Bitlockerverschlüsselte Laufwerke auf Multiuser-System

[guybrush 19]

Servus Kollegen,

 

ich habe auf einem Multiusersystem nebst C: noch 3 andere Laufwerke, die Bitlockerverschlüsselt sind. Beim Zugriff wird das Passwort manuell eingegeben. Die danach entsperrten Laufwerke sollen aber nicht für alle User

entsperrt sein. Wenn es z.B.: einen Benutzerwechsel gibt, sollen die Laufwerke bei den anderen Usern wieder gesperrt sein.

 

 Gibt es hierfür einen Weg?

 

LG und Danke

Guy

[NilsK 2.957]

Moin,

 

dann ist Bitlocker nicht die richtige Methode. Du suchst nach einer Verschlüsselung, die benutzerbezogen arbeitet. Dafür kann schon EFS reichen - aber bevor du jetzt dazu greifst, solltest du die Anforderungen genau klären. Aus Erfahrung wird es bei Verschlüsselung sofort kompliziert, wenn Bitlocker Full Disk Encryption nicht passt.

 

Gruß, Nils

 

[guybrush 19]

Hi Nils,

 

danke für deine Antwort. Ich hätte hier gerne Bitlocker verwendet, weil u.a. die Datenträger auch erst gar nicht angezeigt werden und somit auch schon kein Dirlisting möglich ist. Weiters - das stell ich jetzt mal in den Raum, bis ich eines Besseren belehrt werde - glaube ich auch, dass solche Verschlüsselten Volumes auch vor Ransomware geschützt sind, weil ja auch die Files nicht zugegriffen werden kann.

 

Nun gut, dann muss ich die Volumes bewusst dismounten, wenn ich vom PC gehe.

 

Danke für dein Feedback.

LG Guy

[mwiederkehr 382]

Bei Tools, die auf Volume-Ebene verschlüsseln, wirst Du um ein Unmount beim Abmelden nicht herumkommen. Du könntest aber zum Beispiel den schnellen Benutzerwechsel deaktivieren und das Unmounten über ein Abmeldescript automatisieren.

 

Bezüglich Ransomware sehe ich keinen Vorteil: solange das Volume gemountet ist, hat jegliche Software darauf Zugriff.

[guybrush 19]

Solang sie gemountet sind, ja. Deshalb wollte ich sie gern ungemountet haben, wenn wer anders (=unversierter User)  am Gerät arbeitet, weil dann eben kein Zugriff möglich gewesen wäre. Wenn ich nur mit Berechtigungen arbeite, bin ich nicht sicher. Ohne recherchiert zu haben gehe ich jede Wette ein, dass es schon Ransomware gibt, die per privilege escalation dann die Berechtigungen ergattern, diese zu ändern. Aber ich sehe schon, das wird ein manueller Task bleiben, bzw ein Batchfile. Den schnellen Userwechsel möchte ich behalten, der ist schon sehr bequem :)

 

Backups mache ich eh regelmäßig auf externe Platten, die dann abgesteckt werden. Somit sollts passen...

[MurdocX 953]

vor 12 Stunden schrieb guybrush:

Ohne recherchiert zu haben gehe ich jede Wette ein, dass es schon Ransomware gibt, die per privilege escalation dann die Berechtigungen ergattern, diese zu ändern.

Ich hake hier mal kurz ein. Wenn es Ransomware auf das Gerät schafft, dann hast du vermutlich größere Probleme, als nur die eine verschlüsselte Partition.  

 

vor 12 Stunden schrieb guybrush:

Den schnellen Userwechsel möchte ich behalten, der ist schon sehr bequem :)

Sicher, den nutze ich gerne auch. Was du hier übersiehst ist, dass sobald der Computer gesperrt wurde, es möglich ist sich an dem PC als ein anderer Benutzer anzumelden und auf die Daten zuzugreifen. Da beißt sich die Katze in den Schwanz  

[daabm 1.366]

Am 16.6.2020 um 09:34 schrieb MurdocX:

Was du hier übersiehst ist, dass sobald der Computer gesperrt wurde, es möglich ist sich an dem PC als ein anderer Benutzer anzumelden und auf die Daten zuzugreifen. Da beißt sich die Katze in den Schwanz  

Bei RDS-Hosts ist das seit Jahrzehnten das selbe. Falsche lokale Security und der Host ist owned. Das gilt grundsätzlich identisch für Clients. Und zwar mit oder ohne Fast User Switching.

Security by obscurity ist halt oldschool, Security by design wäre aktuell