[encryptie] Welke dirs wel en welke niet?

Ik heb zo'n gevoel dat ze aan zo'n (logische) optie nog niet gedacht hebben in Redmond. Aangezien ik nog geen parallele instalatie heb wil ik het liever ook niet gaan uitproberen.

Haha, ja ze zijn oliedom daar , stap over op wat anders

Maar goed. Ik denk niet dat je zomaar door encriptie ervoor kunt zorgen dat je niet kunt booten, lijkt me zeeeer sterk. Minimaal een waarschuwing vooraf.

Zo even gebprobeerd (2 min) en het mag niet van windows

Jack Flushell schreef op 13 april 2004 @ 09:13:
[...]


Haha, ja ze zijn oliedom daar , stap over op wat anders

Maar goed. Ik denk niet dat je zomaar door encriptie ervoor kunt zorgen dat je niet kunt booten, lijkt me zeeeer sterk. Minimaal een waarschuwing vooraf.

Zo even gebprobeerd (2 min) en het mag niet van windows

Zo te horen heb jij meer informatie die de topicstarter graag wil hebben. Misschien kan je even iets uitgebreider posten wat je precies geprobeerd hebt; en wat er daarbij niet mocht van Windows? Welke folders heb je nu ge-encrypt?

Heel je harde schijf versleutelen kan je beter met een third-party tool doen. De encryptie binnen Windows zelf is meer bedoeld om gedeeltes op je HD te versleutelen.

Voorbeelden van full harddisk encrypty zijn o.a.:
Safeboot (solo) (http://www.safeboot.com)
DriveCrypt Plus Pack (http://www.securstar.com)
Safeguard (http://www.utimaco.com)

Je kan ook met andere tools alleen partities encrypten. Nadeel hiervan is dat je vaak eerst fysiek moet aanloggen (desktop) om de partitie benaderbaar te maken.

Via google ([google=Encryption for the Masses] of [google=on the fly encryption]) zijn daar legio (freeware) tools voor te vinden.

Hou er rekening mee dat je de sleutel(certificate) goed back-upped. Bij verlies(corrupt account) kun je niet meer bij jou gegevens komen en undecrypten wil niet echt lukken met Encrypted File System!!!. Je kunt het simpelweg exporteren naar een folder of floppy(even op cd branden...)

mutsje schreef op 13 april 2004 @ 10:04:
Hou er rekening mee dat je de sleutel(certificate) goed back-upped. Bij verlies(corrupt account) kun je niet meer bij jou gegevens komen en undecrypten wil niet echt lukken met Encrypted File System!!!. Je kunt het simpelweg exporteren naar een folder of floppy(even op cd branden...)

Certificaat INCLUSIEF prive sleutel (private key) exporteren. Het certificaat alleen is namelijk waardeloos in dit geval.

BlaTieBla schreef op 13 april 2004 @ 10:08:
[...]


Certificaat INCLUSIEF prive sleutel (private key) exporteren. Het certificaat alleen is namelijk waardeloos in dit geval.

Dat krijg je er allemaal gratis bij als je het exporteerd.........

flowerp schreef op 12 april 2004 @ 21:35:
Het lijkt een opzoek vraag, maar als het al op te zoeken is dan is het niet echt triviaal: Welke dirs mag je wel en welke niet encrypten met gebruik van het standaard encryptie mechanisme van de Windows NT familie (w2k, xp etc) ?

Ik stuitte wel op een lijstje met aanbevelingen van MS zelf, die bv aanraadt om de 'my documents' map te encrypten. Liever zou ik echter de complete map van een user encrypten, zonder dat Windows raar gaat doen bij opstarten. Nog liever zou ik de hele HD vanaf de root encrypten en zien dat Windows alle system dirs en andere dirs die nodig zijn voor opstarten automatisch overslaat. Ik heb zo'n gevoel dat ze aan zo'n (logische) optie nog niet gedacht hebben in Redmon. Aangezien ik nog geen parallele instalatie heb wil ik het liever ook niet gaan uitproberen.

Wie weet meer?

encrytpie is user afhankelijk, dus encrypt alleen data (en alleen de data van de user waarmee je bent ingelogd). System folders encrypten houdt simpelweg in dat je niet meer kan booten...

[ Voor 6% gewijzigd door Verwijderd op 13-04-2004 10:19 ]

Mag ik me hardop afvragen waarom je system folders zou willen encrypten?

de ts wil dat ook niet geloof ik. maar hardop afvragen waarom je de hele c: schijf zou willen encrypten muv systemfiles lijkt me ook wel een redelijk vraag

mutsje schreef op 13 april 2004 @ 10:14:
[...]

Dat krijg je er allemaal gratis bij als je het exporteerd.........

Default gedrag is zonder private key. Ik ben het in het verleden wel eens een keer vergeten (doe je ook maar 1 keer).

Verwijderd schreef op 13 april 2004 @ 11:08:
de ts wil dat ook niet geloof ik. maar hardop afvragen waarom je de hele c: schijf zou willen encrypten muv systemfiles lijkt me ook wel een redelijk vraag

Wat de TS volgens mij wil is gewoon een complete user-dir encrypten.

Dus bv de hele map:

c:\Documents and Settings\mohammed

In de guide-line van MS wordt gerept over het encrypten van de "My Documents" map.

Dus bv:

c:\Documents and Settings\mohammed\My Documents

De vraag is dus of Windows dat leuk gaat vinden van die hele home-dir. De TS is bang dat Windows nu mischien gaat klagen die het zelf niet bij bestand x and y kan, of dat die hele user dan niet meer kan inloggen. Nog niets eens zo'n gekke vraag waar niemand op in gegaan is.

Het lijkt mij dat dit gewoon kan, zolang je maar niet "All Users" of "Default User" gaat encrypten. Of de user wiens hele home-dir ge-encrypt is nog kan inloggen weet ik ook niet zo uit mijn hoofd. Mischien even uitproberen met een test user?

Ik denk niet dat wat henk_DE_man zegt kan - vziw zit je private key in de registry, en laat de user registry nou net in je C:\Documents and Settings\\ zitten?

elevator schreef op 13 april 2004 @ 20:05:
Ik denk niet dat wat henk_DE_man zegt kan - vziw zit je private key in de registry, en laat de user registry nou net in je C:\Documents and Settings\<username>\ zitten?

Zoiets vermoedde ik al, en -dat- beantwoord dan meteen de vraag van de TS denk ik. Het is dus niet mogelijk om een complete users home-dir transparant dir te encrypten, tenzij je dit vanaf een ander account doet, maar dat ondergraaft het principe een beetje. Als het om een tijdelijke oplossing gaat (bv als je je computer met vertrouwelijke gegevens naar een reparatie bedrijf brengt ofzo), dan zou je nog van een andere (schrijfbaar) medium kunnen opstarten, dir encrypten en dat medium dan verwijderen.

Tevens, zou het niet een idee zijn om -optioneel- een password-based encryptie te hebben. Dan zou je:

A) een redelijk secure systeem hebben, ook al heeft iemand fysiek toegang tot jouw systeem (met het huidige key and certificate based systeem is de encryptie zo goed als waardeloos in die situaties)

je zou dan wel gewoon een complete home-dir kunnen encrypten

En ja, ik ben dom, en de mensen van Microsoft zijn slim. Dan weet ik nu ook wel. Ik vraag me echter af waarom ik precies dom ben. Waar gaat mijn redenatie de fout in?

[ Voor 28% gewijzigd door Verwijderd op 13-04-2004 21:04 ]

Goed ik heb even geprobeerd (VMware) om mijn gehele userdir te encrypten. Dit gaat wel goed; alleen geeft Windows direct al errors over de bestanden die in gebruik zijn (oa dus je NTUSER.dat) Ik zal zodirect even proberen of ik de hele hdd op die manier kan doen. Vervolgens zal ik eerst alle applicatiehandles met ProcessExplorer eruit gooien om te kijken wat er gebeurd als ik bestanden die in gebruik horen te zijn toch encrypt

Verwijderd schreef op 13 april 2004 @ 21:07:
[...]


Met 'gaat goed' bedoel je dat je daarna nog gewoon kunt inloggen?

Ja, en dat komt doordat Windows bestanden die in gebruik zijn standaard al niet encrypt. Ik zal nu mijn hele hdd ook even proberen

Spider.007 schreef op 13 april 2004 @ 21:13:
[...]


Ja, en dat komt doordat Windows bestanden die in gebruik zijn standaard al niet encrypt. Ik zal nu mijn hele hdd ook even proberen

Lang leve VM Ware en consorten. Dan zijn zulle experimenten makkelijk te doen!

Spider.007 schreef op 13 april 2004 @ 21:13:
[...]


Ja, en dat komt doordat Windows bestanden die in gebruik zijn standaard al niet encrypt. Ik zal nu mijn hele hdd ook even proberen

En nog gelukt?

Verwijderd schreef op 14 april 2004 @ 19:45:
[...]

En nog gelukt?

Ik krijg een access denied melding bij de %WINDIR%, en alles daaronder, dus ik neem aan dat Windows zelf zorgt voor bescherming van zijn vitale bestanden