David.
Bevor Sie jedoch auf andere Weise andere Festplattenlaufwerke / Festplattenlaufwerke auf Ihrem Rigg trennen, müssen Sie nur noch Ihre leere, nicht patentierte, nicht formatierte SSD-Festplatte zum Experimentieren verwenden, ohne Daten auf Ihren anderen Laufwerken zu verlieren:
Ia) ÜBERPRÜFEN SIE, ob Ihre SSD ein SED (Self-Encrypting Drive) ist:
- folge meiner Antwort auf diesen Beitrag hier bei superuser: Wie kann ich feststellen , dass ein selbstverschlüsseltes Laufwerk (SED) wirklich verschlüsselt ist?
Ib) WENN IHRE SSD SED IST:
Aktivieren Sie die Verschlüsselung auf dem Laufwerk. Da es sich bei Ihrem Gerät jedoch um ein LENOVO THINKPAD handelt, ist es besser, die Verschlüsselung über "hdparm" gemäß den Anweisungen am Ende derselben Antwort auf denselben Beitrag oben zu aktivieren, um zu verhindern, dass Ihr Thinkpad Ihre SSD aufruft.
Partitionieren Sie Ihre SSD für die Installation von Windows 10: Starten Sie Ihr Rigg von der neuesten gparted Live-CD oder von der Linux Mint Live-CD oder von der Ubuntu 18.04 Live-CD (und Sie werden beim Booten aufgefordert, Ihr SED-Kennwort einzugeben) und Partitionieren Sie Ihr SED-Laufwerk in GPT, erstellen Sie / dev / sda1 (512MiB, EFI) und / dev / sda2 (100GiB, NTFS).
Starten Sie das BIOS neu (Sie werden jetzt nach dem SSD-Kennwort zum Entsperren Ihres SED gefragt) und:
A) das TPM-Modul aktivieren;
B) NUR UEFI aktivieren (NO LEGACY BIOS);
C) Aktivieren Sie SECURE BOOT und installieren Sie die Schlüssel PKgub, KEK und dbx
Starten Sie von Ihrem Windows 10-Installationsdatenträger und installieren Sie es auf der 100-GiB-Partition
Wenn bis jetzt alles in Ordnung ist und Ihr TPM funktioniert, werden Sie beim Booten Ihres Windows 10-Betriebssystems nicht zur Eingabe eines Windows-Anmeldekennworts aufgefordert (da Ihr Startvorgang vom TPM-Modul authentifiziert wird und somit kein Kennwort - in der Vision von Microsoft!). - werden gebeten, Ihr Rig zu booten)
Gehen Sie zu Systemsteuerung> BitLocker> "BitLocker aktivieren" und achten Sie darauf, eine Kopie des BitLocker-Schlüssels auf einem USB-Laufwerk zu speichern: Wenn Sie fertig sind, starten Sie den Computer neu. Ihre Windows-Partition ist jetzt SOFTWARE-ENCRYPTED von BitLocker, und Sie werden jetzt beim Windows-Login nach Ihrem Windows / BitLocker-Kennwort gefragt.
Wenn jetzt alles in Ordnung ist, werden Sie ein SED-Laufwerk haben, das fliegend alle Daten auf dieser Festplatte verschlüsselt + ein BitLocker-verschlüsseltes Windows 10-Betriebssystem mit dem TPM, das Ihre Windows 10-Startsequenz überwacht, um "böse Mädchen" zu verhindern. Angriffe auf Ihr Windows 10-Betriebssystem, und es ist jetzt an der Zeit, Ihr Linux-Betriebssystem zu installieren (und übrigens, meine bescheidene Meinung ist, dass Linux Mint 18.3 Xfce und Linux Mint 19 Xfce in Ubuntu 18.04 UNSERE UNTERSTÜTZUNG sind, wenn es um Sicherheitsfragen geht, Vielleicht sollten Sie es für ein straffes Rigg halten.
Ic) WENN IHRE SSD NICHT SED IST:
- ignorieren Sie die "Verschlüsselung auf dem Laufwerk aktivieren" und fahren Sie mit den oben beschriebenen Schritten fort. Der einzige Unterschied besteht darin, dass Sie nicht gegen Brute-Force-Angriffe ("Wörterbuch" -Angriffe) geschützt werden, um Ihr BitLocker-Kennwort auf dieser SSD zu knacken, falls Ihr Laptop gestohlen wird, insbesondere wenn Sie den Modus "Unterbrochen" oder "Ruhezustand" wählen. .. (und wenn Sie das BitLocker-Kennwort ein wenig zeitaufwändiger machen möchten, deaktivieren Sie den Ruhezustand unter Windows 10 und löschen Sie eventuell vorhandene Ruhezustandsdateien, da das BitLocker-Kennwort tatsächlich gespeichert ist.) in dieser Ruhezustandsdatei (5 Minuten, um das BitLocker-Kennwort zu knacken).
II.a) SO INSTALLIEREN SIE IHR UBUNTU / LINUX MINT OS OHNE SICHERHEIT
neu starten, zum BIOS gehen und SECURE BOOT DEAKTIVIEREN.
Jetzt müssen Sie entscheiden, welche Art von Linux OS-Installation Sie verfolgen möchten. Hier sind Ihre Hauptoptionen:
A) EASY - Standard Encrypted Ubuntu / Linux-Installation mit / boot- und / root-Partitionen NICHT ENCRYPTED (sehr anfällig für "böse Mädchen" -Angriffe aufgrund der Tatsache, dass die gesamten / boot- und / root-Partitionen unverschlüsselt bleiben): Booten Sie von Ihrem Ubuntu / Mint Installationsdiskette / USB, wählen Sie "Ubuntu / Mint neben Windows 10 installieren" und verschlüsseln Sie Ihre / home-Partition.
B) INTERMEDIATE - Full-Disk-Encryption ("FDE") einschließlich einer verschlüsselten / boot-Partition WITHOUT ENCRYPTED LVM + LUKS-Container (etwas weniger anfällig für "böse Mädchen" -Angriffe, da nur die Datei "bootx64.efi" unverschlüsselt bleibt auf der SSD im unverschlüsselten Ordner / boot / EFI): Befolgen Sie die Anweisungen von Benutzer linux22 in seinem Lernprogramm unter https://community.linuxmint.com/tutorial/view/2061
C) EXPERT - Full-Disk-Encryption ("FDE") einschließlich einer verschlüsselten / boot-Partition WITH ENCRYPTED LVM + LUKS-Container (damit Sie Kali OS anschließend in Ihrem verschlüsselten LVM + LUKS-Container installieren können, aber Sie müssen daran denken, diese zu installieren Ihr Kali-Äquivalent der / boot-Partition zu der UNENCRYPTED / boot-Partition): Benutzer linux22 hatte früher ein Tutorial an der gleichen Adresse wie oben, aber es ist jetzt mit demjenigen ohne LVM-Container überschrieben. Sie können jedoch (vorerst) noch ein automatisiertes Skript verfolgen, das von Callom Cameron erstellt wurde, um den alten Benutzer linux22 unter https://github.com/CallumCameron/mint-encrypted-install zu installieren oder wenn das Skript bereits auf das neue Tutorial aktualisiert wurde, können Sie hier bei Superuser PM abspeichern, da ich das ursprüngliche linux22 FDE-Tutorial mit LVM + LUKS-Webseite als Datei gespeichert habe, und ich werde es Ihnen per E-Mail senden.
Denken Sie daran, KEINEN gesamten freien Speicherplatz auf der SSD dem Ubuntu / Linux-LVM zuzuweisen, so dass Sie Ihr Laufwerk AUSSERhalb des LVM + LUKS-Containers später weiter partitionieren können, um Ihre Linux / Windows-Datenpartition zu erstellen.
- D) CRYPTOMASTER - besteht aus der "Expert" -Installation WITH WITH LVM + LUKS, bei der Sie die obigen Befehle ändern und die Installation von / boot auf ein USB-Laufwerk (z. B. / dev / sdc) zeigen. Dadurch werden die verschlüsselten LVM + LUKS erweitert Container zu diesem verschlüsselten USB-Laufwerk, das Sie an Ihr Rig anschließen müssen, damit Ihr System booten kann (aber den GRUB2-Boot-Loader auf der SSD installieren muss!). Um diese Option zu verwenden, partitionieren Sie Ihr USB-Laufwerk vor dem Start der Ubuntu / Mint-Installation wie oben beschrieben einfach mit gparted in GPT (ohne dabei eine Partition zu erstellen), und suchen Sie mithilfe von Ubuntu / Mint LiveDVD nach dem zugewiesenen / dev dieses USB-Laufwerks, vom Terminal aus den Befehl "blkid" (zum Beispiel USB ist / dev / sdc) und danach während der Installation des Betriebssystems,
II.b) SO INSTALLIEREN SIE IHR UBUNTU / LINUX MINT OS MIT SECURE BOOT
- BEVOR Sie das Ubuntu / Mint-Betriebssystem mithilfe der oben genannten Option "CryptoMaster" installieren, folgen Sie diesem Tutorial vom Benutzer linux22 unter https://community.linuxmint.com/tutorial/view/2360. Verwenden Sie jedoch anstelle der Standardmethode METHOD 1 ("Using die Original-Microsoft-UEFI-Secure-Boot-Zertifikate Ihrer UEFI-Plattform für PCs "), die in" Anhang A - So stellen Sie benutzerdefinierte Schlüssel und Microsoft-Schlüssel zusammen "
II.c) PASSWORT SCHÜTZEN DEN GRUB2-STÜCKLADER
Um Ihr Rig weiterhin gegen die meisten "Code-Injection" und einige "böse Mädchen" -Angriffe zu schützen, müssen Sie Ihren grub2-Boot-Loader mit einem Kennwort schützen.
Befolgen Sie die Anweisungen in diesem Tutorial https://www.thegeekstuff.com/2011/09/grub-password-command/
Testen Sie JETZT Ihre (fast) abgeschlossene Installation und starten Sie das GRUB2-Menü zuerst vom "Windows Boot Manager", um Ihr Windows 10-Betriebssystem zu starten. Falls Ihr Windows 10 nicht booten kann und GRUB2 eine Fehlermeldung mit dem Hinweis "error: Gerätename erforderlich" ausgibt, müssen Sie das Ubuntu / Mint-Betriebssystem neu starten und AS ROOT die Datei "grub.cfg" in Ihrem Verzeichnis "/ boot" bearbeiten / grub "(ODER" / boot / grub / efi / EFI / boot ") und suchen Sie nach dem Menüeintrag 'Windows Boot Manager' und kommentieren Sie die Zeile 'cryptomount -u' mit einem # aus.
Sudo xed /boot/grub/grub.cfg
oder
Sudo xed /boot/grub/efi/EFI/boot/grub.cfg
WISE und testen Sie diese Lösung mit einer BLANK, UNPARTITIONED HDD oder SSD als EINEM physischen Laufwerk auf dem Rig, um die Daten Ihrer anderen Laufwerke NICHT zu gefährden. Ich habe dieses Hardware- + Software-Verschlüsselungsschema nur mit dem OLD-Tutorial (LVM + LUKS) von linux22 auf mobilen DELL-Workstations (Modelle M6400, M6600 und M6800) mit i7-Prozessoren, mindestens 16 GB RAM und Samsung Evo 960/970 1 TiB getestet SED-SSDs.