Benutzer-Werkzeuge

Webseiten-Werkzeuge


public:daten_vor_unbefugtem_zugriff_schuetzen

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
public:daten_vor_unbefugtem_zugriff_schuetzen [2016/05/19 11:42]
beckelu [truecrypt]
public:daten_vor_unbefugtem_zugriff_schuetzen [2020/07/10 11:49] (aktuell)
schwerdt [Betriebssystemabhängige Alternativen]
Zeile 5: Zeile 5:
 === Verschlüsselung - komplexerer Schutz === === Verschlüsselung - komplexerer Schutz ===
 ===== Grundlegende Überlegungen ​ ===== ===== Grundlegende Überlegungen ​ =====
-Anwendungsprogramme legen Daten normalerweise unverschlüsselt auf Festplatten ​oder Serverlaufwerken ab. Nur in Ausnahmefällen werden als sensibel bekannte Daten, wie z.B. Passworte automatisch verschlüsselt,​ abgelegt. ​ Der einzige Schutz der abgelegten Daten besteht also standardmäßig in den gesetzten Zugriffsrechten. Die IVV5 setzt daher Zugriffsrechte auf Benutzerhomes und Arbeitsgruppenshares so restriktiv wie möglich. Auch manche Programme sichern ihre abgelegten Daten automatisch durch restriktive Zugriffsrechte.  +Anwendungsprogramme legen Daten normalerweise unverschlüsselt auf FestplattenServerlaufwerken ​oder externen Datenträgen ​ab. Nur in Ausnahmefällen werden als sensibel bekannte Daten, wie z.B. Passworte automatisch verschlüsselt,​ abgelegt. ​ Der einzige Schutz der abgelegten Daten besteht also standardmäßig in den gesetzten Zugriffsrechten. Die IVV5 setzt daher Zugriffsrechte auf Benutzerhomes und Arbeitsgruppenshares so restriktiv wie möglich. Auch manche Programme sichern ihre abgelegten Daten automatisch durch restriktive Zugriffsrechte.  
-Werden die Daten auf den lokalen Festplatten der Arbeitsplatzrechner abgelegt, so sind sie trotz korrekt gesetzter Rechte nicht sicher, wenn ein Dritter physikalisch Zugriff auf den Rechner hat. Bei Daten auf Serverlaufwerken besteht dieses Problem nicht, da ein physikalischer Zugriff auf die Systeme durch Dritte wegen bestehender Alarmsicherungen weitestgehend ausgeschlossen werden kann. Jedoch ist es hier noch wichtiger, die Zugriffsrechte korrekt gesetzt zu haben, da die Daten standardmäßig über das LAN abgerufen werden können. Da die Berechtigungssysteme der heutigen Betriebssysteme eine erhebliche Komplexität erreicht haben, kommt es bei Anpassungen von Berechtigungen immer mal wieder zu ungewollten Nebeneffekten in Form zu liberal gesetzter Zugriffsrechte. ​Wer also auf Nummer sicher gehen will, der sollte seine sensibelen Daten verschlüsseln. +Werden die Daten auf den lokalen Festplatten der Arbeitsplatzrechner abgelegt, so sind sie trotz korrekt gesetzter Rechte nicht sicher, wenn ein Dritter physikalisch Zugriff auf den Rechner hat. Bei Daten auf Serverlaufwerken besteht dieses Problem nicht, da ein physikalischer Zugriff auf die Systeme durch Dritte wegen bestehender Alarmsicherungen weitestgehend ausgeschlossen werden kann. Jedoch ist es hier noch wichtiger, die Zugriffsrechte korrekt gesetzt zu haben, da die Daten standardmäßig über das LAN abgerufen werden können. Da die Berechtigungssysteme der heutigen Betriebssysteme eine erhebliche Komplexität erreicht haben, kommt es bei Anpassungen von Berechtigungen immer mal wieder zu ungewollten Nebeneffekten in Form zu liberal gesetzter Zugriffsrechte. ​Daher gibt es eine Richtlinie ​der WWU die festgelegt hat das alle externen Datenträger und Mobilgeräte (z.B.Laptops) ​zu verschlüsseln sind. Bei durch der IVV5 verwalteten Notebooks werden ​die Geräte ​verschlüsselt. ​Bei Windows mit Bitlockerbei macOS mit FileVault2 und Linux mit EFS. Dies machen wir bereits während der Installationen für SieFür die Verschlüsselung von externen Laufwerken (USB-Sticksexterne Festplatten) finden Sie in diesem Wiki Anleitungen.
-Viele Betriebssysteme bieten Verschlüsselungsmechanismen anHierbei kommt es jedoch immer wieder ​zu Problemen oder zu Datenverlusten,​ weil die verwendeten Verfahren bei der Verschlüsselung Informationen über den Benutzer oder den Rechner, auf dem verschlüsselt ​wird, verwendenÄndert sich nun an dieser Basisinformation etwasso kann die Entschlüsselung problematisch oder sogar unmöglich wärenWir empfehlen daher nur Verfahren, ​die ausschließlich an der Kenntnis eines Passwortsmit dem verschlüsselt wird, abhängen.+
 ===== Veracrypt ===== ===== Veracrypt =====
-Veracrypt gibt es sowohl für Windows als auch für Mac OS X. Mit Veracrypt kann man eine (verschlüsselte) Datei (Container) anlegen, die als Laufwerk gemountet werden kann und in der dann Daten abgelegt werden können. Diese verschlüsselte Datei kann auf beliebigen Medien (Netzlaufwerk,​ lokales Laufwerk, USB-Festplatte,​ etc.) abgelegt werden. Die verschlüsselte Datei kann unter verschiedenen Betriebssystemen gemountet werden, sofern das in der Datei verwendete Dateisystem kompatibel ist. +Veracrypt gibt es sowohl für Linux, ​Windows als auch für Mac OS X. Mit Veracrypt kann man eine (verschlüsselte) Datei (Container) anlegen, die als Laufwerk gemountet werden kann und in der dann Daten abgelegt werden können. Diese verschlüsselte Datei kann auf beliebigen Medien (Netzlaufwerk,​ lokales Laufwerk, USB-Festplatte,​ etc.) abgelegt werden. Die verschlüsselte Datei kann unter verschiedenen Betriebssystemen gemountet werden, sofern das in der Datei verwendete Dateisystem kompatibel ist. 
 Dieser Ansatz hat verschiedene Nachteile: Dieser Ansatz hat verschiedene Nachteile:
   * Die verschlüsselte Datei hat eine feste maximale Größe.   * Die verschlüsselte Datei hat eine feste maximale Größe.
Zeile 15: Zeile 14:
 Veracrypt ermöglicht auch die Verschlüsselung ganzer Partitionen inklusive der Systempartition. Vom Einsatz dieser Eigenschaft raten wir momentan ab, da die Auswirkungen auf den Betrieb in einem zentral gewarteten Netzwerk noch nicht untersucht wurden. Veracrypt ermöglicht auch die Verschlüsselung ganzer Partitionen inklusive der Systempartition. Vom Einsatz dieser Eigenschaft raten wir momentan ab, da die Auswirkungen auf den Betrieb in einem zentral gewarteten Netzwerk noch nicht untersucht wurden.
 === Installation === === Installation ===
-Auf den Windows-Rechnern in der Domäne ivv5net wird über das Softwarecenter Veracrypt zur Installation durch die BenutzerInnen angeboten. Auch auf den von der IVV5 gewarteten Mac OS X-Rechnern wird veracrypt über die geführte Softwareaktualisierung zur Verfügung gestellt.+==macOS== 
 +Auf macOS Rechnern die von der IVV5 verwaltet werden wird Veracrypt in der "​Geführten Softwareaktualisierung"​ angeboten.  
 +==Windows== 
 +Auf den Windows-Rechnern in der Domäne ivv5net wird über das Softwarecenter Veracrypt zur Installation durch die BenutzerInnen angeboten.
 === Einrichtung === === Einrichtung ===
-Zu Veracrypt gibt es ein ausführliches [[https://veracrypt.codeplex.com/wikipage?​title=Beginner%27s%20Tutorial|Tutorial]]. ​Für den Vorgänger von Veracrypt, truecrypt, haben wir eine Anleitung: [[public:USB Speicher mit TrueCrypt verschlüsseln]] erstellt+Zu Veracrypt gibt es ein ausführliches [[https://www.veracrypt.fr/en/​Beginner%27s%20Tutorial.html|Tutorial]]. 
 + 
 +===== Betriebssystemabhängige Alternativen ===== 
 +Windows als auch macOS verfügen jeweils auch über eigene Verschlüsselungsmethoden. Diese sind allerdings für das jeweilige Betriebssystem implementiert. Der Vorteil ist die sehr gute Integration in das jeweilige Betriebssystem. 
 + 
 +=== Windows === 
 +Hier finden Sie die [[https://​www.uni-muenster.de/​IVV5WS/​DocWiki/​doku.php?​id=public:​windows_bitlocker|Anleitung]] für Windows. 
 + 
 +=== macOS === 
 +Hier finden Sie die [[https://​www.uni-muenster.de/​IVV5WS/​DocWiki/​doku.php?​id=public:macos:​verschluesselung_von_usb-sticks_mit_dem_festplattendienstprogramm|Anleitung]] für macOS. 
 + 
 + 
public/daten_vor_unbefugtem_zugriff_schuetzen.1463650926.txt.gz · Zuletzt geändert: 2016/05/19 11:42 von beckelu