Festplattenverschlüsseln

hm, ich habe meine verschlüsselungs- und versteckparanoia schon vor einiger zeit erfolgreich abgelegt.
heiß nicht, ich empfange unbekannte mit offenen toren, aber ich betreibe auch nicht mehr aufwand als sinnvoll nötig
das ganze extrem-verschlüsseln und absichern und verstecken und was auch immer steht für mich in keinem akzeptablen verhältnis des nutzen zum aufwand
bei mir läuft keine firewall und kein ständig aktiver virenscanner und trotzdem läuft mein windows system seit 2,5 jahren im dauereinsatz stabil. damit kann ich wohl mit ein wenig stolz sagen, dass es zu einer recht geringen altersschicht gehört

nundenn. wenn man wirklich seine paranoia ausleben will, sollte man schon nei der konzeptplanung anfangen.
das geht los mit dem gehäuse. es sollte ein mainboard und gehäuse sein, welches eine chassis intrusion funktion unterstützen um mal generell ein öffnen des gehäuses zu vermeiden.
alternativ kann man das gehäuse natürlich auch wegsperren, und nur kabel dann rausgehen lassen.
dann geht es weiter bei einrichten des bios. sollte dann ein master passwort beim booten abgefragt werden, ohne dass es nicht weitergeht.
für die festplatte sollte man dann eine pci-crypt karte nutzen, von welcher gebootet wird und welche die angeschloßene system-hdd hardwaremässig mit einem sicheren algorithmus verschlüsselt und den zugriff nur nach erfolgter eingabe des richtigen passwortes freigibt.
dann sollte man von windows abschied nehmen und sich ein netbsd draufmachen. eines der sichersten OS in der standarinstallation.
grundsätze sind dann: den root account mit einem 4096bit key (oder aes) auf einem entfernbaren medium (z.b. usb stick) absichern. und für den normalenn betrieb nur schwach priviligierte user accounts nutzen.
dazu firewall auf block all stellen und nur die ports öffnen die man auch wirklich braucht.
regelmässige nach updates schauen (1 mal täglich), sicherheitsmailinglisten lesen und von zeit zu zeit das system mit gängigen tools checken.
bei internetzugang empfiehlt es sich natürlich auch her ein router mit einer guten firewall und intrusion detection system vorne dran laufen zu lassen. per mac-acl und vpn zugang beschränken und gut ist.

soviel zu einem sicheren system. sowas könnte dann sogar in kritischen umgebungen eingesetzt werden.

die realität sieht ja immer ein wenig anders aus...
wir gehen mal davon aus, dass keiner physischen zugang zum system hat und lassen den punkt unbeachtet (man kann sich da jetzt darüber streiten, warum sollte man überhaupt etwas verschlüsseln, wenn sonst keiner direkten zugriff auf das system haben kann, aber naja wir wollen ja nicht das sicherheitsgefühl ankratzen).
dann braucht man kein bios passwort, und die hdd muss nicht schon vorm booten komplett verschlüsselt sein
installiert wird dann wohl ein windows xp oder 2000 auf ntfs (fat ist ungut).
man hört vielerorts, man sollte auch bei windows nicht permanent einen administrator account nutzen, sondern im alltag einen accoutn mit weniger privilegien. aber ehrlich gesaht, ist das nicht machbar, zu oft und für zuviel braucht man admin rechte...
zur verschlüsselung von daten bieten sich entweder onboard tools an. das wäre dann die hauseigene EFS verschlüsselung (nicht in home edition enthalten). die ist sicher. richtig sicher aber nur wenn man den sicherheits-wiederherstellungsschlüssel exportiert und löscht. EFS kann ohne den trick über diesen wiederherstellungsschlüssel zum jetzigen stand nicht auf die schnelle geknackt werden.
alternativ, wenn man die home edition nutzt, oder den MS heinern kein vertrauen schenkt, kann ich truecrypt empfehlen. freeware, opensource, aes, twofish, serpent, blowfish, triple-des alles dabei und zwar nicht nachweislich sicher, aber nach dem jetzigen kenntnisstand das absolut sicherste. damit kann man container anlegen, in die man daten verschieben kann.
wenn man einzelne dateien nur verschlüsseln will, bieten sich diverse pgp-derivate an. original pgp, gnupgp und was weiß ich noch alles.
ansonsten von firewalls halte ich nicht viel, aber zone alarm dürfte wohl am sinnvollsten sein. generell sollte man alle ports sperren und nur die benötigten wieder aufmachen (sollte auch standard-einstellung bei zone alarm sein)
als antivirenscanner habe ich die besten erfahrungen mit kaspersky gemacht. recht flott und beste erkennungsrate. alternativ gibts kostenlos free-antivir. zwar nervig bei updates weil sie kein inkrementielles system haben, aber dafür dass es kostenlos ist, recht aktuell und funktionsreich.

ich hoffe, das war eine brauchbare antwort auf die fragen. wie gesagt ich bin nicht mehr der verschlüsselungs-fetischist. ich habe keine daten auf meinem pc von denen die existenz der menscheit abhängt. auf deutsch ohne sarkasmus: ich bin nciht wirklich soo wichtig, als dass sich der aufwand lohnen würde mein system zu komprimitieren

//natürlich gibts auch noch andre programme die mehr oder weniger gut ihre aufgabe machen, das oben genannte ist eine subjektive auswahl, die auf erfahrungen und auf wissen von dn verwendeten techniken beruht

--Rehtsel--

:pfct: Rehtsel !!
Die texte die du da immer hinknallst sind schon beindruckend ....
Liesst sich 1a !!

Ich hab nur ne HW-FW die die ganzen 10 Leute die meine INet Verbindung nutzen,
in schach zu halten... AV drauf und gut ist...

:chrz:

Und immer schön vorsichtig mit Tools und Programmen.
Die sind genau so fehlerhaft wie alles andere.
Nur in diesem Fall gibt es richtigen Datenverlust und nicht nur einen Crash.

:tlt:Cheers:tlt: