Vollverschlüsseltes NAS mit WHS2011

[liz02mo]

Hallo zusammen,

weil sich mein Speicherplatz im Rechner mal wieder dem Ende zuneigt und mittlerweile auch einige neue Rechner im haushalt dazugekommen sind, denke ich (wie schon häufiger) über ein NAS nach. fest steht eigentlich nur, dass es ein Eigenbau-NAS werden soll, zwecks Erweiterungsmöglichkeiten und Flexibilität.

Meine Anforderungen sind:
- Vollverschlüsselt
- Datenraten >= 70MB/s
- WHS2011 (für Backups der Windows Rechner im Netzwerk)

An sich standen meine Eckpunkte für den Server schon:
Core i3-2100T (sollte reichen, auch bei Vollverschlüsselung, oder?)
4GB Ram
3x2TB HDD

Also hatte ich heute mal in einer virtuellen Maschine WHS2011 installiert und mich mit FlexRAID probiert. Das wollte ich eigentlich nehmen, weil ich die Festplatten dann leicht mit TrueCrypt verschlüsseln kann und diese Festplatten in einen StoragePool stecke, der von FlexRaid verwaltet wird. So schön so gut. Das Problem ist aber, dass der WHS zwingend das NTFS-Format benötigt, FlexRaid aber im FlexRaid-NTS (oder so) die Daten speichert. Deshlabs tehe ich jetzt vor einem Problem: Wie lässt sich die Vollverschlüsselung bewerkstelligen und gleichzeitig eine leichte Erweiterbarkeit erhalten. Bei Flexraid käme einfach eine neue HDD hinzu, die wird verschlüsselt, dem Raid und danach dem StoragePool hinzugefügt. Alles ganz easy, nur das Dateisystem hindert mich an dem Einsatz.

Hat von euch jemand Erfahrung mit verschlüsselung und leichter Erweiterbarkeit?

Grüße

liz02mo

 

[Tiptop]

Unterstützt der WHS 2011 nicht auch Bitlocker? (oder wie die MS Verschlüsselung heißt)

 

[liz02mo]

Tatsache, danke für den Hinweis.
Jetzt hab ich die Laufwerke mit Bitlocker verschlüsselt und wollte die gerne beim Systemstart automatisch entsperren. Das geht aber automatisiert nur, wenn das Mainboard TPM unterstützt, was in der VM natürlich nicht so ist. Also wollte ich das ganze per CMD einbinden, was aber auch nicht funktioniert.
Es gibt zwar den Befehl
manage-bde -unlock g: -pw
aber dann muss ich wieder händisch das Passwort eingeben, was ich ja nicht möchte (das Systemlaufwerk wäre per Truecrypt verschlüsselt, also von daher ein Problem).
Kennt hier jemand eine Lösung?

 

[anacoma]

Nutzte doch einfach einen Token auf einem USB Stick. Der muss bei Systemstart eingesteckt sein und schon ist alles entschlüsselt

 

[liz02mo]

Das will ich nicht, wenn mir das dann geklaut wird (wie unwahrscheinlich das auch ist) bringt mir die Verschlüsselung ja nichts.
Ich werde mir ein MB mit TPM holen, dann kann ich auch beim Systemstart automatisch die verschlüsselten Laufwerke einbinden, sofern auch das Systemlaufwerk verschlüsselt ist.

 

[anacoma]

Und was bringt das dann der Rechner wird ja kaum ohn Mainboard geklaut werden. Den USB Stick kannst du ja wenigstens abziehen.

 

[liz02mo]

Ja, aber Bitlocker mit PIN und TPM schließt das ja aus. Startet nur, wenn die PIN korrekt ist. Also auch nicht, wenn man die Platten an einen anderen Rechner (ohne TPM oder TPM mit anderem Schlüssel) anschließt.

 

[anacoma]

Ach du willst immer eine Pin eingeben. Wäre mir ja bei einem Monitorlosen System zu umständlich

 

[liz02mo]

So lange eine Tastatur dran ist...

 

[anacoma]

Und das in Kombination mit Lightsout, viel Spaß beim Pin eingeben

 

[liz02mo]

Wieso, wo ist das Problem? So lange er nur in den standby geht muss ich den Pin ja nicht nochmal eingeben.

 

[anacoma]

Ja schon. Wenn er dann aber monatelang nur in den Standby geht, nützt Bitlocker ja auch nichts.

Aber ist ja deine Sache. Ich denke mit dem USB Stick wäre auch eine gute Methode.