Alles klar.
Aber irgendwie verstehe ich das noch nicht. Da die Daten ja on the fly entschlüsselt werden heißt das doch folglich, dass sie bei Nichtnutzung verschlüsselt sind.

Wieso lohnt sich das denn dann nicht?

Verschlüsselung lohnt und dient dem Schutz gegen Datenklau bei Verlust der Hardware durch Diebstahl.

Solange du das Passwort zur Nutzung des CryptoContainers an einem PC eingibst, wo ein Trojaner drauf sein kann(und der das abfangen/mitschneiden wird), nützt dir Verschlüsselung nix gegen Datenveränderung/Datenzerstörung durch so einen Trojaner... einziger Ausweg dein DebianNAS hat eine eigene Tastatur und einen eigenen Monitor(also nur phys. ZUGRIFF und NIEMALS REMOTE), dann kannst du NUR DORT unter Debian VeraCrypt installieren und bei Bedarf deine Container dort per Passwort einbinden oder deaktivieren.

Das schütz dich dann gegen Datenklau bei HARDWARE-Verlust, aber nicht gegen HW-Defekt oder Datenveränderung wenn du von deinem Trojanersystem auf den aktivierten(=offenen) Cryptocontainer zugreifst... da helfen dann wieder nur zig getrennte Backups deines CryptoContainers auf meherer exterenen Fesplatten

Hört sich alles spannend an.
Ich denke ich sollte dann weiter meine Festplatten-Strategie fahren und zusätzlich immer eine Festplatte im Schrank liegen haben.
Habe mir eben außerdem eine vernünftige Firewall installiert, die mir hoffentlich vieles mitteilt was im System passiert. Registry-Änderungen, Dateiveränderungen, Ein- und Ausgehende Verbindungen werden schonmal gut erkannt.

..."Ich denke ich sollte dann weiter meine Festplatten-Strategie fahren und zusätzlich immer eine !MEHRERE! Festplatten woanders im Schrank liegen haben."...

Jo

Abschließend hätte ich noch eine Frage.
Laut Windows ist nur SYSTEM dazu berechtigt in ProgramData zu schreiben.
Wie konnte dieser Schädling sich also in ProgramData abspeichern?

Indem er sich SYSTEM-Rechte besorgt, wie sonst

Trojaner können das, sonst würde es sie nicht geben!

Ist das unter Windows 10 noch immer möglich?
Ich kenne mich nicht aus aber ist das ganze Sicherheitssystem dann nicht Blödsinn hoch 10 wenn der Nutzer nicht vorher gefragt wird oder es sonst irgendwelchen anderen Riegel gibt?

"Programmdata" hat doch mit Systemrechten nix zu tun!...
das wurde doch extra erfunden damit Programme dort idealerweise (nur) ihre Daten gezielt ablegen können. (weil "Programme" und "ProgrammeX86" jetzt eben sicher sind.

Das Rechtesystem von Win10 funktioniert schon und ab den ProVersionen kann man das per Gruppenrichtlinien auch sehr einfach selbst weiter verfeinern&anpassen.

Also: es kommt zwar etwas drauf an wer den Ordner erstellt hat.... aber auch wenn man kein Admin ist, dann hat man eben unter dem ProgrammData Ordner nur auf die Ordner Schreibrechte, die man selber erstellt hat (da wo man Besitzer ist)... un ja da darf dann auch ein Trojaner den man selbst gestartet hat reinschreiben was er will

Aber nach meiner Erfahrung arbeiten fast alle WindowsHome Anwender eh selbst ständig als "Admin", weil sie nicht wissen wie sie da selbst gezielt ihre Rechte konfigurieren sollen.
Sorry, deshalb ist WindowsXYhome für mich zum sicheren Arbeiten ein NoGo... die 100€ für eine WinPro Lizenz machen einen nicht arm und MS nicht spürbar reich

Was genau ist am Rechtesystem der Home denn besser?
Was soll man da einstellen, damit es sicherer wird?

..."Was genau ist am Rechtesystem der Home denn besser?"...
gar nichts!

..."Was soll man da einstellen, damit es sicherer wird?"...
zur täglichen Arbeit mindestens einen zweiten Extranutzer anlegen der NICHTS INSTALLIEREN kann, also welcher maximal nur "Standardnutzer" und absolut kein "Admin" ist


Noch besser von "Home" auf "Pro" Version upgraden und dort weiteres per Gruppenrichtlienien gezielt konfigurieren