[W7]Booten van een VHD, maar met encryptie er in

vrijdag 16 september 2011 11:56

Acties:

0 Henk 'm!

Topicstarter

Ik heb van het werk een laptop, en daar staat een Windows 7 installatie op die volledig dichtgetimmerd is...

Ik zou voor een dualboot kunnen gaan, maar ik ben nogal gecharmeerd van het idee van te kunnen booten vanaf een VHD. Oorspronkelijk wou ik voor XenClient gaan, maar de image die op dit bakje staat zou daar niet mee samenwerken, en een aparte image voor één persoon onderhouden gebeurt bij ons niet... Daarom de dualboot/VHD-boot optie...

Nu had ik graag het volgende bewerkstelligd:

HARDWARE
   - Windows 7 van het bedrijf
   - VHD
     -- Windows 7 Privé Encrypted met TrueCrypt

Ik durf het nog niet onmiddellijk, want stel nu dat ik begin te encrypten en het is de hele schijf, dan is die partitie van het werk ook encrypted, ik moet dan beginnen "klooien" met bootloaders en daar ben ik zowieso al heel voorzichtig mee, zeker als je op verschillende niveau's bootloaders hebt (eerst op de hardware, daarna ook nog eens in de VHD (of klopt dit niet?)), dus daarom de vraag of dit mogelijk lijkt...

vrijdag 16 september 2011 13:40

Acties:

0 Henk 'm!

alt-92

ye olde farte

Microsoft Windows 7

Die VHD zal of op een andere disk of een andere non-encrypted volume moeten staan.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 16 september 2011 14:38

Acties:

0 Henk 'm!

HyperBart

Topicstarter

alt-92 schreef op vrijdag 16 september 2011 @ 13:40:
Die VHD zal of op een andere disk of een andere non-encrypted volume moeten staan.

Daar heb ik geen probleem mee, maar de data in de VHD moet encrypted zijn... Ik weet dat je met TrueCrypt een gewone installatie van Windows kan encrypten, maar dat wil ik nu doen met de installatie IN de VHD...

vrijdag 16 september 2011 16:41

Acties:

0 Henk 'm!

Bartjezz

Dat zal helaas niet gaan... Gewoon omdat die optie niet bestaat. Je pc zou veel en veel meer tijd kwijt zijn met rekenen om je harddisk te en/decrypten dan echt ermee werken...
Ik zou een beveiligde map maken met daarin je VHD en die map vrijgeven zodra je je VM wil gebruiken...

vrijdag 16 september 2011 16:44

Acties:

0 Henk 'm!

HyperBart

Topicstarter

Bartjezz schreef op vrijdag 16 september 2011 @ 16:41:
Dat zal helaas niet gaan... Gewoon omdat die optie niet bestaat. Je pc zou veel en veel meer tijd kwijt zijn met rekenen om je harddisk te en/decrypten dan echt ermee werken...

Denk je? Het verlies aan disk performance heb ik niet zo veel schrik voor... een i7 en 8GB geheugen, voor wat basic taken en een film te kijken... Vlot genoeg...

Ik zou een beveiligde map maken met daarin je VHD en die map vrijgeven zodra je je VM wil gebruiken...

Wordt wel problematisch he, als er nog geen Windows geboot is

[ Voor 16% gewijzigd door HyperBart op 16-09-2011 16:45 ]

vrijdag 16 september 2011 17:12

Acties:

0 Henk 'm!

Ulysses

Hyperbol

Men neme een USB-stick van 8GB, gooie daar een OS naar keuze op, doet daarmee shady dingen die bedrijfsadjes niet mogen zien/willen toestaan.
Als je bij je bootvolgorde kan is ie dus niet bijzonder hard dichtgetimmerd

Eventueel dit nog uit te breiden met USB-volume voor opslag van whatever.
Dit gaat niet bijzonder rap, maar wat jij wil ook niet. En dit is volledig te scheiden, dus no-chance dat je er toch gezeur mee krijgt.
Zou persoonlijk als bedrijfsadje niet gecharmeerd zijn van personeel dat privé installaties op het materiaal van het werk zet. (In context dichttimmeren, lijkt mij dit dan weer impliciet)

[ Voor 8% gewijzigd door Ulysses op 16-09-2011 17:38 . Reden: iets netter ]

Het leven is als koffie: heel lekker, maar veel te duur en zo weer op.

vrijdag 16 september 2011 17:26

Acties:

0 Henk 'm!

leuk_he

1. Controleer de kabel!

Die usb

Ulysses schreef op vrijdag 16 september 2011 @ 17:12:
Men neme een USB-stick van 8GB,

Om te booten van die VHD heb je een windows installatie disk(/usb) nodig). heeft de topic stater nog niet genoemd, maar is denk ik impliciet.

Je kunt toch een virtuele omgeving aan maken om dit te testen lijkt me? verkloot je nooit meer dan de virtuele omgeving. Virtualbox is zoo geinstalleerd, en diskruimte heb je nu nog gewoon. (of heb je niet genoeg rechten?)

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

vrijdag 16 september 2011 20:25

Acties:

0 Henk 'm!

alt-92

ye olde farte

Microsoft Windows 7

HyperBart schreef op vrijdag 16 september 2011 @ 14:38:
[...]

Daar heb ik geen probleem mee, maar de data in de VHD moet encrypted zijn... Ik weet dat je met TrueCrypt een gewone installatie van Windows kan encrypten, maar dat wil ik nu doen met de installatie IN de VHD...

Geen idee of TrueCrypt ook VHD volumes kan encrypten - waarschijnlijk wel als datadisk, maar niet als bootdisk.
Native wordt het sowieso niet ondersteund om logische redenen: de disk encryption is afhankelijk van een TPM die de hardware 'bijhoudt' en een VHD is geen hardware

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 17 september 2011 12:03

Acties:

0 Henk 'm!

HyperBart

Topicstarter

leuk_he schreef op vrijdag 16 september 2011 @ 17:26:
Die usb
[...]

Om te booten van die VHD heb je een windows installatie disk(/usb) nodig). heeft de topic stater nog niet genoemd, maar is denk ik impliciet.

Je kunt toch een virtuele omgeving aan maken om dit te testen lijkt me? verkloot je nooit meer dan de virtuele omgeving. Virtualbox is zoo geinstalleerd, en diskruimte heb je nu nog gewoon. (of heb je niet genoeg rechten?)

Ja, maar dan mis ik wat performance, vooral van de grafische kant van films, die ik nu mis...

Aan de andere kant, ik ben full local admin, alles wat je wil, maar bij het minste wat ook maar even "minder legaal" is omdat ik iets wil testen, gaan hier bij wijze van spreken de sirenes af (SCCM en inventories wat we allemaal installeren)... Wat ik kan begrijpen, maar ja, ik doe ook af en toe shady dingen...

alt-92 schreef op vrijdag 16 september 2011 @ 20:25:
[...]

Geen idee of TrueCrypt ook VHD volumes kan encrypten - waarschijnlijk wel als datadisk, maar niet als bootdisk.
Native wordt het sowieso niet ondersteund om logische redenen: de disk encryption is afhankelijk van een TPM die de hardware 'bijhoudt' en een VHD is geen hardware

Dat dus... Idd, volgens mij moet die data partitie encrypteerbaar zijn... Ik ga het eens proberen in een VM, daar Windows installeren, een VHD in die VM aanmaken, bootvolgorde aanpassen, booten van die VHD in de VM en dan encrypten, werkt dat, dan doe ik het op mijn laptop...

zaterdag 17 september 2011 12:14

Acties:

0 Henk 'm!

leuk_he

1. Controleer de kabel!

HyperBart schreef op zaterdag 17 september 2011 @ 12:03:
[...]

Ja, maar dan mis ik wat performance, vooral van de grafische kant van films, die ik nu mis...

Nee, ik bedoel dat je de VHD oplossing die je voorstaat kunt uittesten in een virtuele omgeving. Ik snap best dat de uiteindelijk omgeving niet gevirtualiseerd hoeft te zijn. Maar in een virtueele omgeving kun je prettig kloten met bootloaders zonder je werk partitie geraakt kan worden.

Moet je inderdaad nog uitvinden hoe..... vraag me af of Truecrypt zou samenwerken met vhd, zoals jij doet, maar je kunt het immers gewoon proberen. -> in de virtuele kloot omgeving.

Als het alleen voor films afspelen is, zou je uiteraard alleen daar een oplossing voor kunnen zoeken.

[ Voor 6% gewijzigd door leuk_he op 17-09-2011 12:15 ]

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

zaterdag 17 september 2011 12:21

Acties:

0 Henk 'm!

HyperBart

Topicstarter

Mja, het is ook algemener, ik wil dualboot maar niet met de problemen van dat ik met een disk vast zit, snap je? Als tijdelijk ruimte nodig heb, pak ik die VHD, gooi ik 'm op een externe USB-disk en ik kan weer verder, ik moet ook geen schrik hebben dat onbevoegden toegang krijgen tot mijn privé-machine...

Andere optie is en was XenClient, maar ik ga niet mijn pas gedeployede laptop terug opnieuw laten installeren of in het domein laten hangen en alle rotzooi weer moeten doorlopen bij internal IT... Alhoewel ik wel een heel groot voorstander ben van het principe van XenClient, gaat heel sterk in de richting van het BYO-principe en het kan personeel weer aanspreken omdat ze de volledige flexibiliteit van hun eigen OS hebben gecombineerd met de security van het bedrijf zelf...

maandag 19 september 2011 14:45

Acties:

0 Henk 'm!

HyperBart

Topicstarter

Is BitLocker eigenlijk nog een optie? Of kan men dan in principe door mijn wachtwoord te wijzigen terug opnieuw aan mijn data, neen toch?

maandag 19 september 2011 19:49

Acties:

0 Henk 'm!

alt-92

ye olde farte

Microsoft Windows 7

HyperBart schreef op maandag 19 september 2011 @ 14:45:

Is BitLocker eigenlijk nog een optie?

Er is geen support voor VHD Boot vanaf een Bitlockered VHD in Windows 7.
De reden heb ik boven al aangegeven.

Of kan men dan in principe door mijn wachtwoord te wijzigen terug opnieuw aan mijn data, neen toch?

?
Not sure what you mean.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 19 september 2011 23:05

Acties:

0 Henk 'm!

HyperBart

Topicstarter

alt-92 schreef op vrijdag 16 september 2011 @ 20:25:
[...]

Geen idee of TrueCrypt ook VHD volumes kan encrypten - waarschijnlijk wel als datadisk, maar niet als bootdisk.
Native wordt het sowieso niet ondersteund om logische redenen: de disk encryption is afhankelijk van een TPM die de hardware 'bijhoudt' en een VHD is geen hardware

Akkoord, maar een VHD is uiteindelijk maar een virtuele storage, dus aangezien hij volledige toegang heeft tot de hardware en dus ook de TPM-module moet hij toch BitLocker kunnen doen?

Omtrent mijn vraag over het wachtwoord: ik wou weten dat wanneer ik mijn volume encrypteer met BitLocker, en men "reset mijn wachtwoord" met een boot-CD'tje oid, of mijn data dan toegankelijk wordt aangezien beheerders dan mijn wachtwoord kennen... En dat kan dus, gezien het feit dat de key opgeslagen wordt in de TPM...

maandag 19 september 2011 23:22

Acties:

0 Henk 'm!

alt-92

ye olde farte

Microsoft Windows 7

HyperBart schreef op maandag 19 september 2011 @ 23:05:
[...]

Akkoord, maar een VHD is uiteindelijk maar een virtuele storage, dus aangezien hij volledige toegang heeft tot de hardware en dus ook de TPM-module moet hij toch BitLocker kunnen doen?

Kenmerk van een VHD is dat het slechts een file op een fysieke harddisk is en dus ook zomaar op een USB Drive of ergens anders kan staan - en dus een andere volumekey heeft.

Omtrent mijn vraag over het wachtwoord: ik wou weten dat wanneer ik mijn volume encrypteer met BitLocker, en men "reset mijn wachtwoord" met een boot-CD'tje oid,

Moet je allereerst een recovery key hebben om uberhaupt voorbij de disk encryption te komen. Geen RK = onleesbare disk.

of mijn data dan toegankelijk wordt aangezien beheerders dan mijn wachtwoord kennen...

Als je BRK ook in AD staat dan kunnen ze de encryptie ongedaan maken op die manier..
maar dan hoeven ze ook niet een password disk te gebruiken, immers is het makkelijker om gewoon jouw account te resetten en daarmee in te loggen.

En dat kan dus, gezien het feit dat de key opgeslagen wordt in de TPM...

Niet zonder meer. Maar goed, nu begrijp je waarschijnlijk ook waarom die VHD dan alleen zou gaan werken op die PC waar hij op encrypted is (want de ene TPM is de andere niet).

[ Voor 6% gewijzigd door alt-92 op 19-09-2011 23:25 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Onderwerpen