Das von einem Profi geschrieben liest sich für mich sehr beruhigend. Den TO kann ich insoweit verstehen, dass ich mit brisanten Daten (solche bearbeite ich) auch übervorsichtig bin. Falls es einem Angreifer also doch irgenwie gelingen sollte die UAC oder Benutzer- und Rechteverwaltung zu umgehen, steht er mit der von mir beschriebenen Methode immer noch vor der „Verschlüsselungsmauer“.

Also ich versteh langsam nicht mehr wohin diese Diskussion läuft.
Wenn von super-brisanten Daten die Rede ist, was hat die UAC damit zu tun? Die ist doch eh nur eine Art Augenwischerei und keine Sicherheitsfunktion. Damit ist man eben nur ein Klick vom Wurm entfernt.
Und man hat nun wirklich ganz andere Probleme als die UAC, wenn ein Angreifer von außen nur noch diese überwinden muss :stirn:

Es macht hier einfach keinen Sinn mehr weiterzudiskutieren solange man das Szenario nicht kennt und nicht weiß wovor genau etwas geschützt werden soll.

Hm, jetzt hast du nachträglich editiert, nachdem ich meinen Post abgesetzt hatte, der vor deinem Edit kam

Also. Nochmal. Ich möchte wissen um welchen Angreifer es geht.

Nur um den Zugriff aus dem Internet zu unterbinden muss man nichts machen. Windows-Firewall und Router regeln das. Dateifreigaben übers Internet sind schon lange kein Thema mehr!

Verschlüsselungen wie zB TrueCrypt helfen nur, wenn das System runtergefahren ist bzw die verschlüsselten Volumes NICHT gemountet sind. Wenn sie gemountet sind, liegen sie im Klartext auf dem jew. Mountpoint vor. Punkt. Das heißt, eine Verschlüsselung ist keine Barriere wenn man seine Daten ständig gemountet hat. Es bietet nur Schutz vor unbefugten Zugriffen wenn es nicht gemountet ist. Mit der UAC hat das rein garnix zu tun.

Ich fasse das hier nicht als Diskussion im Sinne „für und wieder“ oder „pro und contra“ auf, sondern eher als Meinungssaustausch.

Da mag der TO gute Gründe haben, hier nicht ins Detail zu gehen.
Seine Ausgangsfrage in Post #1 war, wie er „sein Daten-Laufwerk vor unberechtigtem Zugriff“ schützen kann. Und da Fragen in der Art schon ein paar Mal an mich herangetragen wurden und ich immer wieder feststellen mußte, dass zwischen Datenarten und Zugriffsarten zunächst nicht unterschieden wird, habe ich dazu grundsätzliches im Post #11 geschrieben. Was dort steht erhebt keinen Anspruch auf Vollständigkeit und ob es dem TO irgendwie weiter hilft kann im Augenblick nur vermutet werden. Gemeint ist es jedenfalls als konstruktiver Beitrag.

Nachtrag: Ja, meinen vorigen Post habe ich „korrigiert“, ich hoffe Du siehst mir das nach. Und die Verschlüsselungslösung hatte ich im Post #11 schon so beschrieben, dass der Rechner damit
zu benutzen ist (also entweder ungemounted oder gemounted).

Richtig. Man kann es aber auch übertreiben und unnötig kompliziert machen, Laien können bei dieser unnötig komplizierten Struktur auch schnell eine Angriffsmöglichkeit übersehen.

Die versteckte Partition die der TO immer wieder gerne erwähnte. Ich kenne versteckte Partitionen eigentlich nur aus dem Bereich der Disk-Imager bzw. Recovery-Partitionen. Auch Rootkits haben gerne mal versteckte Partitionen/Filesysteme angelegt. Ich würde aber gern mal wissen wie man aus dem nicht vertraulichen System (2. installiertes Win7) denn auf diese zugreift wenn das unvertrauliche System (böse, da ja kompromittiert weil es ja im Internet war/ist) das nicht kann...mal abgesehen davon, dass wenn 2x Windows installiert und 1 davon verseucht ist auch beliebige die Dateisysteme des vertraulichen System kompromittieren kann.

Deswegen war meine Idee: externe Platte, die man nur bei Bedarf anschließt. Dazu braucht man kein zweites installiertes Windows.

Und das funktioniert auch, ich habe vor Jahren genau so angefangen.
Der TO befürchtet aber Handlings- und Performance-Nachteile, die ich nachvollziehen kann. Deshalb habe ich mittlerweile umgestellt und pflege im Rechner eine Art „Daten-Handlager“ mit dem regelmäßig gearbeitet wird (ohne Internetanschluss) und „die Externe“ ist zum Backup-Medium geworden, welches ~ wöchentlich aktualisiert wird.

Hinweis: Was ich in diesem Post geschrieben habe bezieht sich auf das, was ich gemäß Post #11 unter „vertrauliche Daten“ verstehe.

Performance-Probleme hat man bei USB3 nicht...

Sicher kann man diese verschlüsseln, dafür böte sich selbst nach dem Projektende von TrueCrypt noch Version 7.1a an.

Meinetwegen kann der TO auch ne zweite interne Platte installieren und diese vollverschlüsseln. Und wenn er ins Internet will macht er dies nur über eine Linux-VM :D

Oder er verarbeitet seine vertraulichen Daten nur in der VM, selbstverständlich liegen diese Daten auf einem verschlüsselten Volume (innerhalb der VM) und die VM darf nicht ins Internet.

Seh' ich ähnlich, ist aber relativ: An meinem (sehr einfachen) Desktop-PC sind zwischen zwei Festplatten intern deutlich höhere Datenübertragungsraten erreichbar als zu einer externen via USB3.

... grade nach dem merkwürdigen Ende finde auch ich TC besonders vertrauenswürdig.

Bestimmt hätte er sich gefreut, wenn Du gleich Vorschläge wie diese unterbreitet hättest :-)

Pass auf, Arne haut dir gleich ein Becks über die Rübe. :blabla:

Das war nicht satirisch gemeint, ich setze voll auf TrueCrypt! - Und ich glaube auch nicht, dass er mich missverstanden hat.

Naja. Wenn man es nach dem Prinzip "keep it small and simple" halten will muss nicht verschlüsselt werden. Wenn es für Laien unnötig kompliziert ist, ist das auch Käse. Deswegen wollte ich vom TO wissen was genau das Ziel ist. Wenn er unter "von außen abgreifbar" versteht, dass sofort Gott und die Welt auf seine Platten zugreifen kann nur weil der Rechner im Internet ist, ist das ja auch Quatsch und wenn nur das dass Ziel ist, dann muss nichts unternommen werden. Der Aufwand muss in einem vernünftigen Verhältnis zum Nutzen stehen, ich denke du weiß was ich meine.

Aber ja, wer's gern richtig paranoid hält verarbeitet die Daten halt nur auf einen Rechner der in keinem Netzwerk ist, nichtmal im LAN und auch keine derartigen Schnittstellen zur Verfügung stellt.