Tipps/Empfehlungen zu VeraCrypt

Hallo alle zusammen,

welche Einstellungen würdet Ihr bei VeraCrypt und Win 10 empfehlen, wenn das Notebook kaum bis gar nicht ausgeschaltet wird, Win10-Updates gemacht werden sollen, ohne dass man vorher entschlüsseln muss?

Kann man ansonsten den Sperr-Bildschirm auch über VeraCrypt schützen lassen, oder ist das immer eine Sicherheitslücke, die jemand mit einem entsprechend modifizierten USB-Stick durchbrechen kann?

Was sagt Ihr zur gleichzeitigen Nutzung beim verschlüsselten System von O&O-Defrag 23 mit der SSD-SOLID-COMPLETE-Funktion, beißt sich das mit VeraCrypt bzw. generell mit Verschlüsselungen?

Ich muß jetzt mal ganz ehrlich fragen, ob du weißt, wovon du da oben überhaupt sprichst??
Was willst du denn überhaupt einstellen bei Veracrypt genau in diesem beschriebenen Fall? Wenn das Laptop hochgefahren ist und läuft, ist die HDD / SSD doch schon lange entschlüsselt - dann werden im Normalfall auch automatisch die Updates installiert…sollte es dann zu einem Neustart des Systems kommen, wird die Platte automatisch wieder entschlüsselt, wenn die entsprechende Key-Datei zum Beispiel per USB-Medium am Gerät hängt oder du wirst zu einer manuellen Eingabe des Schlüssels aufgefordert…

  1. Der Windows-Sperrbildschirm ist, wie der Name schon sagt, ein Bestandteil deines Betriebssystem! Da dieses auf einer verschlüsselten Partition liegt, ergibt sich die Antwort von selbst!
  2. Von was für einen modifizierten USB-Stick redest du dabei denn? Meinst du damit einen sogenannten Boot-Stick auf dem z.B. eine Live-Linuxdistribution dann zum Einsatz kommen würde? Oder event. doch den Stick, den du mit Vera erstellt hattest zur Entschlüsselung?
  3. Wenn du dein Laptop verschlüsselt hast, besitzt im Nrmalfall nur du den Schlüssel, um die Speicher zu entschlüsseln. Wenn dritte Personen an diesen Key herangekommen sind, egal wie und warum, ist die Vershlüsselung per se fürn Poppes!
  4. Jemand, der dein Gerät mittels eines Linux-Livesystem gestartet hat, kann zwar mit dem Läppi arbeiten, da das OS im Arbeitsspeicher ausgeführt wird, er kommt trotzdem natürlich nicht an deine Daten auf der verschlüsselten Platte ran…das eine hat mit dem anderen überhaupt nichts zu schaffen!

Nö…rein technisch nicht ! Wenn du dir allerdings durch das Defragmentieren einer SSD einen Geschwindigkeitsgewinn versprichst, wirst du mit oder auch ohne Verschlüsselung enttäuscht werden. Der positive Nebeneffekt bei dem Defrag einer SSD kann (muß aber nicht, kann sogar schädlich sein) die Minimierung der Schreibzyklen sein, welche eigentlich nur den „Verschleiß“ einer SSD verringern können!
Die Prozedur, welche bei dem O&O Defrag durchläuft, ist dem Sinne keine reine Defragmentation, wie man sie bei HDDs kennt, sondern nur eine Zusammenführung der „Hive-Dateien“.
Die eigentliche „Bremse“ im System, trotz SSD, ist der Verschlüsselungsalgorithmus selber, da bei JEDEM Zugriff auf die Daten viel mehr Berechnungen stattfinden müssen!!

2 „Gefällt mir“

Wenn du deine System-Festplatte verschlüsselt hast, dann ist es tatsächlich notwendig, beim großen Win10-Update (z.B. 1809 auf 1903) VeraCrypt vorher zu deaktivieren. Also die Verschlüsselung der System-Partition komplett ausschalten. Beim großen Update reicht es nicht, wenn du mit dem PW die Partition während des Update-Vorgangs beim Neustart entschlüsselt. Das Update schlägt am Ende fehl. Is mir selber schon passiert, dass ich VeraCrypt nicht deaktiviert habe und somit das Update fehl schlug… Da muss man damit leben, dass so eine Deaktivierung der Verschlüsselung bis zu 2h dauert und nach dem Upate die Neu-Verschlüsselung auch wieder 2-3h.

Bei den normeln Updates brauchst die Verschlüsselung nicht zu deaktivieren. Da funktioniert es so wie @VIP bereits geschrieben hat.

Und deine Frage wegen dem Sperrbildschirm versteh ich auch nicht ganz. Da gibt es nichts zu schützen, außer die Eingabe des Win-Passwortes. Wenn das Notebook an ist und Windows läuft dann ist es grundsätzlich entschlüsselt. Der Rechner oder das Notebook ist mit VeraCrypt nur im ausgeschalteten Zustand verschlüsselt. Und wenn die System-HDD ausgebaut und in einen anderen Rechner eingesetzt wird. Wenn man solche Bedenken wie du hast, dann sollte man das Notebook nicht den ganzen Tag laufen lassen. Was nützt mir ne Systemverschlüsselung, wenn ich es sowieso nie ausschalte?

Bei SSD gibt es nichts zu defragmentieren. Damit zerstörst du tatsächlich früher oder später deine Festplatte. Bei SSD gibts die TRIM-Funktion, womit man ne SSD potenter machen kann. TRIM wird aktiviert und dann optimiert sich die Platte immer von selber.

Von einer Defragmentierung raten die HDD-Hersteller doch schon seit Jahren ab. Damit zerstört man bei modernen Festplatten mehr, als dass es was nützt. Vor 10 Jahren war ne Defragmentierung ein geeignetes Mittel der Optimierung, aber mittlerweile sind die HDD´s so weit fortgeschritten, dass es das einfach nicht mehr nötig macht.

Genau…hatte ich, glaube ich, drauf hingewiesen in Klammern! Das ist ja einer der Gründe, warum O&O kein wirkliches Defrag macht, auch wenn die Werbung da gerne was anderes sugeriert!
Die sogenannten „Hives“ werden halt nur sortiert und ggfs. zusammengefügt - dadurch weniger schreibende Zugriffe, was dort dann mit Erhöhung der Lebensdauer werbetechnisch ausgeschlachtet wird… :wink:
Der Zeitgewinn dadurch soll wohl im 1/100 ms Bereich liegen…das merkt man garantiert als User :rofl:

@Fransl

Weitere Infos zu SSD (Arbeitsweise / Aufbau usw.) findest du z.B. hier:

https://www.elektronik-kompendium.de/sites/com/1105091.htm

Zum TRIM-Befehl:
Anders als bei herkömmlichen Festplatten kann die SSD-Kontrolleinheit – der Controller – Speicherzellen mit gelöschten Dateien nicht unmittelbar mit neuen Daten überschreiben. Bevor das Ablegen neuer Dateien auf solchen Laufwerksbereichen klappt, fällt eine explizite Bereinigung an. Diese Leerung verzögert zum Beispiel die Videodatei-Erstellung und kostet wertvolle Zeit. Bei viel freiem Speicherplatz erweist sich dieser Umstand als weniger tragisch. Steht wenig freier Speicher zur Verfügung, wiegt die nötige Speicherzellen-Bereinigung schon schwerer. Abhilfe schafft der TRIM-Befehl: Mit ihm teilt das Betriebssystem dem SSD-Laufwerk mit, welche Daten gelöscht sind, da der SSD-Controller darüber keinen eigenen Zugriff hat, wie das OS zum Beispiel. Im Leerlauf kümmert sich das Speichermedium dann um eine Bereinigung. Selbige vor dem Speichern neuer Dateien gesondert vorzunehmen, entfällt.
Alles weitere darüber hinaus, ist nicht nur überflüssig, sondern auf Grund der technischen Beschaffenheit und dem Aufbau einer SSD nur kontraproduktiv !

Wie schützt man sein laufendes System, was im Hintergrund etwas macht und man vielleicht nicht anwesend ist, davor, dass sich jemand mit einem modifizierten USB-Stick darauf Zugriff verschaffen möchte?

Es wurde was von einer zusätzlichen USB-Stick-Funktion geschrieben, PID, oder so, was ist damit gemeint?
Etwa ein Stick, wenn ich den z.B. währen des laufenden Betriebs abziehe, dann läuft das System geschützt weiter, aber Zugriff habe ich erst wieder, wenn ich den Stick wieder einstecke?

Mit „Updates bei verschlüsselter Systempartition“ ist tatsächlich gemeint, dass wenn mal wieder ein größeres Update erscheinen sollte, nach dem 1909´er, ob es evtl. halt wieder notwendig sein soll, dass man vorher entschlüsseln muss und danach wieder verschlüsselt?

Und lieber O&O-Defrag/Solid-Complete (https://www.oo-software.com/de/press_releases/oo-defrag-22-ssds-langer-nutzen-dank-neuartiger-solid-methode-3 UND https://blog.oo-software.com/de/neu-oo-defrag-23-pro-jetzt-mit-weltweit-erstmaliger-ssd-optimierung-solidcomplete) deinstallieren und es Win10 lieber komplett alleine machen lassen?

Aber warum bewerben bzw. entwickeln die das denn und preisen es schlimmstenfalls als noch viel besser als den/die TRIM-Befehl/-Einstellung an?
Nur Marketing-Gag und Kunden-Verarsche, oder ist da doch was dran?

Irgendwie habe ich, wie Ghandi schon schrieb, auch das Gefühl, dass VeraCrypt in irgendeiner Form auch sehr sehr schlau negativ manipuliert wurde, sodass selbst Spezialisten dies nicht wirklich sofort aufdecken könnten, da´s evtl. bei jedem Updaten gleich kt weiter optimiert wird!

Das könnte dann ja auch eigentlich auch für alle Verschlüsselungs-Möglichkeiten gelten, wenn sich die entsprechenden Institutionen bei „dunklen Quellen unveröffentlichte Lücken“ mit Steuer-Geldern kaufen.

Alles gut!

Mir ist hier teilweise nur mal aufgefallen, dass der Umgangston doch manchmal zu wünschen lässt.

Also wenn jemand nur durch´s rumgejammer und meckern zum Senior-/Premium-/Old-/Erfahrener-Member kommt und nicht durch konstruktive Beiträge, dann finde ich das nicht wirklich gut!

Die Newbies müssten ja eigentlich davon ausgehen, wenn jemand schon viele Nachrichten verfasst hat, dass er idealerweise auch Seriösität ausstrahlt, doch leider ist dem nicht immer so.

Das ist echt schade, dass man sich im Internet hinter einem Pseudonym nicht so verhalten kann, als wenn man der Person persönlich gegenübersteht und ihr direkt antwortet.

1 „Gefällt mir“

Gleichzeitig hast Du einige Antworten auf deine gestellten Fragen bekommen. Unklar gestellte Fragen muss man auch als solche ansprechen dürfen, damit Du die Fragen konkreter stellst. Ich stand auch erstmal auf dem Schlauch, worauf Du hinaus willst…

wenn du zuvor den pc sperrst und dich nur wieder einloggen kannst, mit einem guten passwort, ist ja schonmal der direkte zugriff aufs system beschränkt!
da ein usb-stick im originalzustand nur ein „nackter“ speicher ist (usb-sticks, die selbstständig programme ausführen können nach dem einstecken, sind sehr selten & immens teuer!), können modifikationen auf diesem speicher nicht automatisch durchgefürt werden! das beinhaltet aber auch, dass man den stick als boot-medium einsetzen müsste, damit die modifikationen im live-status ausgeführt werden.
um diesen neustart über den stick zu verhindern, kannst du im bios doch die startreihenfolge explizit auf deine interne hdd / ssd beschränken. alles andere wie dvd-laufwerk oder usb schaltest du konsequent ab!
um eine manipulation der startreihenfolge zu verhindern, wird das bios ebenfalls passwort-geschützt. somit kann man beim startvorgang des gerätes, die boot-reihenfolge auch nicht mehr umstellen!

alternativ könnte man auch generell übers windows-system einen zugriff auf die usb-ports sperren, was dann aber auch den legitimierten nutzer beim arbeiten am gerät einschränkt!
dazu gibt es zwei möglichkeiten, entweder über eine eingerichtete gruppenrichtlinie (verfügbar nur ab windows pro versionen), oder über einstellungen in der windows-registry selber!

Die Einstellung in den Gruppenrichtlinien finden Sie in den Administrativen Vorlagen der Computerkonfiguration unter System/Wechselmedienzugriff. Dort können Sie für jeden Datenträgertyp explizit festlegen, für welche Aktionen er gesperrt werden soll. Wenn Sie die Option Alle Wechselmedienklassen: Jeglichen Zugriff verweigern aktivieren, sind auch eventuell vorhandene CD-, DVD- oder gar Diskettenlaufwerke gesperrt, von denen natürlich ebenfalls eine Gefahr ausgehen kann. Beim Versuch, auf einen Wechseldatenträger zuzugreifen, erhält der Nutzer nun die Meldung Zugriff verweigert.

Wenn Sie die Sperre für USB-Datenträger über die Registry einrichten, tauchen diese nach dem Einstecken gar nicht mehr im Explorer auf. Navigieren Sie dazu im Registry-Editor zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\USBStor und setzen Sie dort den Wert des Schlüssels Start von 3 auf 4.

wenn man nun alle diese punkte beherzigt, sollte ein zugriff von aussen, jenseits des eigenen windows-benutzerkonto, nicht mehr möglich sein!

noralerweise werden diese gemeinten build-updates (höhere versionsnummer) gar nicht erst automatisch angeboten, wenn die systempartition mit veracrypt o.ä. verschlüsselt wurde.
sollte es doch ein automatisches angebot dazu geben, bzw. man entscheidet sich für ein manuelles build-update, sollte man den längeren weg gehen, die partition VORHER zu entschlüsseln und erst wieder zu verschlüsseln, wenn das update inkl. neustarts installiert wurde!!
zur erklärung sollte man sich mal vor augen führen, dass ein build-update, sehr nahe an eine neuinstallation herankommt und auch ähnlich arbeitet. da sind doch fehler während der installation oder im anschluß schon vorprogrammiert, aus den verschiedensten gründen!

nachdem, was man von o&o an informationen bekommt, ist dieses neue tool, nichts anderes als der altbekannte TRIM-befehl, verpackt in einer eigenen neuen gui. ansonsten gebe ich vip zuvor völlig recht bei seinen ausführungen oben!
ich würde die optimierung dem betriebssystem alleine überlassen bzw. mal schauen, was der hersteller der ssd eventuell an neuer firmware oder programmen dazu anbietet. da die hersteller auch für die garantie zuständig sind, werden sie bestimmt nichts veröffentlichen, was der lebensdauer der platte schadet! o&o will einfach nur verkaufen und stellt etwas als neu und revolutionär vor, was letztendlich nur etwas bekanntes beinhaltet in einem neuen outfit!
:wink:

1 „Gefällt mir“