dazu hier:

https://www.deskmodder.de/wiki/index.php?title=Windows_11_auch_ohne_TPM_und_Secure_Boot_installieren

dann bereinigen und das IMAGE zum verteilen erstellen. fertig. 175 Geräte funktionieren tadellos.
Zum Vergrößern anklicken....
Ah okay, das ist natürlich ein Dämpfer für den Linux-Wechsel. :D Wobei ich meine gelesen zu haben, dass zumindest die erste der Methoden mittlerweile in den neueren Versionen unterbunden worden ist.

Sandro_Suchti schrieb:
Wenn auf den PCs erst gar keine Daten landen die nicht nach draußen gelangen sollen, wozu dann die Verschlüsselung?
Zum Vergrößern anklicken....
Ich nahm fälschlicherweise an, dass BitLocker immer standardmäßig aktiv ist, weil ich das bei unseren Laptops beobachtet habe. Nachdem das nicht der Fall ist und höchstwahrscheinlich bei den PCs im Computerraum kein BitLocker verwendet wird, ist die Situation natürlich eine andere. Insofern hat sich dieser Thread durch diesen Hinweis höchstwahrscheinlich erledigt, aber ich prüfe das!
 
schneup schrieb:
Die Grundlagen koennen problemlos mit LibreOffice vermittelt werden. Die Benutzeroberflaeche von MS Office aendert sich ebenfalls laufend, deshalb werden sie sich sowieso immer mal wieder anpassen muessen.
Zum Vergrößern anklicken....

Bei Word mag das stimmen, bei Excel versagt Libre Office im Vergleich aber spätestens, wenn man mehr als nur schnödes Eintragen in Zellen machen möchte. In Unternehmen später wird man halt zu 99% mit MS-Office arbeiten müssen.

Was ich nicht verstehe ist, dass man Geld für iPads hat, aber kein Geld für gescheite Rechner mit Windows-Umgebung und vielleicht einer optionalen Linux-Distribution. Ist selbst an der Grundschule meiner Tochter schon so. iPads noch und nöcher, normale PCs aber auf Stand von 2005. Und die Eltern werden auch noch angehalten aktuelle iPads zu kaufen, da man ja sonst Tools wie Teams angeblich nicht nutzen kann :freak: .

Sry, hat nichts mit dem eigentlichen Thema zu tun, aber das grundlegende Problem sollte auch mal angesprochen werden. Jetzt B2T.
 
  • Gefällt mir
Reaktionen: Linuxfreakgraz und aragorn92
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Mini-Mi
Festplattenverschlüsslung bei Dual Boot
Antworten
10
Aufrufe
1.529
Yaakoss
Y
kim88
Leserartikel Ubuntu 23.10 - bringt TPM-unterstützte Festplattenverschlüsselung
2 3
Antworten
43
Aufrufe
5.644
norKoeri
N
Nefilim
Festplattenverschlüsselung - wer nutzt es?
Antworten
3
Aufrufe
1.951
Sephe
S
-L1nd-
Festplattenverschlüsselung bei Dual-Boot
Antworten
6
Aufrufe
3.766
6666david
6
F
Ist bei bestehender Festplattenverschlüsselung das Nutzer-Passwort noch relevant?
Antworten
5
Aufrufe
1.191
BeBur
B

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz