Festplattenverschlüsselung in Computerraum-PCs

[Linuxfreakgraz]

Festplatten sind von Natur aus nicht so performant wie SSDs in der Lesegeschwindigkeit das wirkt sich beim entschlüsseln stark aus, deshalb nutze ich keine, (ich sehe den Sinn für einen Home User auch nicht, ich hab auch keine Hoch Geheimen Staatsgeheimnisse auf der Platte).

Die Frage ist welche Festplatten sind den da verbaut, sind es welche mit langsamer Lesegeschwindigkeit?

Zum #2 Ja das denke ich auch, Schüler sollten die Software nutzen können die dann im Berufsleben eine Rolle spielen, ich bin da in der Pädagogik nicht so bewandert aber es gibt vom Ministerium sicherlich Vorgaben?

 

[Mercator]

Oder Plan B: Alles so lassen wie es ist und ein INPLACE Update auf Windows 10 Enterprise ioT LTSC vornehmen. Alle Programme, Einstellungen und Daten bleiben erhalten und es gibt Updates bis Januar 2032. Vorgehensweise wurde auch schon hier im CB Forum beschrieben. habe es selber auf einigen älteren PCs erfolgreich durchgeführt.

 

[User38]

Was ich nicht verstehe, ist, warum es nicht in jeder Schule die gleiche Ausstattung für die Schüler gibt und warum es für ganz Deutschland kein Konzept gibt, das all diese Dinge regelt.

Meine Frau ist Lehrerin (Hessen) und du kannst dir nicht vorstellen was beim Thema Digitalisierung/Technik in deutschen Schulen abgeht. Angefangen von der teils völlig veraltete Hardware bis hin zu völlig unfähigen Dienstleistern/Systemhäusern die keinerlei Ahnung haben was sie überhaupt machen.

Zum Glück sind meine Frau und ihre Kolleginnen relativ fit mit der Technik und können sich ganz gut selbst helfen und für den Rest komme ich ab und zu vorbei. Der ganze Beamtenapparat gehört komplett ausgemistet und alles von neu organisiert. Dieser Thread hier ist doch wieder ein super Beispiel dafür wie es in deutschen Schulen läuft.

 

[Photon]

Ich sagte ja nimm Rufus und erstelle den Stick zum installieren wie gewünscht. Zb ohne TPM und ohne Online Konto. das funktioniert 100%.

Ah, verstanden, hab den Link angeklickt und den Kommentar dazu offenbar zu flüchtig gelesen, sorry!

ToDo: einen IT Systemdienstleister beauftragen.

Wir koexistieren friedlich und jeder macht einen Teil der anfallenden Arbeit. Das Verwaltungsnetz ist vollständig deren Kompetenz, aber das pädagogische Netz wurde nur einmal aufgesetzt und dann haben wir übernommen.

Deren Dienstleistung ist offensichtlich nicht kostenfrei und ich freue mich, wenn wir als IT-Team einige Aufgaben selbst übernehmen können und so vielleicht mehr Geld für andere Anschaffungen übrig bleibt. Wenn eine stressige Phase ist, dann muss man sich nicht gleich ins Gemetzel stürzen, aber jetzt in den Ferien kann man ja ein bisschen basteln.

Ihr habt doch einen Firewall ODER!🤨

Klar, haben wir tatsächlich. Um die kümmert sich unser IT-Dienstleister.

Die Frage ist welche Festplatten sind den da verbaut, sind es welche mit langsamer Lesegeschwindigkeit?

Eine SSD, habe weiter oben die Hardware-Specs gepostet.

Alles so lassen wie es ist und ein INPLACE Update auf Windows 10 Enterprise ioT LTSC vornehmen.

Das macht ja das ESU-Programm für 30€ pro Gerät fürs erste Jahr obsolet. Lässt MS da wirklich so ein Schlupfloch offen?

 

[Linuxfreakgraz]

Was ich nicht verstehe ist, dass man Geld für iPads hat, aber kein Geld für gescheite Rechner mit Windows-Umgebung und vielleicht einer optionalen Linux-Distribution.

Ich denke die Vorgaben die die Politik macht kommen von den Nutzungsverhalten der Politiker und Politikerinnen selbst, man muss sich mal so Parlamentssitzungen ansehen da sieht man öffter mal ein IPad.

 

[Renegade334]

Vielleicht habe ich das überlesen, aber:
Was ist das für eine Schule?
Sekundarschule, Gymnasium, Berufsschule?
Wie groß ist die Schule?

Hintergrund der Fragen:
Ich habe zwischendurch mehrere Berufskollegs betreut und ab einer gewissen Größe ist da meist ein Server mit "von Microsoft gesponserten" Windows Server und Terminal Lizenzen. Für stärkere Kundenbindung bekommt man da meist Volumenlizenzen von allem und tausende M365 Lizenzen inklusive Office und Windows.

Software lokal auf den PCs ist in den letzten Jahren immer seltener geworden und wenn eh alles auf einem Terminalserver läuft, dann ist der Client quasi egal. Teils wurde die komplette Shell (explorer.exe) durch Remotedesktopverbindung (mstsc.exe) ersetzt und die PCs waren ohne jegliche Software.

Von einer Windows 11 Installation mit Umgehung des TPM Chip würde ich eher abraten, da niemand sagen kann, wie lange man damit noch Updates bekommt. Teils mussten da für "Funktionsupdates" (z.B. 23H2 auf 24H2) alle PCs mit ISO geupdated werden. Das will sich doch niemand freiwillig antun.

Über Verschlüsselung würde ich mir auch keine Gedanken machen. Auf den PCs sollte nichts gespeichert werden. Dafür gibt es Fileserver/NAS, die man dann auch sichern kann. Sonst gibt es auch Probleme, wenn man mal in einem anderen Raum oder auch nur an einem anderen PC sitzt und ein Hardwaredefekt wäre für einzelne Schüler ärgerlich.

Wie werden eigentlich aktuell die Zugangskonten verwaltet? Lokale User oder über Anmeldeserver? Allgemeine Benutzer oder personalisierte Schülerkonten? Für die Schüler ist es auch angenehm, über die komplette Schulzeit einen personalisierten Benutzer mit Speicher für Hausarbeiten, Präsentationen oder andere Projekte zu haben.

 

[K3ks]

ToDo: einen IT Systemdienstleister beauftragen.

DIES!

 

[Renegade334]

Ist es vielleicht auch eine Alternative, wenn euer DL die Planung übernimmt und ihr die Umsetzung und Wartung übernehmt?
So könntet ihr die Stärken eines DL nutzen und versuchen einen Teil der teuren Fleißarbeit selbst zu übernehmen.

 

[DoedelFIX]

Ich lese auf der ersten Seite viel von Linux und TPM. Dabei benutzt Linux das TPM überhaupt nicht und soll nur eine Sache von Windows sein. Anders sieht es aus was Secure Boot angeht.

Gestern erst ein Linux Arch auf Secure Boot im nachhinein zertifiziert, das Grub mit Secure Boot ein und der folgende Kernel überhaupt starten.

Secure Boot, TPM und die Paranoia der deutschsprachigen Linux Community​

 

[Ranayna]

Festplatten sind von Natur aus nicht so performant wie SSDs in der Lesegeschwindigkeit das wirkt sich beim entschlüsseln stark aus

Der Festplatte ist es egal ob die Daten die drauf liegen verschluesselt sind oder nicht. Fuers Ver- und Entschluesseln ist die CPU zustaendig. Und bei zumindest halbwegs aktuellen CPUs ist der Einfluss auf die Performance nicht der Rede wert. Erst Recht nicht bei Festplatten.
Bei schwaecheren CPUs sind verschluesselte SSDs eher ein Problem, denn das kann ordendlich CPU Last erzeugen.
Der 6100u der wohl in den Clients steckt kann aber AES-NI, wodurch das ganze eigendlich kein Thema mehr sein sollte. LUKS sollte damit umgehen koennen.

Lässt MS da wirklich so ein Schlupfloch offen?

Nein, MS laesst dieses Schlupfloch - zumindest rechtlich - nicht offen. Denn LTSC ist explizit nicht fuer den normalen Desktopbetrieb lizensiert.

Für stärkere Kundenbindung bekommt man da meist Volumenlizenzen von allem und tausende M365 Lizenzen inklusive Office und Windows.

Nach allem was man so hoert ist dieser Zug inzwischen abgefahren. Zumindest aus den USA hoere ich vorallem, dass die billigen Lizenzen fuer Non-Profit und Education entweder eingestellt oder deutlich teurer geworden sind. Wie es in Deutschland aussieht weiss ich allerdings nicht.

 

[MonteDrago]

Ich lese auf der ersten Seite viel von Linux und TPM. Dabei benutzt Linux das TPM überhaupt nicht und soll nur eine Sache von Windows sein. Anders sieht es aus was Secure Boot angeht.

Wie kommst du den da drauf?,
Natürlich kann man auch unter Linux TPM nutzen, du musst nur die Dienste um das einzurichten selber installieren, und einrichten.
Es wird nur nicht wie bei Win11 als muss vorausgesetzt.🙄
(Ja man kann es noch umgehen, aber das wird sich sicher bald in Win11 ändern!)

Wenn du also kein Windows nutzt, aber trotzdem aus welchen Gründen auch immer TPM nutzen willst, kannst du das.
Und nein dafür braucht es kein Secure Boot !

 

[DoedelFIX]

Natürlich kann man auch unter Linux TPM nutzen, du musst nur die Dienste um das einzurichten selber installieren, und einrichten.

Hättest du dazu mal etwas?

Und nein dafür braucht es kein Secure Boot !

Da beziehe ich mich gerade auf die Sache des Anti Kernel Schutzes z.B. BF6 in Sache Secure Boot und neben Windows noch ein Linux zu betreiben.

 

[Linuxfreakgraz]

Erst Recht nicht bei Festplatten.

Den Satz musst du mir erklären, wir reden schon von der Magnetscheiben Technologie?

 

[Ranayna]

@Linuxfreakgraz: Festplatten sind so langsam, das auch eine langsame CPU, die evtl. keine Hardwareverschluesselung beherrscht, nicht der Flaschenhals ist.

 

[MonteDrago]

@DoedelFIX
Hier mal das ganze in English:
https://paolozaino.wordpress.com/2021/02/21/linux-configure-and-use-your-tpm-2-0-module-on-linux/
Und hier etwas in Deutsch:
https://www.b1-systems.de/teil-2-we...essel-und-zertifikate-verwalten-und-benutzen/
Aber ja, das ist noch klassisches Linux "gefrickel". 😉😏

p.s. Und HIER nochmal das ganze im Arch Wiki, hier wird auch die Erstellung von Schlüsseln für TPM gut erklärt.

 

[Renegade334]

Nach allem was man so hoert ist dieser Zug inzwischen abgefahren. Zumindest aus den USA hoere ich vorallem, dass die billigen Lizenzen fuer Non-Profit und Education entweder eingestellt oder deutlich teurer geworden sind. Wie es in Deutschland aussieht weiss ich allerdings nicht.

Da ging es nur um die 15 Business Premium für Non-Profit. Es gibt/gab ein Angebot von MS bei dem man 15 Business Premium und 300 Basic Lizenzen gegen Spendenquittung bekam und weitere Lizenzen günstiger kaufen konnte. Das war aber weder ein "Geschenk" von MS (Spendenquittung ist für Firmen bares Geld), noch betrifft das die EDU Umgebungen.
Daher wundert mich auch, dass das Angebot jetzt beschnitten wurde. Die Business Basic Lizenzen sind halt deutlich eingeschränkter und selbst für Vereinsarbeit nur begrenzt interessant.

Bei den EDU Lizenzen geht es um ganz andere Mengen (sowas wie 1000 A3/A5 Lizenzen für Lehrer und 3000 für Schüler, dazu KMS/MAK für so ziemlich jede Software (Windows Server, SQL, Windows Clients, ...).
Das sind, auch wenn es halt von Microsoft kommt, sehr interessante Möglichkeiten, die man nicht einfach ignorieren sollte, nur weil dei Motive dahinter selbstsüchtig sind.
Gerade im öffentlichen Dienst müssen solche Angebote mit berücksichtigt werden.

Das heißt nicht, dass man alles von MS nutzen sollte, aber man sollte sich auch nicht komplett davor verschließen.
Da ist z.B. auch direkt ein MDM als Alternative zu Apples Lösung inklusive, das auch mit Android funktionieren würde.

//edit:

Hättest du dazu mal etwas?


Da beziehe ich mich gerade auf die Sache des Anti Kernel Schutzes z.B. BF6 in Sache Secure Boot und neben Windows noch ein Linux zu betreiben.

SecureBoot geht auch seit Jahren mit Linux. Anfangs war das etwas Gefrickel mit den GPU Treibern, aber auch die laden inzwischen mit SecureBoot.
Es kann halt noch sein, dass man initial einen Key in den PCs verteilen muss, falls der Bootloader/Kernel nicht von einer (für die Hersteller) vertrauenswürdigen Stelle signiert wurde.

 

[DoedelFIX]

SecureBoot geht auch seit Jahren mit Linux.

Halb und halb. Eine Live Umgebung oder eine Installation lassen sich auch starten und auch durchführen. Aber weil nichts zertifiziert / signiert wird, steht man zum Schluss bei einem Reboot da, bei eingeschalteten Secure Boot.

Das gestern bei Debian 13 als auch bei Linux Arch. Beide mussten auf ihren Methoden noch signiert, als auch noch Keys ins UEFI gebracht werden im Nachhinein.

Ich fand es auch komisch das Debian als auch Arch bei Secure Boot EIN sich booten ließen, das Zeug doch davon das im UEFI doch was sein muss. Nur dann verstehe ich das beim Reboot und das man händisch noch alles muss.

Es ist ein kotziges Thema, wenn man Games auf Anti Kernel Cheat Windows spielen und nebenbei noch ein Linux betreiben möchten.

 

[sikarr]

Oder Plan B: Alles so lassen wie es ist und ein INPLACE Update auf Windows 10 Enterprise ioT LTSC vornehmen.

Was sich nicht Lizenzkonform in dem Fall betreiben lässt da die Geräte kein IoT sind!

Das macht ja das ESU-Programm für 30€ pro Gerät fürs erste Jahr obsolet. Lässt MS da wirklich so ein Schlupfloch offen?

Nein, weil es wie gesagt laut Lizenz für IoTs gedacht ist, und in einem Rahmen wie für den Schuleinsatz würde ich das eh mal sein lassen, das kann echt teuer werden.

Wenn dann fragt eher bei M$ an ob ihr ESU vielleicht verbilligt oder gesponsert bekommt.

 

[rollmoped]

Die werden dir alle nix nützen, da in öffentlichen Einrichtungen alleine
schon aus Haftpflicht und Versicherungsgründen ein IT-System Dienstleister
zwingend voraussgesetzt wird.

Welche Haftpflicht soll bei bereits angeschafften, alten Rechnern zum Tragen kommen? Dass er explodiert und jemandem die Hand wegreißt? Oder dass jemand kommt, und sich beschwert, dass für Linux 0€ in den Sand gesetzt wurden?

Ich begrüße es, wenn jemand die Hardware zu Bildungszwecken mit Software weiternutzen möchte, die Allgemeingut ist, statt noch mehr Geld zu verschwenden. Zudem würde es die Bildungsqualität erhöhen, wenn man an ein Betriebssystem herangeführt wird, das man sogar verstehen und lesen kann.
Ich habe selbst durch einen engagierten Lehrer, der sich um die IT in meiner Schule gekümmert hat, Linux kennen lernen dürfen.

Von IT-System Dienstleistern kenne ich es teilweise, dass nach 2 Jahren vorgeschlagen wird, alles auszutauschen, weil die Geräte ja keine Garantie mehr vom Hersteller hätten und der Dienstleister dann nicht mehr für ihre Funktionsfähigkeit gerade stehen will. Es ist sicherlich nicht jeder ein schwarzes Schaf, aber das Windows-Ökosystem mit der ganzen Kauf-Software sind ein Fass ohne Boden und bindet am Ende viel mehr Ressourcen als ein gut aufgesetztes Linux-System.

 

[User38]

Es ist sicherlich nicht jeder ein schwarzes Schaf, aber das Windows-Ökosystem mit der ganzen Kauf-Software sind ein Fass ohne Boden und bindet am Ende viel mehr Ressourcen als ein gut aufgesetztes Linux-System.

Dann mach dich selbstständig und setze Linux-Systeme auf und gebe Support dafür. So zum Einstieg vielleicht eine Behörde mit 5000 Clients, viel Spaß.