Windows Home Server WS2012 Essentials Verschlüsselung BitLocker

[x-Timmey-x]

Hallo,

ich hab mich heute ein wenig zu TrueCrypt und BitLocker eingelesen und möchte mein Home Server ala Windows Server 2012 Essentials verschlüsseln.

Hardware:

- Intel Core i3 530 LGA 1156
- Asus P7P55-M
- 8GB DDR3 RAM
- 6 HDDs

Ich nutze den Server hauptsächlich für die Clientsicherung in meinem Netzwerk und für Medienstreaming. Letzteres nutze ich überwiegend über den Twonky Medienserver.

Ich habe lange überlegt ob ich wirklich überhaupt verschlüsseln soll oder nicht. Jetzt hab ich bei meinem Client (Windows 8 Pro) mit BitLocker angefangen. Die Systempartition bzw. die SSD hab ich nicht verschlüsselt, weil ich kein TPM Modul habe und TrueCrypt wegen GPT ausscheidet.

Jetzt bin ich gerade dabei die Backup HDDs von meinem WS2012 zu verschlüsseln. Allerdings bin ich mir noch nicht "sicher" wie ich den Server dann damit zukünftig nutzen kann/soll. Leider hat der Server auch kein TPM Modul ...
Ich würde gerne verschlüsseln und trotzdem am Komfort nichts verlieren. Sprich ich möchte nicht vorher die Platten entsperren, damit ich ein Film oder Musik streamen kann!

Hat jemand Erfahrung oder nützliche Tipps für meine Situation?

 

[Spock55000]

Du kaufst dir ein Asus P8B oder C WS und das TPM Modul dazu und kannst dann Bitlocker nutzen. .

 

[x-Timmey-x]

Wäre eine Möglichkeit, doch dann bitte im µATX Standard ... Neue CPU würde ich dann auch beötigen...
Allerdings möchte ich kein Geld für BitLocker ausgeben.

 

[Groovtama]

Bitlocker geht auch ohne TPM, musst nur in den Policys einstellen, TPM ist nicht zur Verschlüsselung sondern zur Systembindung der Festplatten gedacht.

 

[derChemnitzer]

wenn dann nimm einen i5 die können AES von Hause aus die i3 jedich nicht oder einen Xeon 1225 und als MB empfehle ich das Asrock H77 Pro4-M

 

[miac]

Wie schon erwähnt geht Bitlocker auch ohne TPM: http://www.windowspro.de/andreas-kroschel/bitlocker-ohne-trusted-platform-module-tpm

 

[x-Timmey-x]

Ja das mit dem USB Stick war mir auch bekannt... Nach der Policy Einstellung hätte ich aber googlen müssen

Ich denke das ist auch die günstigste Lösung oder wäre ein Hardware Update sinnvoller?
MB + i5 ≈ ca. 250€ oder mit ein bisschen Glück findet sich hier was im Marktplatz ... Jedoch eher deutlich über mein Budget

Wichtig ist halt egal ob mit USB Stick oder TPM Modul. Die Clients sollen vom Homeserver weiterhin Daten abrufen können, ist das gewährleistet? Beziehungsweise können auf die Netzwerkfreigaben zugegriffen werden?
Oder muss der User ein Kennwort oder Schlüssel dazu eingeben? Falls ja kann ich das Projekt beenden ...

 

[x-Timmey-x]

Weiß keiner dazu etwas?

 

[miac]

Bitlocker und andere FDE's sind für alle Benutzer transparent.

 

[x-Timmey-x]

Nochmal kurze Rückmeldung von mir...

Aktuell sind nur die Datenplatten verschlüsselt. Der PC/Server startet, kurz anmelden, Schlüssel für die Platten eintragen und wieder abmelden. Die Festplatten sind dann über die Freigaben oder direkt erreichbar. Bin gerade dabei die Systemfestplatte auch zu verschlüsseln, anschließend kann der oben genannten Vorgang automatisch von Windows vollzogen werden.

Eine Frage hätte ich dann aber noch... Kann die Festplatte für die Serversicherung auch verschlüsselt werden? Die Serversicherung wird mit WS2012 Boardmitteln vollzogen und wird als Festplatte im "Computer" nicht gelistet. Lediglich in der Datenträgerverwaltung ist sie zu sehen.

 

[ntloader]

Du brauchst bei Bitlocker auch nicht unbedingt nen USB Stick. Bei Windows 8 geht's auf für die Systempartition mit Passwort.

 

[gaym0r]

Einfach alles verbitlockern ohne TPM Modul. Musste halt beim booten das Passwort eingeben.

Wo ist das Problem?

 

[x-Timmey-x]

Schon mal einen Server Remote gestartet? Schon mal Remote probiert einen BitLocker Schlüssel einzutragen?

Wie in meinem letzten Beitrag geschrieben ist jetzt alles so verschlüsselt wie es sein soll. Der BitLocker Schlüssel wird bei dem Start von dem USB Stick geladen...
Allerdings bin ich mir immer noch im unklaren ob die Festplatte für die Serversicherung auch verschlüsselt werden kann?. Diese Platte wird komplett von dem OS verwaltet und man hat außer in der Datenträgerverwaltung keinen Zugriff auf die Platte. So mein jetziger Stand.
Deshalb war die Frage ob für diese Sicherungsplatte auch eine Verschlüsselung möglich ist?
Eigentlich bin ich aber zufrieden wie es jetzt ist ...

 

[gaym0r]

Schon mal einen Server Remote gestartet? Schon mal Remote probiert einen BitLocker Schlüssel einzutragen?

Ja. Per DRAC und KVMoIP :-)

> Allerdings bin ich mir immer noch im unklaren ob die Festplatte für die Serversicherung auch verschlüsselt werden kann?.

Teste es.

 

[glacios]

@Timmey
Also das mit der Serversicherung weiß ich auch nicht. Ich habe deswegen auch nur meine Datenfestplatte (RAID) mit Bitlocker verschlüsselt, die Systemfestplatte ist nicht verschlüsselt.
D.h. du musst jedesmal, wenn du den Server bootest den USB-Stick einstecken? Ist ja ziemlich nervig, wäre für mich ein No-Go. Vor allem da sowas sowieso nicht sicher ist. Hat jemand deinen USB-Stick, hat er automatisch Zugriff auf den gesamten Rechner.

Ich mach das ganze mit Standby/Ruhezustand, d.h. den Server schalte ich nur noch ab, wenn Updates dies benötigen, sonst fährt er in den Ruhemodus. Bitdefender hält dann das Passwort im Cache und fährt problemlos die Platten wieder hoch. Ob das bei Vollverschlüsselung auch noch funktioniert, musst du probieren.

 

[x-Timmey-x]

Ich mach das ganze mit Standby/Ruhezustand, d.h. den Server schalte ich nur noch ab, wenn Updates dies benötigen, sonst fährt er in den Ruhemodus. Bitdefender hält dann das Passwort im Cache und fährt problemlos die Platten wieder hoch. Ob das bei Vollverschlüsselung auch noch funktioniert, musst du probieren.

Welches BitDefender hast du auf deinem Server installiert und welche Server Betriebssystem verwendest du?