Apakah ada alat enkripsi volume sistem Windows 7 yang memungkinkan penguncian jarak jauh melalui ssh selama fase boot?

Apakah ada alat / metode yang memungkinkan mengenkripsi volume sistem Windows 7 sambil memberikan kemungkinan untuk membukanya dari jarak jauh melalui ssh selama fase boot? Apakah mungkin dengan Windows 7 (saya kira seharusnya)?

Di linux, rootfs LUKS yang dienkripsi dapat dibuka kuncinya melalui ssh selama fase boot (juga lihat /usr/share/doc/cryptsetup/README.remote.gzdi Debian).

Proyek DiskCryptor hadir dengan bootloader yang kuat yang memungkinkan mem-boot volume sistem terenkripsi dengan membuka kunci itu melalui USB atau LAN (secara otomatis memberikan kata sandi yang sebelumnya dikodekan keras). Namun, saya tidak menemukan kemungkinan untuk memasukkan kata sandi pembukaan kunci yang diperlukan melalui koneksi ssh dan saya benar-benar tidak ingin melakukan hard-code kata sandi di suatu tempat (bahkan di LAN aman saya (semoga)).

Oleh karena itu, solusi yang mirip dengan pendekatan LUKS paling mungkin melibatkan partisi boot terpisah yang tidak terenkripsi dengan server ssh dan beberapa boot magic yang menangani pembukaan kunci dan memungkinkan pemuatan rantai partisi sistem terenkripsi dengan Windows 7.

Apakah hal seperti ini ada atau sedang dikembangkan?

windows-7 ssh boot remote disk-encryption bicara
sumber

Produk apa yang Anda gunakan untuk mengenkripsi disk? Anda menggambarkan paralel Linux alih-alih menggambarkan apa yang Anda lakukan dengan Windows. Tidak ada info yang cukup di sini untuk jawaban yang bermanfaat.

harrymc

@harrymc Saya tidak meminta solusi spesifik, mis. menggunakan TrueCrypt. Saya hanya meminta apa pun yang akan memungkinkan enkripsi volume sistem windows serta membuka kunci jarak jauh melalui ssh. Mungkin garpu lain dari TrueCrypt atau FreeOTFE atau apa pun - saya dengan senang hati akan menggunakannya dan mengenkripsi volume sistem saya dengannya. Saya menggunakan contoh LUKS untuk menunjukkan bahwa solusi seperti itu ada, setidaknya untuk linux. (Saya mengedit pertanyaan untuk klarifikasi)

speakr

Salah satu solusinya adalah mengubah Windows 7 menjadi mesin virtual di dalam Linux.

harrymc

Saya baru saja menemukan pertanyaan ini yang menyebutkan kexec. Ini bisa menjadi grail suci: Mem-boot ke linux yang dienkripsi LUKS dengan membuka kunci melalui ssh, kemudian menggunakan kexec untuk langsung mem-boot volume sistem windows terenkripsi TrueCrypt dari sana menggunakan disk penyelamatan TrueCrypt. Saya akan mencobanya. :)

speakr

@climenole PsExec hanya dapat digunakan untuk menjalankan aplikasi pada sistem windows yang sudah di-boot. Karena itu, tidak ada solusi untuk skenario saya.

Bicara

Jawaban:

Satu-satunya cara untuk mencapai ini adalah dengan membeli adaptor jaringan KVM, yang bisa sangat mahal tergantung yang mana yang Anda pilih. Mirip dengan kebanyakan BIOS-es, Anda tidak dapat mengaksesnya dari jarak jauh kecuali Anda memiliki KVM jaringan yang pada dasarnya akan menempatkan keyboard, mouse, dan monitor Anda di jaringan.

Untuk contoh ini, saya akan menggunakan bootloader dari Truecrypt:

Bootloader seharusnya melakukan satu hal (dan HANYA satu hal) dan itu adalah mendekripsi partisi sistem Windows Anda sehingga bentuk dekripsi Windows dapat mulai booting. Untuk alasan ini, bootloader sangat ringan untuk mempercepat waktu yang dibutuhkan dari tombol daya ditekan ke layar bootloader di mana ia meminta kata sandi Anda untuk dekripsi. Karenanya, implementasi SSH apa pun untuk bootloader tidak realistis.

superuser
sumber

Ya, ssh untuk bootloader mungkin terlalu banyak overhead; namun demikian cara LUKS bekerja dengan baik. Saya tidak memerlukan bootloader all-in-one yang kuat, saya hanya perlu sesuatu yang bekerja dengan Windows seperti halnya LUKS dengan Linux.

Bicara

Saya tidak setuju tentang adaptor jaringan KVM yang menjadi satu-satunya kemungkinan untuk mencapai hasil OP. Menggunakan VirtualBox atau VMWare untuk hosting instalasi Windows di dalam dist linux minimal mungkin akan menjadi cara saya memecahkan masalah ini karena ini memberi Anda akses ke konsol sistem bahkan selama proses boot. Namun tidak harus menjadi dist besar. Anda bisa menghapusnya menjadi semacam X dan autoloader untuk virtualbox / vmware. Namun, keamanan dist ini juga harus dipertimbangkan karena cara OP mungkin menjadi sumber pelanggaran keamanan di masa depan.

Simon Aronsson