1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Howto: Windows-Boot-Partitionen mit…

Vorsicht mit Windows 10

  1. Thema

Neues Thema Ansicht wechseln


  1. Vorsicht mit Windows 10

    Autor: Truster 05.02.16 - 13:47

    Vorsicht mit Windows 10: Dies führt gerne mal ein Upgrade von sich aus durch (wie z.B. Fall Upgrade), wo auch der Bootsektor neu beschrieben wird. Deshalb würde ich Veracrypt nur dann empfehlen, wenn automatische Updates komplett deaktiviert ist.

  2. Re: Vorsicht mit Windows 10

    Autor: Mingfu 05.02.16 - 14:05

    Automatische Updates kann man unter Windows 10 in den normalen Customer-Versionen nicht deaktivieren (außer, dass man irgendwie versucht, die Verbindung zu den Update-Servern zu sperren). Man kann in der Pro-Version lediglich Feature-Updates verzögern. Das verhindert aber weder Sicherheitsupdates, noch verhindert es Feature-Updates komplett - sie kommen nur später, wenn vielleicht noch enthaltene Bugs bei den Beta-Test... äh Home-Versions-Nutzern entdeckt und hoffentlich beseitigt wurden.

    Man kann aber beispielsweise stets von USB-Stick booten und den Veracrypt-Bootloader darauf bereithalten. Dann kann Windows den Bootcode im MBR nach Belieben überschreiben, der wird nie ausgeführt. Wenn man es richtig anstellt, hat man auf diese Weise sogar eine primitive Zwei-Faktor-Authentifizierung, weil der komplette Bootloader inklusive des Headers der Systemverschlüsselung dann nicht auf der Festplatte liegt, sondern nur auf dem USB-Stick verfügbar ist (den man also zum Booten zusätzlich zum Passwort braucht). Das ist aber etwas Frickelei.



    1 mal bearbeitet, zuletzt am 05.02.16 14:09 durch Mingfu.

  3. Re: Vorsicht mit Windows 10

    Autor: Heldbock 05.02.16 - 14:26

    Alle drei Monate bei jedem Update erst entschlüsseln und dann nach dem Update wieder verschlüsseln... Na toll...

  4. Re: Vorsicht mit Windows 10

    Autor: Mingfu 05.02.16 - 14:32

    Möchte noch hinzufügen, dass es allerdings sehr, sehr unwahrscheinlich sein dürfte, dass Windows tatsächlich den Bootcode im MBR neuschreibt. Denn das ist ein Standardcode, der nur dafür sorgt, dass der Ladeprozess vom ersten Sektor der aktiven primären Parition fortgesetzt wird. Da gibt es keinen Grund, den neuzuschreiben. Der restliche Bootcode kollidiert dagegen nicht mit Veracrypt, denn der Veracrypt-Code liegt auf den üblicherweise freien unpartitionierten Sektoren hinter dem MBR, der restliche Windows-Bootcode in den ersten Sektoren der Systempartition.

    Der Problemfall, auf den auch Golem verlinkt hat, lag wohl daran, dass Windows für die Installation eines Updates neugestartet hat, dort aber die Veracrypt-Treiber nicht geladen hat. Damit hatte der Update-Prozess keine entschlüsselte Sicht auf die Systempartition.

  5. Re: Vorsicht mit Windows 10

    Autor: ArcherV 05.02.16 - 15:06

    Mingfu schrieb:
    --------------------------------------------------------------------------------
    > Automatische Updates kann man unter Windows 10 in den normalen
    > Customer-Versionen nicht deaktivieren (außer, dass man irgendwie versucht,
    > die Verbindung zu den Update-Servern zu sperren). Man kann in der
    > Pro-Version lediglich Feature-Updates verzögern. Das verhindert aber weder
    > Sicherheitsupdates, noch verhindert es Feature-Updates komplett - sie
    > kommen nur später, wenn vielleicht noch enthaltene Bugs bei den
    > Beta-Test... äh Home-Versions-Nutzern entdeckt und hoffentlich beseitigt
    > wurden.
    >
    > Man kann aber beispielsweise stets von USB-Stick booten und den
    > Veracrypt-Bootloader darauf bereithalten. Dann kann Windows den Bootcode im
    > MBR nach Belieben überschreiben, der wird nie ausgeführt. Wenn man es
    > richtig anstellt, hat man auf diese Weise sogar eine primitive
    > Zwei-Faktor-Authentifizierung, weil der komplette Bootloader inklusive des
    > Headers der Systemverschlüsselung dann nicht auf der Festplatte liegt,
    > sondern nur auf dem USB-Stick verfügbar ist (den man also zum Booten
    > zusätzlich zum Passwort braucht). Das ist aber etwas Frickelei.


    In der Pro Version kann man die Updates per GPO ausschalten..

  6. Re: Vorsicht mit Windows 10

    Autor: Anonymer Nutzer 05.02.16 - 15:26

    Truster schrieb:
    --------------------------------------------------------------------------------
    > Vorsicht mit Windows 10: Dies führt gerne mal ein Upgrade von sich aus
    > durch (wie z.B. Fall Upgrade), wo auch der Bootsektor neu beschrieben wird.
    > Deshalb würde ich Veracrypt nur dann empfehlen, wenn automatische Updates
    > komplett deaktiviert ist.

    Eine Vollverschlüsselung muss man ja auch nicht unbedingt machen :) Reicht doch meistens ein Container ^^ Aber ja, das haben sie blöd gelöst :/

  7. Re: Vorsicht mit Windows 10

    Autor: tibrob 05.02.16 - 17:29

    Clarissa1986 schrieb:
    --------------------------------------------------------------------------------
    > Eine Vollverschlüsselung muss man ja auch nicht unbedingt machen :) Reicht
    > doch meistens ein Container ^^ Aber ja, das haben sie blöd gelöst :/

    Die Frage ist ja, wovor man sich schützen möchte. Ich finde eine Vollverschlüsselung sinnvoll, weil dann auch Hibernate/Swap verschlüsselt ist.

    Deine Jacke ist jetzt trocken!

  8. Re: Vorsicht mit Windows 10

    Autor: regiedie1. 05.02.16 - 17:46

    MBR? Ihr wisst aber schon, dass es so etwas mit UEFI-Boot nicht mehr gibt? Das Problem dürfte nur BIOS-Systeme betreffen.

  9. Re: Vorsicht mit Windows 10

    Autor: Mingfu 05.02.16 - 17:57

    Die VeraCrypt-Systemverschlüsselung lässt sich (derzeit) auch nur auf Rechnern mit BIOS (bzw. mit UEFI Compatibility Support Module) installieren, da VeraCrypt kein UEFI unterstützt.

  10. Re: Vorsicht mit Windows 10

    Autor: Wallbreaker 06.02.16 - 08:56

    tibrob schrieb:
    --------------------------------------------------------------------------------
    > Die Frage ist ja, wovor man sich schützen möchte. Ich finde eine
    > Vollverschlüsselung sinnvoll, weil dann auch Hibernate/Swap verschlüsselt
    > ist.

    Eine Verschlüsselung kann nur wirksam sein, wenn weder eine Swap Partition noch eine Hibernate Datei existieren. Beide sind Feinde jeder Verschlüsselung, und enthalten Rund um die Uhr verräterische Spuren, wie auch je nach Systemstatus den Masterkey. Ebenso sollte man insbesondere SSDs meiden in Sachen Verschlüsselung, hier sieht die Sachlage noch viel kritischer aus, hinsichtlich TRIM, Spare-Area und Wear-Leveling.

  11. Re: Vorsicht mit Windows 10

    Autor: Mingfu 06.02.16 - 09:33

    Wallbreaker schrieb:
    --------------------------------------------------------------------------------
    > Eine Verschlüsselung kann nur wirksam sein, wenn weder eine Swap Partition
    > noch eine Hibernate Datei existieren. Beide sind Feinde jeder
    > Verschlüsselung, und enthalten Rund um die Uhr verräterische Spuren, wie
    > auch je nach Systemstatus den Masterkey.

    Deshalb ist eine Systemverschlüsselung doch gerade so interessant, weil dann die Systempartition, auf der diese Dateien liegen, ebenfalls verschlüsselt ist, so dass diese Dateien bei ausgeschaltetem Rechner eben nicht ausgelesen werden können.

    > Ebenso sollte man insbesondere SSDs meiden in Sachen Verschlüsselung, hier
    > sieht die Sachlage noch viel kritischer aus, hinsichtlich TRIM, Spare-Area und
    > Wear-Leveling.

    Ja und nein. Wenn eine Verschlüsselung aktiv ist, werden die Daten nie im Klartext auf der SSD abgespeichert. Demzufolge sind dort ausschließlich verschlüsselte Daten zu finden. Damit ist das Risiko schon einmal begrenzt. Es kann allerdings sein, dass ein und derselbe verschlüsselte Sektor in verschiedenen Versionen gleichzeitig auf der SSD liegt, wenn die dortigen Daten verändert wurden. Theoretisch könnte das Angriffe vereinfachen, praktisch dürfte das aber im Regelfall ohne Relevanz sein.

    Ähnliches gilt für den Trim-Befehl. Dort könnte man zumindest aber herausfinden, wie viele Daten auf der SSD gespeichert sind, auch wenn diese verschlüsselt ist. Wobei auch das bei modernen SSDs, die einen Controller haben, der ebenfalls verschlüsselt, so einfach nicht mehr geht. Denn dann erscheinen leere Blöcke eben nicht als 00...00 oder 11...11, sondern als sektorweise unterschiedliche Zufallsfolge, die sich damit nicht von den sonstigen verschlüsselten Daten abhebt. Dort müsste man also an die Flashbausteine direkt herangehen, weil sich der Trim-Befehl nur dort noch auswirkt. Auch unterstützt VeraCrypt Trim nur für den Bereich der Systemverschlüsselung. Für sonstige verschlüsselte Partitionen oder gar Container wird Trim nicht durchgereicht. Das hat natürlich ggf. wiederum andere Nachteile für Lebensdauer und Performance der SSD.

    Insgesamt gesehen ist eine SSD vor allem kritisch für die glaubwürdige Abstreitbarkeit. Dinge wie Hidden Volumes sind auf einer SSD kaum sicher geheim zu halten. Wer aber keine glaubwürdige Abstreitbarkeit braucht, sondern wem eine normale Verschlüsselung reicht, für den ist eine SSD nicht kritisch - außer, dass man mit ggf. viel Aufwand herausfinden kann, wie viele Daten er darauf gespeichert hat, falls Trim angewendet wird.

    Und grundsätzlich gilt natürlich: Eine Verschlüsselung ist besser als keine Verschlüsselung. Schlimmer wird es also nicht, wenn man eine SSD verschlüsselt gegenüber dem unverschlüsselten Zustand.

  12. Re: Vorsicht mit Windows 10

    Autor: Anonymer Nutzer 06.02.16 - 16:30

    Wallbreaker schrieb:
    --------------------------------------------------------------------------------
    > Eine Verschlüsselung kann nur wirksam sein, wenn weder eine Swap Partition
    > noch eine Hibernate Datei existieren. Beide sind Feinde jeder
    > Verschlüsselung, und enthalten Rund um die Uhr verräterische Spuren, wie
    > auch je nach Systemstatus den Masterkey. Ebenso sollte man insbesondere
    > SSDs meiden in Sachen Verschlüsselung, hier sieht die Sachlage noch viel
    > kritischer aus, hinsichtlich TRIM, Spare-Area und Wear-Leveling.

    Bei Festplatten hast du heute je nachdem auch keinen eigenen Vollzugriff mehr sondern nur noch Zugriff auf den Controller. Außerdem kannst du sehr wohl SSD's verwenden. Es gibt nämlich auch welche die intern selber verschlüsseln. Somit lassen sich die Chips später nicht mehr auslesen. Und Hybernate als auch Swap kann man in Windows deaktivieren. Die Auslagerungsdatei in Windows, sofern man genug Ram hat.

    Und Hybernate mit "powercfg -H off" unter Adminrechten in der CMD.



    1 mal bearbeitet, zuletzt am 06.02.16 16:31 durch Clarissa1986.

  13. Re: Vorsicht mit Windows 10

    Autor: bentol 06.02.16 - 21:46

    ...musste ich nie, obwohl ich Win 10 seit Anfang nutze. Das Ganze beschränkt also auf ein einziges Update bei einigen wenigen Rechnern/Systemkonfigurationen.
    Und erstellt man bei der Installation einen Rettungsdatenträger bzw. lädt sich im Problemfall einen herunter, kann man die Bootpartition vermutlich einfach wieder reparieren, ohne vorher entschlüsseln zu müssen!

  14. Re: Vorsicht mit Windows 10

    Autor: tibrob 12.02.16 - 00:35

    Wallbreaker schrieb:
    --------------------------------------------------------------------------------
    > Eine Verschlüsselung kann nur wirksam sein, wenn weder eine Swap Partition
    > noch eine Hibernate Datei existieren. Beide sind Feinde jeder
    > Verschlüsselung, und enthalten Rund um die Uhr verräterische Spuren, wie
    > auch je nach Systemstatus den Masterkey. Ebenso sollte man insbesondere
    > SSDs meiden in Sachen Verschlüsselung, hier sieht die Sachlage noch viel
    > kritischer aus, hinsichtlich TRIM, Spare-Area und Wear-Leveling.

    Da hat jemand seine Hausaufgaben nicht gemacht.

    Wenn ich meine komplette Festplatte verschlüssele (Döner komplett mit alles), dann ist logischerweise auch mein SWAP/HIBERNATE auch verschlüsselt. Nix Feind.

    Was du verbreitest, ist einfach falsch ... hoffentlich nur im Golem-Forum.

    Deine Jacke ist jetzt trocken!

  15. Re: Vorsicht mit Windows 10

    Autor: rpm-U 06.04.16 - 06:28

    Truster schrieb:
    --------------------------------------------------------------------------------
    > Vorsicht mit Windows 10:...., wenn automatische Updates
    > komplett deaktiviert ist.
    Hallo,
    Ich wuerde Windows komplett deaktivieren, also gar nicht erst installieren, die Linux-Distri meiner Wahl nehmen und bei der installation das Haeckchen auf "verschluesseln" setzten.
    Dann stellt sich die ganze Fragerei nach True.., Vera.. oder "Weiss der Geier was fuer Crypt" - Frage nicht.

  16. Re: Vorsicht mit Windows 10

    Autor: Apfelbrot 13.05.17 - 02:40

    Jaja du bist ein ganz toller Hecht......

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. BfS Bundesamt für Strahlenschutz, Salzgitter
  2. Helios IT Service GmbH, Bad Saarow
  3. Zahoransky AG, Todtnau
  4. Statistisches Bundesamt, Wiesbaden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de