VeraCrypt Vollverschlüsselung: Unsicher durch Backups?

mensa schrieb:
Das Problem von Windows Image Backup ist allerdings, dass nach einem Restore eines Images die Daten ebenfalls unverschlüsselt auf dem PC liegen und ohne VeraCrypt Passwort gestartet werden kann. Genau das sollte bei einem "Bare Metal Backup" ja nicht der Fall sein, oder?
Zum Vergrößern anklicken....

Klingt plausibel, dass nach dem Restore die Daten unverschlüsselt auf der davor leeren Festplatte liegen. Man müsste dann das VeraCrypt für diese Festplatte einrichten.
Da ein Restore (hoffentlich) nicht oft vorkommt, erscheint mir das machbar. Oder was spricht für dich dagegen?
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
ist aber auch logisch das man den Restore auch auf ein Voll verschlüsseltes Laufwerk spielen muss,

ich habe so das Gefühl das hier einige nicht so recht verstehen wie VeraCrypt funktioniert, noch mal zur Erklärung;
wenn man ein Boot Laufwerk mit VeraCrypt verschlüsselt muss man ja mit VeraCrypt erst mal entschlüsseln bevor man Win darauf installieren kann,
das heißt aber auch das Win nichts von der Verschlüsselung weiß, genauso weiß Win nichts von der Verschlüsselung von eingebundenen Containern, für Win ist das dann einfach ein Laufwerk, also sogen allen Aktionen unter WIN wo Dateien auf andere Laufwerke die nicht verschlüsselt sind geschrieben werden, (NAS/USB-Stick usw.) dafür das die Dateien dann eben auch ohne VeraCrypt zugänglich sind.

das Win System Image ist aber generell Mist, das ist äußerst eigensinnig u. meint dann wenn sich was an der Hardware geändert hat es passe nicht für das System auf dem man es zurück spielen will, usw.

ich habe mein Sys Backup mit Macrium Reflect gemacht, damit kann man auch das Ganze System inklusive der kleine Win System Partitionen machen, u. dem ist es dann auch egal ob das ein neues Laufwerk ist.

wenn man mit Macrium Reflect einen Rettungs Stick erstellt kann man den mit Win PE erstellen,
wenn man dieses Win PE dann bootet sollte man da eigentlich auch VeraCrypt installieren können, so das man dann mit diesen PE eben auch auf einen VeraCrypt zugreifen kann in dem man sein Backup abgelegt hat,


also entweder man sichert das gesamte BOOT Laufwerk mit einen Backup Programm was Sektor basierend arbeitet ohne das BOOT Laufwerk zu entschlüsseln, was aber auch heißt das man den Platz für das ganze Laufwerk braucht, u. ein Inkrementelles Backup ist nicht möglich,

oder man sichert aus dem laufenden Win heraus in einen Container, dabei ist dann auch ein Inkrementelles Backup möglich,
aber dann muss man beim zurück spielen das neue/alte Ziellaufwerk vorher mit VeraCrypt Voll verschlüsseln.
 
BadBigBen schrieb:
Bin heute erst drüber gestolpert evtl. ist das hier das was du suchst...

c't-Wimage: Windows Backup auf einen Klick | c't Magazin
Zum Vergrößern anklicken....
Danke für den Tipp. Damit ging's aber leider nicht, die Daten werden unverschlüsselt ins .WIM File geschrieben.

awehring schrieb:
Klingt plausibel, dass nach dem Restore die Daten unverschlüsselt auf der davor leeren Festplatte liegen. Man müsste dann das VeraCrypt für diese Festplatte einrichten.
Da ein Restore (hoffentlich) nicht oft vorkommt, erscheint mir das machbar. Oder was spricht für dich dagegen?
Zum Vergrößern anklicken....
Mir geht's darum (wie schon mehrmals erwähnt), dass das Backup verschlüsselt sein soll. Ich weiß, dass es Backup Programme gibt, die die Backups verschlüsseln können, aber ich halte halt VeraCrypt für eine der stärksten Verschlüsselungen aktuell. Außerdem fände ich eine einzige Lösung am praktischsten. Also einmal PC verschlüsselt und dann eben mit einer Lösung sichern, die die Verschlüsselung nicht aufbricht, sondern auch erhalten läßt. Dann können die Backup Files ungeschützt egal wo liegen und nach einem Restore bräuchte man sich auch um absolut nichts weiter kümmern. Es wäre halt einfach die schönste Lösung. Aber anscheinend ist zur Zeit wirklich Casper Secure Drive Backup das einzige Produkt am Markt, dass das während dem Laufendem Windows-Betrieb kann (also ein Backup vom kompletten Datenträger erstellt, dass verschlüsselt bleibt, obwohl zu diesem Zeitpunkt die Daten eigentlich entschlüsselt sind. Keine Ahnung, wie die das hinkriegen).

Andi 669 schrieb:
ich habe so das Gefühl das hier einige nicht so recht verstehen wie VeraCrypt funktioniert
Zum Vergrößern anklicken....
Ich hoffe, du zählst dich hier selbst dazu? :stupid:

Andi 669 schrieb:
ist aber auch logisch das man den Restore auch auf ein Voll verschlüsseltes Laufwerk spielen muss
Zum Vergrößern anklicken....
Warum MUSS das Laufwerk denn zum Zeitpunkt des Restores voll verschlüsselt sein?
Die Backup-Daten müssten die Verschlüsselung noch 1:1 enthalten und diese wieder 1:1 ablegen. Da braucht zuvor gar nichts verschlüsselt sein.
Wie soll man auch Daten in ein voll verschlüsseltes System rein-kopieren? Das ist ungefähr so, wie wenn du etwas in einen Tresor reinlegen möchtest, ohne ihn zu öffnen.

Andi 669 schrieb:
wenn man ein Boot Laufwerk mit VeraCrypt verschlüsselt muss man ja mit VeraCrypt erst mal entschlüsseln bevor man Win darauf installieren kann, ...
Zum Vergrößern anklicken....
Absoluter Blödsinn. Mann muss das Boot-Laufwerk nicht entschlüsseln, damit man Windows installieren kann. Windows schreibt einfach über die verschlüsselten Daten drüber, die sind dann halt futsch.
Nach deiner Schilderung wäre ein Festplatte ja zum Wegschmeißen, wenn man den Key vergessen hat.
Das Windows nichts von der Verschlüsselung weiß stimmt, es muss sich im Betrieb ja quasi selbst lesen können. Trotzdem gibt es Tools, die anscheinend die ganze Verschlüsselung mitkopieren können und das während der Laufzeit, wo die Daten eigentlich entschüsselt sind (siehe oben).
 
Zuletzt bearbeitet:
Casper Secure™ Drive Backup scheint das tatsächlich zu können. Allerdings steht in der Beschreibung

designed specifically for users of Windows BitLocker™ and Symantec™ (PGP™) Drive Encryption technologies
Zum Vergrößern anklicken....

Ich würde mich vorab versichern, dass es auch mit VeraCrypt funktioniert. Die FAQs und das Support Center sind praktisch leer, was mich ein wenig misstrauisch macht, wie bewährt das Produkt ist.
Es gibt kaum etwas schlimmeres, als eine Backup Lösung, die beim Restore im Ernstfall versagt. Noch dazu, wenn das Backup verschlüsselt ist.

Du musst einfach gut recherchieren, testen und abwägen, ob du dich dem anvertraust.

Ich (!) würde auf etwas Komfort verzichten, wenn ich auch nur geringe Zweifel habe.
 
Zuletzt bearbeitet:
mensa schrieb:
Ich hoffe, du zählst dich hier selbst dazu? :stupid:
Zum Vergrößern anklicken....
zumindest habe ich es besser verstanden als du :stupid:

mensa schrieb:
Absoluter Blödsinn. Mann muss das Boot-Laufwerk nicht entschlüsseln, damit man Windows installieren kann. Windows schreibt einfach über die verschlüsselten Daten drüber, die sind dann halt futsch.
Zum Vergrößern anklicken....
ja und dann ist die Installation aber nicht mehr verschlüsselt, willst du mich verarschen ? du fragst hier nach verschlüsselten Systemen, u. wenn man es dir erklärt, schreibst du was wie man Win unverschlüsselt installiert zurückschreibt :stupid:

mensa schrieb:
Nach deiner Schilderung wäre ein Festplatte ja zum Wegschmeißen, wenn man den Key vergessen hat.
Zum Vergrößern anklicken....
nö man formatiert die einfach, nur ist sie dann nicht verschlüsselt

mensa schrieb:
Warum MUSS das Laufwerk denn zum Zeitpunkt des Restores voll verschlüsselt sein?
Die Backup-Daten müssten die Verschlüsselung noch 1:1 enthalten und diese wieder 1:1 ablegen. Da braucht zuvor gar nichts verschlüsselt sein.
Wie soll man auch Daten in ein voll verschlüsseltes System rein-kopieren? Das ist ungefähr so, wie wenn du etwas in einen Tresor reinlegen möchtest, ohne ihn zu öffnen.
Zum Vergrößern anklicken....
mensa schrieb:
Das Windows nichts von der Verschlüsselung weiß stimmt, es muss sich im Betrieb ja quasi selbst lesen können. Trotzdem gibt es Tools, die anscheinend die ganze Verschlüsselung mitkopieren können und das während der Laufzeit, wo die Daten eigentlich entschüsselt sind (siehe oben).
Zum Vergrößern anklicken....
Ja dann aber wie ich schon geschrieben habe Sektorbasierend u. das ganze Laufwerk, denn das ist ja gerade der die Funktionsweise von VeraCrypt das man Nutzdaten nicht von Müll unterscheiden kann,

wenn das Tool nicht nach dem Key von VeraCrypt fragt kann es die Daten auch nicht selektiv lesen. das wäre dann wirklich so als wenn man eine Tresor hat,
ohne die Kombination kann man dann den Tresor eben nur im ganzen sichern u. nicht den Inhalt selektiv, u. ein Programm aus dem geöffneten Tresor heraus weiß nichts von dem Tresor, um mal bei deiner Analogie zu bleiben.

Edit: u. zu den TOOLs es ist schön wenn die mit Windows BitLocker klar kommen, BitLocker arbeitet aber anders als wenn du VeraCrypt vor dem Start von WIN benutzt.
 
Zuletzt bearbeitet:
Andi 669 schrieb:
zumindest habe ich es besser verstanden als du :stupid:
Zum Vergrößern anklicken....
Mi, mi, mi... aber sicher doch, sieht man ja...

Andi 669 schrieb:
ja und dann ist die Installation aber nicht mehr verschlüsselt, willst du mich verarschen ? du fragst hier nach verschlüsselten Systemen, u. wenn man es dir erklärt, schreibst du was wie man Win unverschlüsselt installiert zurückschreibt :stupid:
Zum Vergrößern anklicken....
Lies es dir nochmal durch, dann wirst du verstehen was du für einen Quatsch in deiner "Belehrung" für alle Unwissenden geschrieben hast.
Nochmal: Man kann eine VeraCrypt Voll-Verschlüsselung erst durchführen/erstellen, wenn Windows schon installiert. Da braucht man nichts vorher verschlüsseln oder vorbereiten!

Andi 669 schrieb:
Edit: u. zu den TOOLs es ist schön wenn die mit Windows BitLocker klar kommen, BitLocker arbeitet aber anders als wenn du VeraCrypt vor dem Start von WIN benutzt.
Zum Vergrößern anklicken....
BitLocker hat genau wie VeraCrypt ebenfalls eine Pre Boot Authentication und von so einer Reden wir hier bei "Vollverschlüsselung der Systempartition", da gehts nicht um einzelne Container, denn die blieben ja sowieso in jedem beliebigen Backup-Programm verschlüsselt erhalten.
 
Um da mal meine Gedanken zu los zu werden:

Das verschlüsseln einer HDD / SSD dauert gern mal ein paar Stunden, je nach Größe, also ist es ja schonmal per se unlogisch, wenn du durch Eingabe deines Passwortes die gesamte Platte entschlüsselst. Durch dein Passwort wird die Hardware nur befähigt, die verschlüsselten Daten beim Lesen zu entschlüsseln und Daten, die geschrieben werden sollen, verschlüsselt zu schreiben. Mehr ist das eigentlich nicht. Das wird je nach CPU von einem Hardwaremodul erledigt oder durch Rechenleistung.

Wenn du nun ein Image deiner Systemplatte machst, machst du ja ein Abbild der Platte, die ja verschlüsselt ist. Daher sollte auch das Backup verschlüsselt sein. Das kannst du testen, indem du die Sicherung auf einem anderen PC wiederherstellst und bootest. wirst du nach deinem VeryCrypt Passwort gefragt, ist alles tutti.

Die Backup-Tools bieten meist noch eine zusätzliche Verschlüsselung an, sodass das Backup gesichtert ist, auch wenn es deine Plate im PC eigentlich nicht ist: Zusätzlicher Sicherheitsfaktor.

Wenn du ein Synology NAS hast, kannst du aber auch nur den Backup-Ordner verschlüsseln, sodass die Performance nur dann leidet, wenn Backups gemacht werden und der Rest dennoch unverschlüsselt bleibt.
 
Um eine vollverschlüsselte Festplatte im laufenden Betrieb zu sicher braucht man ein Overlay-Dateisystem. Dabei stellt man das zu sichernde Laufwerk vorübergehend auf Read-Only, während Schreibzugriffe temporär auf ein anderes Laufwerk umgeleitet werden. So kann man in aller Ruhe die Sicherung erstellen ohne dass die Daten sich ändern / inkonsistent werden. Ich weiß, dass die aktuelle Enterprise-Version von Windows das unterstützt (Overlay for Unified Write Filter (UWF)), hab aber keine Ahnung ob die anderen Versionen das auch können.
 
Anmelden, um zu antworten.

Ähnliche Themen

Amaya
Backupsoftware gesucht, ein System mit diversen Betriebsysteme und Datenträgern.
Antworten
3
Aufrufe
147
Amaya
Amaya
Amaya
Clients & Mainserver (TrueNas) Backup-Strategie Hilfe bei der Umsetzung
Antworten
7
Aufrufe
404
besterino
B
T
[Kaufberatung] Benötige Feedback zu meinem NAS Konzept (Budget 1,5-3k €)
Antworten
1
Aufrufe
913
Frecyboy
F
D
[Guide] Mein neuer Home-Server / NAS im kleinsten Server-PC der Welt [Mini-PC mit Xeon und ECC RAM]
Antworten
11
Aufrufe
871
dakazze
D
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh