Veracrypt- Sicherung für Dasi auf USB?

[Charliechen]

Guten Tag!
Ich habe gelesen, manche verwenden hier auch Veracrypt. Auch ich bin am überlegen, ob ich mit Veracrypt verschlüsseln sollte.
Wir verwenden Acronis zum tglichen Sichern der gesamten Serverfestplatte in der Nacht auf eine 2 TB USB Festplatte und
sichern nur das Turbomedverzeichnis ohne die veilen gescannten Dokumente noch mal mittags auf die Shcnelle zwischendurch.
Ich habe mal mich versucht in Veracrypt reinzufuchsen und probehalber mal einen USB Stick verschlüsselt. Das geht ja wohl auch
so, dass man die Daten nicht alle löschen muss. Ich könnte mir aber vorstellen, dass es lange dauert, wenn es 1TB Daten auf
einer USB Festplatte sind?
Außerdem scheint es mir vom Ablauf so zu sein, wenn der Server nachts ausgestellt wird:
1) morgens Server ein
2) Dann Veracrypt starten
3) dann Laufwerk über Veracrypt anbinden (da der alte Laufwerkbuchstabe ja nur noch das Verschlüsselte nicht taugliche Laufwerk repräsentiert)
4) Dann Laufwerk Passwort 2x eingeben, damit ein entschlüsseltet Laufwerk mit anderem Buchstaben entsteht
5) dann Acronis so einstellen, dass es nicht mehr unter dem alten Buchstaben (D) sichert sondern auf dem neuen Veracryptbuchstaben, des emulierten entschlüsselten Laufwerkes (zB. "Z").
Ist das nicht etwas umständlich? Wie haben Sie das gelöst?
Zudem muss ja nicht nur das USB Laufwerk gesichert werden, das für die Acronis Images zustädnig ist, sondern auch die statiuonären Laufwerke selber Laufwerk auf dem Server selber?- hier
wird des dann oben noch zwischen 1-5 Zwischenschritte geben, um das Systemlaufwerk - Passwort einzugeben?
Könnten Sie mir erklären, wie Sie das umsetzen?
Könnten Sie mir eine Art "Workflow" erklären, wie Sie morgens ihr System "aufwecken" ?
Es wäre mir eine große Hilfe.
Vielen Dank und schöne Grüße,

Charliechen

Beiträge: 223
Registriert: 06.01.2009, 21:16

[nmndoc]

Wenn Sie Acronis verwenden ... weshalb sichern Sie dann nicht einfach verschlüsselt? Acronis kann doch für Archive/Sicherungsjobs ein Kennwort vergeben.
Wäre nicht nur deutlich einfacher, sondern erspart evtl. auch unangenehme Überraschungen.
Bsp: Server defekt/startet nicht mehr (Windows). Dann booten Sie ja normal von einem Acronis-Medium DVD/Stick und machen einen kompletten Restore. Aber dann ... oh ... die Platte ist ja verschlüsselt und mein Sicherung liegt innerhalb der Verschlüsselung, mit der Acronis nicht umgehen kann.

Für die tägl. Sicherung auf USB-Stick an einer Station könnte es durchaus brauchbar sein, damit die TM-Sicherung nicht unverschüsselt da drauf liegt (obwohl es da auch einfachere gibt, aber dennoch).

[hofeBY]

Ich sichere gelegentlich mit Acronis 2015 Vollimages im Offlinemodus.

Unsere NAS (Synology) habe ich zum DHCP/TFTP/PXE Server gemacht und kann nun via PXE Netzwerkboot
das Acronis 2015 starten und dann darin die Sicherung verschlüsselt auf einen eigenen Share der NAS
(Nur ein Benutzer hat hier Rechte) imagen und dann danach geht der Rechner z.B. auf Netzaus.

Bedeutet ich werfe ohne Startmedium Imagen an und gehe dann meiner Wege.

Sobald es fertig ist schaltet sich der PC/Server aus, oder auch gerne, wenn angekreuzt auf Reboot.

Und ich habe kein Startmedium oder Installation des Acronis auf dem Imagerecher, oder in Ihm eingesteckt.

Rücksichern geht dann natürlich auch ohne Acronis Startmedium.

Gruß HofeBY

[RAMöller]

Win10 pro hat Bitlocker serienmäßig.
Das geht eigentlich automatisch. Bei1TB Daten dürfte es etwas dauern, allerdings werden entweder nur die neuen Daten verschlüsselt abgelegt, oder ganze Laufwerk zu Beginn 1x komplett verschlüsselt, je nach Option.
Welchen Vorteil hat Veracrypt gegenüber Bitlocker?

[nmndoc]

@hofeBY: hat sich das auf meinen Beitrag bezogen? Auch so haben Sie ja im Prinzip ein Bootmedium - nur dass Sie ein Image über Netz booten. So oder so müsste man dann ja dafür sorgen dass der Restor aus einem - nochmals verschlüsselten Container - funktioniert. Ob das (sinnvoll - vgl. auch Security vs. Automatisierung) möglich ist, weiß ich nicht. Auch es evtl. Probleme gibt wenn Acronis ein großes Image einbinden will, das seinerseits nochmal in einem virtuellen LW/Container liegt (also Container in Container).

Grundsätzlich sollte man sich immer die Frage stellen, was man denn genau erreichen will / welche Szenarien man absichern will.
Wenn ich die USB-Platten mit nach Hause nehme und habe Angst sie unterwegs zu verlieren, sollte ja das verschlüsselte Backup ausreichend sein.
Für die tägl. Sicherung auf die USB-Sticks wäre eine zusätzl. Verschlüsselung auf Dateiebene oder ganzer Stick sicher keine schlechte Idee - so ein Stick ist ja auch mal schnell verlegt.
Bei Einbruck in der Praxis sollte man aber nicht vergessen, dass die Schwachstelle und primäres Ziel der Server sein dürfte. Und ich nehme mal an die wenigsten dürften hier die lokalen Festplatten verschlüsselt haben - also wozu mit dem verschlüsselten Backup aufhalten, wenn ich den Server nehmen kann. Und selbst wenn die Platten verschlüsselt sind: Solange der Server noch läuft kann ich ja einfach über das Netzlaufwerk zugreifen. Lesezugriff auf den TM-Ordner (wenn nicht gleich Vollzugriff auf C: D: etc.) dürfte in den meisten Praxen doch ohnehin ohne nennenswerte Hürden bestehen. Daher s.o. - was will ich erreichen. Hochsicherheitstür macht nicht viel Sinn, wenn ich das Fenster der Belüftung wegen das ganze Jahr gekippt lasse oder so ähnlich.

[hofeBY]

1.@hofeBY: hat sich das auf meinen Beitrag bezogen?
2. Auch so haben Sie ja im Prinzip ein Bootmedium - nur dass Sie ein Image über Netz booten.
3. Grundsätzlich sollte man sich immer die Frage stellen, was man denn genau erreichen will / welche Szenarien man absichern will.

1. Nein, bezog sich nicht auf Ihren Thread. Habe ja auch nicht´s zitiert, was darauf hindeuten würde.

2. Ja natürlich habe ich ein virtualiertes Bootmedium, aber das macht im DVD oder USB Stick beim nächsten Neustart eben keine Probleme!
Und das man das Verfahren auch an mehreren Rechner parallel machen könnte (Lizenzrecht beachten) hatte ich nicht erwähnt.
Auch habe ich mit OnlineImagen mittels Acronis und auch Windowsbordmitteln durchweg negative Erfahrungen.
OfflineImagen mittels Acronis hat immer geklappt, und darauf kommt´s mir an.

3. Richtig, eine gute Planung mit evlt. Realtest ist hier viel Wert, aber nicht jeder hat sein Backupkonzept auch Live getestet!
Das man an viele NAS auch ein USB-Speichermedium (auch entnehmbar) andocken kann, naja ist doch klar.
Das die Images dort verschlüsselt abgelegt werden, sollte auch der Datensicherheit genügen.
Wer´s heftiger möchte sollte sich bei C2 Systemen einlesen und den Server im Panzerschrank montieren.

============================

Ergänzend zu 3.
Ich gehöre (leider) zu denen , die es erst vor kurzem (17.11.2019) machen musste !
Server bootete überhaupt nicht mehr !
Letztendlich läuft der Server mit TM z.Z. auf einem Arbeitsplatzrechner mit kpl. anderer HW Intel Xeon->AMD Ryzen und das sogar
mit akzeptaler Geschwindigkeit. (z.Z. 43 Client´s) Eine ausreichende komplexer Rücksicherungsfall meine ich.
Das kommt dem total Verlust des Servers (Brand/diebstal/usw.usf., ist einfach weg) gleich.
Vom intensiven Rettungsgeplänkel vorher abgesehen lief es nach ca.2,5h mit allen Daten wieder und es mussten weder
Pat. noch Personal am Mo. drunter leiden.
Aus meiner Sicht nicht schlecht.

HofeBY

[Charliechen]

Wir haben 5 USB Festplatten- für jeden Wochentag eine. 4 liegen also immer zu Hause und eine liegt über Nacht am Server: hier läuft nachts die Sicherung. Sollte nachts der Server und auch die USB Platte,
die in der Praxis läuft, geklaut werden, wäre das der Datenverlust von einem Tag. Mittags sichern wir aber immer noch einmal auf die alte Festplatte vom Vorabend nur das TM Verzeichnis (ohne das Dokumenteverzeichnis)
per Acronis, was sehr schnell geht. Die Dokumente vom Vortag sind dann auch noch nicht geschreddert. Somit würde sich der Datenverlust nur auf einen Nachmittag beziehen und die Dokumente müssten eben von einem Tag erneut gescannt werden.

Ich möchte vor Allem absichern, dass ein Einbrecher in der Praxis, der den Server klaut (und somit vom Netz nimmt und stromlos macht) nicht mehr bei sich zu Hause gemütlich die Serverdaten kopieren
oder durchlesen kann. Gleiches gilt für diesen Einbrecher, wenn er die Praxis-USB Platte klaut, oder eine der 4 Platten, die bei mir zu Hause liegen.

Ich traue Acronis nur bedingt über den Weg! Wenn es nachts das System sichert zu Zeiten, zu denen kein Turbomed und kein Arbeitsplatz aktiv sind und niemand daran herumfummelt, scheint es wohl gut zu klappen. Ich habe
schon oft Sicherungen probeweise zurückgesichert und bisher hier nie Datenverlust oder Fehler gefunden. Trotzdem mache ich zur Sicherheit auch 1x/Woche eine Datenspiegelung per Turbmed-
funktion auf die jeweils gerade angeschlossene Festplatte und sichere so alles (insbesondere die TM Datenbank) noch mal ohne Acronis per Turbomed. Ist mir einfach sicherer, da ich wie gesagt kein 100%iges
Vertrauen in die Qualität der Acronis Sicherung habe. Diese Daten wären dann ja immer noch unverschlüsselt auf der USB Festplatte, wenn ich nur per Acronis verschlüssele. Deshalb wäre für mich der
Vorteil von einer Verschlüsselung der kompletten Festplatte per Veracrypt, dass dort auch die Daten verschlüsselt sind, die nicht von Acronis erzeugt wurden.
Aber ich finde den Vorgang des täglichen Anbindens der jeweils anderen Wochentag USB Platte sehr kompliziert? (Siehe mein Beitrag ganz oben),

Außerdem muss ich bei der Lösung per Acronis zu verschlüsseln ja auch noch irgendwie die Serverfestplatten verschlüsseln? ES wäre Tanja wirklich nur das Acronis Image auf der USB Sicherungsplatte verschlüsselt.
Wie machen Sie das? Wie verhindern Sie, dass jemand, der den Server klaut, nicht einfach alle Daten lesen kann?

Ganz lieben Dank,
Charliechen

Ok, danke. Die Datensicherung der Acronis auch gleich zu verschlüsseln wäre natürlich eine Lösung.

Wenn der Server nachts läuft, kann man natürlich schnell über das Netzwerk zugreifen. Am besten wäre es demnach den Server abends auszustellen und das erneute hochfahren per Passwort
zu sichern. Zudem sollten hat