» TrueCrypt

зашифровал весь раздел с данными, как теперь его вернуть на прежную букву и полность расшифровать обратно в исходное состояние без удаления (потери) данных? Система Виндовс 7 х32 ультимат, трукрипт 7,0а
Заранее благодарен.

Есть способ вводить пароли на русской раскладке (как в BestCrypt)?
Исключительное использование латиницы - не бог весть какой, но всё же минус.

Cosmic Warrior
Минус? А как вы будете вводить кириллический пароль на этапе аутентификации до загрузки ОС?

Ответьте пожалуйста на мой вопрос

VladislavT
См. главу "MISCELLANEOUS/How to Remove Encryption" (для версии 7.0a – на стр.104) в руководстве пользователя TrueCrypt.

Здравствуйте. Не хочу быть назойливым, но все же повторюсь. Сможет ли кто-нибудь ответить на мои вопросы пару постами выше? Ибо не рискую экспериментировать сам. Заранее большое спасибо.

andrejka k
Цитата:

Правильно ли я понимаю, что для вышеописанной задачи следует выбрать "создать том внутри несистемного раздела/диска" и указать в качестве устройства диск I? Тогда диск H будет работать привычным образом без шифрования, а диск I будет шифроваться.

да
Цитата:

И все манипуляции с созданием зашифрованного раздела не потребуют его форматирования (а, следовательно, удаления существующих на разделе данных), если TC будет установлен на Windows Vista?

вот это уже не знаю, предпочитаю не рисковать данными и не шифровать их "на лету". тем более вин виста не юзал никогда
Цитата:

А что будет, если такой диск потом подключить к другому компьютеру? Тогда незашифрованный раздел по-прежнему будет открываться без проблем

да
Цитата:

а зашифрованный раздел будет как-то себя обнаруживать?

будет выглядеть как неотформатированный раздел. само собой, можно будет его подмонтировать в трукрипте

Добрый день господа!
Столкнулся вот с такой проблемкой:

Что есть:
Обычная сеть на основе доменного леса.
В этой сети есть терминальный сервер с ОС Windows Server 2008 R2.


Краткая предистория:
Есть пользователи которые активно пользуются truecrypt (само программное обеспечение (ПО) truecrypt стоит на локальных машинах пользователей), а контейнеры
помещены на выделенный сервер , на котором есть скрытая шара и в которой расположены папки с контейнерами для каждого пользователя.
На уровне этих папок установлены разрешения NTFS для текущих пользователей !

Механизм таков:
Пользователь запускает у себя на локальной машине ПО truecrypt и монтирует для себя том используя полный путь до контейнера находящегося на
сервере в папке пользователя. До поры до времени все это устраивало, но... .
Так как у нас имеется механизм удаленного доступа, то мы решили немного изменить механизм работы ПО truecrypt, а именно централизовать.

Что хочется получить:
Доменные пользователи локальной сети и удаленные пользователи авторизируются на терминальном сервере- каждый под своим профилем,
далее запускают ПО truecrypt на удаленном рабочем столе и монтируют для себя том в виде диска, который будет цепляться как избранный и
соответственно контейнер будет находиться все на том же выделенном сервере.
НО самое главное!!!В тот же момент времени другой пользователь- будь то удаленный, либо локальный
авторизируясь на том же самом терминальном сервере под своим профилем и запуская ПО truecrypt НЕ ДОЛЖЕН ВИДЕТЬ НИКАКИЕ ДРУГИЕ ТОМА ПОЛЬЗОВАТЕЛЕЙ КРОМЕ СВОЕГО! (с точки зрения безопасности!)
Более того, так как число виртуальных дисков ограничено-всего 26, а пользователей может быть намного больше, то хотелось что бы одновременно работающие пользователи могли цеплять одну и ту же букву диска, но каждый под своим профилем, либо монтировать контейнер как папку, либо еще как то..Если это конечно вообще возможно.

Проблема:

Получается, что пользователи одновременно авторизирующиеся на том же терминальном сервере и при запуске ПО truecrypt, могут видеть подключенные тома других пользователей, более того можно даже вручную размонтировать том другого пользователя, или еще хуже-открыть контейнер и посмотреть что там находится- хотя изначально при создании контейнера
он монтируется в том и форматируется под NTFS.
Для справки –последнее опробовалось на ПО truecrypt версии 7.0

Вопрос:

1.Возможно ли как то решить вышеописанную проблему.
1.Вообще пробовал кто ни будь внедрять ПО truecrypt на Терминальных службах?
2.Я так понимаю этот продукт относится к разряду Open Source, а значит коды открыты. Может быть кто ни будь пробовал править исходники? Возможно ли это?
Заранее благодарен!

cobion
Можно в реестре терминального сервера для каждого пользователя СКРЫТЬ букаффки ДРУГИХ дисков и сказать, чтобы каждый конкретный юзверь монтировал том TrueCrypt под только конкретной выделенной заранее ему букве. Как это будет выглядеть. Например пользователю1, говорится, будешь монтировать том под буквой E, пользователю2 - F итд. Далее заходим в терминал под первым юзверем, оставляем видными диски A,C,D,E а остальные скрываем (см.ниже). Для второго - соответственно: A,C,D,F а остальные скрываем итд.Таким образом, каждый пользователь будет видеть, например системный диск С, CD/DVD-ROM - D на терминальном сервере и ТОЛЬКО свой подмонтированный диск.
Ветка реестра, отвечающая за скрытие дисков:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DWORD NoDrives, значение рассчитывается следующим образом. Значение 0 - разрешен доступ ко всем дискам, значение 67108863 (hex:3ffffff) - скрыть доступ ко всем дискам (A: - Z

Значения дисков:

A: - 1 (2^0)
B: - 2 (2^1)
C: - 4 (2^2)
D: - 8 (2^3)
...
Z:- 33554432 (2^25)

Чтобы скрыть доступ к дискам A и D необходимо сложить 1 + 8 = 9.
итд
----------------

daledale

Спасибки за ответ. Я так понимаю, что я должен изменить параметры реестра в профиле для каждого пользователя.

Тогда еще вопросик, если не возражаете:
А вот есть ли какой ни будь механизм, что бы сделать дисков намного больше чем 25?
То есть допустим: 25-й пользователь смонтировал себе диск Z, а если появился 26-й пользователь-ему уже не хватило дисков?


Заранее благодарен.

cobion

Цитата:

Я так понимаю, что я должен изменить параметры реестра в профиле для каждого пользователя.

Правильно понимаете.

Цитата:

А вот есть ли какой ни будь механизм, что бы сделать дисков намного больше чем 25?

Мне о существовании такого "механизма" не известно))

daledale
Ок. Спасибо и на этом!
Будем думать!
А вот можно контейнер смонтировать как папку?

А зачем пользователю свой контейнер?
Что такого ценного в этих контейнерах.
Если просто документы то не проще ли автоматом или как еще поднимать контейнеры отделов на сервере и назначить ссылку на папку работника уже с этих контейнеров. Софт или хард ссылкой т.е. пользователь при подключении будет видеть личную папку и ему ничего не надо будет вводить.

Свой контейнер - это индивидуальная папка для хранения конфиденциальной информации
Сотрудник компании и только он должен в нужный ему момент подключать контейнер и с ним работать. Никто кроме него, в том числе и IT-специалист не должен уметь подключать контейнер и тем более иметь возможность доступа.

Подозрительно большая разница в бенчмарках. Версии последние доступные, параллельно ничего не запущено. Где собака порылась?

А какие проги могут работать с флэхой в режиме пользователя? У нас админ вход закрыт паролем

mahp
Можно посмотреть FreeOTFE - http://www.freeotfe.org/
У них есть модуль позволяющий работать с зашифрованным контейнером, но без возможности записи в него - админские права не требуются.
Ссылка

Altus
а что подозрительного? Разная степень оптимизации кода - только и всего.

Цитата:

Altus
а что подозрительного? Разная степень оптимизации кода - только и всего

Подтверждаю, в DC программист основательно подошел к оптимизации, используя многие аппаратные особенности процессоров, подвохов нет

Wolf3d3

Плохо тему читаете!
У нас так все и работает (контейнеры удаленно находятся на сервере в каждой папке и индивидуально для пользователя, по горячим клавишам открывается избранный контейнер),но:
Там не просто документы-это раз!
Пользователь работая с TrueCrypt должен не видеть контейнеров других пользователей, этот механизм рассказал daledale!-это два
Но проблема расширения количества виртуальных дисков!!!!-Можно смонтировать только до 25 дисков, больше нельзя, по крайней мере у меня не получилось+такого механизма еще не подсказали кулибины! А очень хотелось бы!-это три!
Либо может есть программисты талантливые с головой, которые могли бы покопаться в коде этого зверя под названием TrueCrypt.

cobion

Плохо тему читаете!
1 я предложил монтировать общий файл для группы пользователей на сервере и подлинковывать индивидуальные папки для профилей пользователей. Возможно это или нет еще то вопрос так как неизвестно как себя поведет винда при извлечении общего контейнера и наличии терминальных подключений. Открытые файлы точно побьются и будут уничтожены средством восстановления ТС. Поэтому необходим бэкап и если например в контейнерах мультмелийный контент то это займет кучу места.
2 насколько я знаю в стандартной винде нельзя подключить больше логических дисков, за подробностью можно обратится к биллу возможно техподдержка ответит но не бесплатно при условии если у вас лицензионная винда конечно.
3 можно использовать несколько терминальных серверов и какими либо политиками разграничивать пользователей по этим серверам
4 переписать, написать заново необходимый софт и перейти на линукс, там насколько я понимаю такой проблемы нет.

Господа, такой вопрос: как можно "подружить" загрузчик TC с менеджером загрузки (хотя бы BootIt). Мне совсем непонятно, как это сделать. При шифровании раздела с системой и последующей перезагрузке появился пункт "Нажмите Esc для меню мультизагрузки". Чтобы проще понять, конфигурация такая:
1 раздел - зашифрован
2 раздел - не зашифрован.
На обоих разделах XP SP3. В MBR - TrueCrypt.
Когда активен первый раздел:
1) при вводе пароля загружается система с первого раздела (зашифрованная)
2) при нажатии на Esc - ошибка - вроде no bootable partitions found
Когда активен второй раздел:
1) при вводе пароля загружается система со второго раздела (незашифрованная)
2) при нажатии на Esc - загружается система со второго раздела (незашифрованная)

Короче, загрузчик трукрипта после ввода пароля/нажатия на Esc загружает активный раздел, какой бы он ни был. И как теперь поступать с менеджером загрузки? BootIt отпадает? ставить GRUB на раздел с Windows? Но при шифровании системного раздела в трукрипте я видел окно, там сказано, что в диспетчер загрузки можно попасть по Esc, даже не вводя пароля на зашифрованную систему. Совсем запутался...
Нет чтобы сделать по уму, как в DiskCryptor'е... Но он у меня не работает с моей Win7 x64. Даже small bootloader не работает. Сейчас переписываюсь с автором, может, подскажет чего. А до тех пор пытаюсь освоить TrueCrypt

Так я понял это только в проводнике я не вижу дисков, кроме подключенного в текущий момент тома, если я их скрываю при помощи реестра.
У меня и так GPO создано по группам, для того что бы пользователи не видели локальных дисков!
Так мне необходимо скрыть диски в самом интерфейсе TrueCrypt!!!!!
Не работает даже при редактировании реестра.
Допустим зашел в ветку реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DWORD NoDrives задал значение 8 , это соответствует диску D. Перезагрузился и что-же, все равно как был диск D так и есть! Хотя я и админ, но все же диска не должно быть правильно?

Может ктото решил проблему с заменой файла Truecrypt.sys. Прочитал много инфы но решения не нашел.

Предыстория- с помощью TrueCrypt 7.0a сделал Скрытую ОС (ZverCD), установил еще одного Зверя в качестве обманки. Все прикольно, только потом узнал что система не позволяет использовать на запись подключенный терабайтник, флешки, и.т.п. На предыдущих версиях проблема решалась заменой Truecrypt.sys на модифицированный.
Нашел только версий 6.3

Результат BSOD 0x0000007B. Пытался подсовывать версии 6.2a/6.3. Пытался также заменять дрова контроллера на "Стандартный двухканальный" - аналогично


Первый вопрос - есть ли у когото модифицированный 7.0/7.0a ? Второй - Как можно решить данную проблему?

Суть - нужна полноценная рабочая ОСь, в которой можно пользоваться флешками, подключать фотоаппарат и.т.п и.т.д, а не система "сама в себе" без возможности куда-то сохранить результат своей работы. И прошу не рассказывать что это будет уже не скрытая ОС и что страдает безопасность, и что раз мы такие сякие то скрытую ос нам не надо.. от того что иногда будут использоваться флешки.

ПС. похоже нашел причину - 6-ая версия TrueCrypt'а не может физически примонтировать разделы седьмой.. Обидна. Похоже БСОД был изза этого. Буду пытатся теперь както перенести разделы

Стал изучать данную программу на флэшке, чтобы испробовать все варианты и не убить реальный винч. Прощай, флэшка на 16 гигов! Светлой тебе памяти!

По делу. Сделал из нее полностью трукрипт раздел. Делал через Вин7, с имеющимися данными на флэшке (чтобы потестить точно ли это возможно). Все получилось, правда процесс занял 4 часа. После кинул копироваться в нее новую папку с программами. Процесс копирования завис. Я ждал, ждал, пытался его отменить. Все тщетно. Выдергивать флэшку не стал, она мигала соответственно (копирвоание то по идее идет), а извлек раздел через ТруКрипт. Все, теперь флэшку комп не видит физически. Пишет "вставьте съемный диск"...Никакой ГетДатаБэк даже не видит никакого носителя, ТруКрипт не принимает пароля...

Мораль? Советую экспериментировать с совсем маленькими ненужными флэшками. И уж точно не начинать с больших нужных вам винчей.

мораль - не используйте флешки для того, для чего они не предназначены. интенсивная работа с флешкой приводит к капцу флешки, и ни к чему более

nikepiter
Восстановление флэш накопителей после программых сбоев.

Цитата:

Восстановление флэш накопителей после программых сбоев.

Низкий поклон за замечательную ссылку! Я думал выкидывать... Флэшка вернулась ко мне!

Ребят добрый день!
я в продолжение своей темы о скрытии виртуальных дисков, для того что бы другие пользователи подключившиеся под своим профилем не могли видеть уже смонтированные диски в другом профиле.Все это в принципе решаемо на уровне GPO-параментром скрыть все диски, но брешь все таки остается, допустим при сохранении из Word-видно дерево смонтированных дисков, либо можно сделать ярлык ссылающийся на определенный подмонтированный диск и тогда можно увидеть всю инфу в этом диске! А это уже минус.
А как бы сделать так что бы пользователь не мог получить доступ к этим дискам?
Конечно в GPO в свойствах пользователя есть параметр-"запретить доступ ко всем дискам"-но тогда пользователь не сможет вообще получить доступ к смонтированному тому.

Заранее благодарен!

nikepiter
Цитата:

И уж точно не начинать с больших нужных вам винчей.

Странно, столько всего было зашифровано за время пользования сабжа, даже базы данных в продакшен были на таких носителях. Ничего, все впорядке. Разделы на RAID даже шифровали.