TrueCrypt --> FSE + weitere HDDs

[Flo89]

Mein primäres Laufwerk ist bereits mit TrueCrypt verschlüsselt, ich gebe also bei jedem PC-Start im TrueCrypt-Bootloader mein Passwort ein.

Ist es möglich, dass ich meine anderen Festplatten ebenfalls verschlüssele, aber sie im Windows nicht mounten muss, sondern dass sie automatisch gemountet werden, wenn ich im Bootloader mein Passwort eintippe?

 

[Mike Lowrey]

Ja, dazu gibt's zwei Möglichkeiten.

1: Du verwendest für beide das selbe Passwort dann lässt du das PW cachen und nutzt es zum automatischen entschlüsseln der anderen Festplatte
2: Du verwendest nicht für beide das selbe Passwort und macht dafür per Bath einen auto Mount.

 

[Flo89]

Die Batch-Methode gefällt mir eher nicht, da die Laufwerke dann zu spät gemountet würden (Stichwort Autostart von Programmen, die nicht auf C: liegen).

Weißt du, zu welchem Zeitpunkt die Laufwerke gemountet werden, wenn man das Passwort cachen lässt?
Direkt nach dem TrueCrypt-Bootloader, bei der Windows-Anmeldung,...?

 

[Mike Lowrey]

In beiden Fällen wird erst nach der Windows Anmeldung mit dem Einhängen weitergemacht.

Wenn es nicht um Sachen wie Auslagerungsdatei o.ä. geht, kannst du hier die Batch auch einfach weiter nutzen damit deine Programme nach dem Einhängen gestartet werden.
Das selbe Prinzip nutze ich um nach dem Einhängen Dateifreigaben zu aktivieren.

 

[Flo89]

Es ist also (aktuell) nicht möglich, ein System als ganzes zu verschlüsseln und alles vor Windows zu mounten?

Dann werde ich erstmal "unproblematische" Partitionen verschlüsseln und dann schauen, welche der beiden Methoden mir mehr zusagt.

Wobei Wipe Passwords sicherer sein sollte, da man das Passwort nicht ganz so einfach herausfinden kann, oder?
In der Batch-Datei muss es ja im Klartext stehen und somit könnte theoretisch jemand, der an den laufenden PC geht, die Datei finden und das Passwort auslesen, während zum Herausfinden des gecachten Passworts mehr Wissen erforderlich ist.

 

[Mike Lowrey]

So ist es - jedenfalls nicht mit TC.

Sicherlich wenn das Passwort im Klartext drin steht ist es leichter dieses auszulesen allerdings kann man sich dagegen auch absichern:
Das Benutzerkonto mit Passwort versehen und Autologin nutzen dies führt dazu das man beim Start kein Passwort eingeben muss, aber wenn man mal kurz weg ist kann man sich per Windows-L abmelden.

Für jemanden der weiß wie der Vogel fliegt ist beides möglich zu umgehen( Memory Dump).

 

[Flo89]

Ein Passwort für die Benutzeranmeldung nutze ich sowieso, aber den Rechner zu sperren, wenn man ihn verlässt, vergisst man eben hin und wieder.

Und ich denke ein Passwort in einer Batch-Datei zu finden ist leichter, als den Speicher zu durchsuchen.

Bin mal gespannt, ob es TrueCrypt in zukünftigen Versionen unterstützt, mehrere Laufwerke in einem Zug im Bootloader zu mounten.


Vielen Dank für deine Auskünfte

 

[abulafia]

Nein, Windows hat geschützte Speicherbereiche, die nicht einfach ausgelesen werden können. Wäre ja sonst eine riesige Sicherheitslücke. Memorydump funktioniert also nicht. Die Methode, den Speicher tiefzukühlen und auszubauen ist da noch mit die einfachste um an den Inhalt zu kommen ... gerade den Cache von TC zu benutzen ist im Prinzip die beste Methode. Sonst müsste man sich ja selbst um die Passwortverwaltung kümmern.

 

[LingLing]

Hey, ich habe genau heute das selbe Problem
Hat jemand ein how to dafür, für eine der Varianten?

 

[Flo89]

Ich habe gerade eben meine neuen Festplatten erhalten und bin momentan dabei, alles einzurichten.

Wenn ich alles (erfolgreich) geschafft habe, kann ich eine kurze Anleitung posten

Ich nutze übrigens die Cache-Methode, die ich gestern schon einmal kurz getestet hatte, das scheint gut zu funktionierten

 

[Flo89]

Also, hier die versprochene Kurz-Anleitung:

Die Systempartition komplett verschlüsseln (System, Encrypt System Partition/Drive), anschließend noch einstellen, dass das Passwort gecached wird (System, Settings..., Cache pre-boot authentication password in driver memory).

Dann eine weitere Partition verschlüsseln oder einen Container erstellen, unbedingt das selbe Passwort festlegen wie bei der Systempartition (aufpassen wegen DE/US-Layout, aber darauf weist TrueCrypt mit Dialogfenstern hin) und diese Partition/diesen Container mounten.
Dann noch das Volume als Favorit speichern (Volumes, Save Currently Mounted Volumes as Favorite) und einstellen, dass die Favoriten bei der Windows-Anmeldung gemountet werden sollen (Settings, Preferences..., Actions to perform upon log on to Windows: Mount favorite volumes).

Hoffentlich ist alles verständlich, auch wenn die Pfade auf Englisch angegeben sind. Ich komme mit der deutschen Lokalisierung einfach nicht klar


(Neuer Beitrag für Leute, die den Thread abonniert haben.)

 

[TommY-FreaK]

@Flo89: Vielen Dank für deine Kurz-Anleitung! Hat mir echt geholfen Danke (auch wenn ich das Thema nicht abonniert habe )

Aber eines versteh ich nicht so ganz...
Was bringt mir das, dass das Passwort gecached wird?

Die Systempartition komplett verschlüsseln (System, Encrypt System Partition/Drive), anschließend noch einstellen, dass das Passwort gecached wird (System, Settings..., Cache pre-boot authentication password in driver memory).

 

[starbuckzero]

Was bringt mir das, dass das Passwort gecached wird?

Dass du es nur 1x eingeben musst und zwar bevor Windows bootet. Mit dem Passwort im Cache werden dann alle weiteren verschlüsselten Partitionen automatisch gemounted ohne dass du erneut das Passwort eingeben musst.

Mit einer kleinen Batch-Datei, die erstmal 1-2 Minuten wartet bis die Laufwerke bereit sind kann man davon dann z.B. auch beim Systemstart Programme starten & Netzlaufwerke freigeben, die auf verschlüsselten Nicht-Systempartitionen liegen. Bei mir starten dann z.B. von D: Thunderbird, Opera, TotalCommander und die Netzwerk-Freigaben auf den Daten-Partitionen E-G werden auch gesetzt.

Falls jemand Interesse hat kann ich den Code auch mal posten.

 

[Flo89]

Ich nutze die Konfiguration jetzt schon einige Tage (verschlüsselte Systempartition + verschlüsselte Datenpartition) und habe festgestellt, dass Autostartprogramme problemlos funktionieren, wenn diese ohne Zeitverzögerung von der Daten-Partition gestartet werden.
Zum Beispiel eine Verknüpfung zu einem Ordner auf D:\ funktioniert tadellos, TrueCrypt scheint mit dem Einbinden der Favoriten ganz schön fix zu sein.
Eine Zeitverzögerung durch eine Batch-Datei ist also nicht unbedingt nötig

 

[-Thorsten-]

Hallo,

ist es auch möglich, dass ich meine externe Festplatte automatisch mounten kann, wenn ich diese anschließe?

Thorsten

 

[alegro007]

Dazu müsste ja permanent überprüft werden ob die angeschlossen wird, das ist glaube ich so nicht möglich

 

[Flo89]

Klar geht das, mit einer Batch- und einer Autorun-Datei.

Ich hatte das früher mal so, ich schau gerade, ob ich die entsprechenden Dateien noch finde.

Edit:
Die Dateien, die ich angelegt hatte, kann ich jetzt nicht mehr finden.

Aber mit diesen beiden Threads solltest du es hinbekommen können:
TrueCrypt LW Mounten + Programm start ?
TrueCrypt Traveller mode frage