docs: commit pending status updates from 2026-06-06 sprint wrap-up

Preserves uncommitted working-copy updates (Veeam recovery test done, BitLocker decision, ACL rollout, freshness negative test) before the documentation consolidation restructures these files. Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
2026-06-11 07:00:25 +02:00
parent 58c3324557
commit 42ed59a4d7
6 changed files with 50 additions and 46 deletions
@@ -221,7 +221,7 @@ Kopier-/Doppelbestand:
 ## Offene Punkte

 - ~~WinRE/Secure Boot/TPM Admin-Check~~ **Erledigt 2026-06-05** (siehe Abschnitt "Admin-Nachlauf 2026-06-05"): WinRE aktiviert, Secure Boot `True`, TPM ready/enabled.
- **BitLocker-Entscheidung offen:** Alle Laufwerke `FullyDecrypted`, Protection `Off`. Vor Aktivierung: Recovery Keys fuer mindestens `C:` und `D:` an drei Orten sichern (Vaultwarden, `D:\30_Finanzen\BitLocker-RecoveryKey-baerchen-<DATUM>.txt`, physisch). Verweis: `docs/MASTER_TODO.md` Abschnitt "Windows / Workstation baerchen".
+- **BitLocker bewusst deaktiviert (Entscheidung 2026-06-06):** Alle Laufwerke `FullyDecrypted`, Protection `Off`. Recovery laeuft ueber das Veeam-Image; kein BitLocker-Key-Management. Bei spaeterer Aktivierung waere ein neuer Aenderungsblock mit Recovery-Key-Ablage noetig.
 - Optional: `D:\11_Bilder` ReadOnly-Attribut beobachten; fuer Windows-Shell-Ordner ist das in der Praxis meist unkritisch.
 - Optional: `D:\13_Musik` bleibt leer, solange aus dem Backup keine Musikdaten nachgezogen werden muessen.
 - Optional: `G:\Apps`, `G:\Workspace`, `D:\WSL` in der Homelab-/Dev-Doku ergaenzen.
@@ -314,7 +314,7 @@ Admin-Nachlauf 2026-06-05:
 - TPM: vorhanden, ready, enabled, activated, owned
 - BitLocker-Status geprueft:
  - `C:`, `D:`, `E:`, `G:`, `H:` sind `FullyDecrypted`, Protection `Off`
-  - BitLocker wurde nicht automatisch aktiviert, weil dafuer eine bewusste Recovery-Key- und Lockout-Entscheidung noetig ist.
+  - BitLocker wurde bewusst nicht aktiviert (Entscheidung 2026-06-06); Recovery laeuft ueber das Veeam-Image.
 - OneDrive Per-Machine Standalone Update Task wurde deaktiviert.
 - SSH-Aliases angelegt und getestet:
  - `kallilabcore` -> `root@100.80.98.33`
@@ -322,4 +322,4 @@ Admin-Nachlauf 2026-06-05:

 Weiter offen:

- BitLocker-Entscheidung fuer mindestens `C:` und `D:` treffen. Vor Aktivierung Recovery Keys extern sichern.
+- Kein BitLocker-Todo mehr. Spaetere Aktivierung nur als neuer bewusster Aenderungsblock mit externer Recovery-Key-Ablage.
@@ -1,6 +1,6 @@
 # Windows Image Backup Baseline - baerchen

-Stand: 2026-06-05
+Stand: 2026-06-06

 Dieses Runbook beschreibt den Windows-Image-Backup-Workflow fuer den frisch
 aufgesetzten Windows-11-Rechner `baerchen`. Ziel ist ein schneller Bare-Metal-
@@ -22,7 +22,7 @@ Unraid-SMB-Share `backups`.
 | Share-Modell | bestehender Unraid-Share `backups`, kein neuer Share |
 | SMB-User | `micha` (bestehender Unraid-User mit Read/Write auf `backups`) |
 | Veeam Job | `baerchen-c-image` |
-| Verschluesselung | Stand erster Lauf: Veeam Storage Encryption **nicht aktiv** (`StorageEncryptionEnabled=False` im Job-Log); optional separat aktivieren und neues Full-Backup erzeugen |
+| Verschluesselung | Veeam Storage Encryption **bewusst nicht aktiv** (`StorageEncryptionEnabled=False` im Job-Log); neu bewerten nur bei Off-host-Auslagerung des Windows-Images |
 | Recovery Media | USB-Stick `VEEAMRE` auf Laufwerk F: erstellt |

 ## Bewusste Entscheidungen
@@ -33,8 +33,8 @@ Unraid-SMB-Share `backups`.
 - Es wurde vorerst kein dedizierter SMB-User `veeam-baerchen` angelegt, um
  keine Unraid-Share-/User-Aenderung zu erzwingen. Der produktive Job nutzt
  den bestehenden User `micha`.
- BitLocker wurde am 2026-06-05 nicht aktiviert. TPM, Secure Boot und WinRE
-  wurden geprueft; BitLocker bleibt ein separater Security-Schritt.
+- BitLocker bleibt bewusst deaktiviert (Entscheidung 2026-06-06). Recovery
+  laeuft ueber das Veeam-Image; kein BitLocker-Key-Management.
 - Der Recovery-Stick ist Teil des Restore-Pfads und muss getrennt vom Rechner
  aufbewahrt werden.

@@ -65,14 +65,13 @@ Veeam Agent -> Job `baerchen-c-image`
 - Shared folder: `\\kallilabcore\backups\windows-images\baerchen`
 - Credentials: bestehender Unraid-SMB-User `micha`
 - Compression: `Optimal`
- Storage encryption: Stand erster Lauf **nicht aktiv**
+- Storage encryption: **bewusst nicht aktiv**
 - Schedule: Workstation-Schedule in Veeam; Stand 2026-06-05: taeglich nachts
  eingerichtet.

-Wenn Veeam Storage Encryption spaeter aktiviert wird, ist das
-Veeam-Job-Passwort nicht aus dem Repo wiederherstellbar. Es muss dann in
-Vaultwarden als eigener Eintrag/Secure Note liegen und vor dem ersten
-verschluesselten Full-Backup getestet werden.
+Wenn Veeam Storage Encryption spaeter doch aktiviert wird, ist das ein neuer
+bewusster Aenderungsblock: Passwort in Vaultwarden anlegen, Job umstellen,
+neues Full-Backup erzeugen und Recovery-Test wiederholen.

 ## Secrets und Ablageorte

@@ -80,9 +79,9 @@ Keine Secret-Werte in dieses Repository schreiben.

 | Secret | Ablage |
 |---|---|
-| Veeam Job Encryption Password | nur noetig, falls Veeam Storage Encryption aktiviert wird; Ziel: Vaultwarden Secure Note `Veeam baerchen backup encryption password` |
+| Veeam Job Encryption Password | nicht noetig, solange Veeam Storage Encryption bewusst deaktiviert bleibt; Ziel bei spaeterer Aktivierung: Vaultwarden Secure Note `Veeam baerchen backup encryption password` |
 | SMB Credential fuer Backup-Ziel | bestehender Unraid/Vaultwarden-Eintrag fuer User `micha` |
-| BitLocker Recovery Key | noch nicht aktiv; Ziel bei Aktivierung: `D:\30_Finanzen\BitLocker-RecoveryKey-baerchen-<DATUM>.txt`, Vaultwarden Secure Note, physischer Ausdruck |
+| BitLocker Recovery Key | nicht noetig, weil BitLocker bewusst deaktiviert ist; Ziel bei spaeterer Aktivierung: `D:\30_Finanzen\BitLocker-RecoveryKey-baerchen-<DATUM>.txt`, Vaultwarden Secure Note, physischer Ausdruck |

 ## Recovery Media

@@ -173,12 +172,10 @@ den Job erfolgreich schreibt, liegt das meist an getrennten Credentials:
 Veeam nutzt gespeicherte Job-Credentials, waehrend die interaktive Windows-
 Sitzung zusaetzlich per `net use` authentifiziert werden muss.

-## Offene Punkte
+## Verbleibende Optionen

- Entscheiden, ob Veeam Storage Encryption nachtraeglich aktiviert werden soll.
-  Wenn ja: Passwort in Vaultwarden anlegen, Job umstellen und ein neues Full-
-  Backup erzeugen.
- Optional: BitLocker C: separat aktivieren und Recovery-Key an den drei
-  vorgesehenen Orten sichern.
 - Optional: spaeter dedizierten SMB-User `veeam-baerchen` anlegen, falls die
  Unraid-User-/Share-Policy wieder angefasst wird.
+- Veeam Storage Encryption und BitLocker sind keine offenen Entscheidungen mehr;
+  beide bleiben bewusst deaktiviert und werden nur bei neuem Risiko-/Ablageprofil
+  erneut bewertet.
@@ -45,7 +45,8 @@ Noch offen:
 - Manuelle Screenshots in `H:\Windows-Neuaufsetzen-Backup\14_Screenshots` ablegen.
 - BitLocker-Status mit Adminrechten pruefen. **Nachlauf 2026-06-05:** Status
  wurde geprueft; C:/D:/E:/G:/H: sind `FullyDecrypted`, Protection `Off`.
-  Offen bleibt nur die bewusste BitLocker-Entscheidung.
+  **Entscheidung 2026-06-06:** BitLocker bleibt bewusst deaktiviert; Recovery
+  laeuft ueber Veeam-Image, kein BitLocker-Key-Management.
 - Passwortmanager, 2FA-Recovery-Codes und Browser-Sync manuell pruefen. **Erledigt 2026-06-06 laut Operator-Bestaetigung.**
 - Banking4-Speicherort explizit pruefen. **Erledigt 2026-06-06 laut Operator-Bestaetigung.**
 - Banking4 im Programm selbst oeffnen und aktuellen Datentresor/Backup-Export bestaetigen. Der Key und der Datentresor sind bereits lokal auf H: gesichert. **Erledigt 2026-06-06 laut Operator-Bestaetigung.**
@@ -469,7 +470,7 @@ Direkt nach der Installation:
 - Windows-Aktivierung prüfen
 - Laufwerksbuchstaben sauber vergeben
 - Windows Defender und Firewall prüfen
- BitLocker bewusst aktivieren oder deaktiviert lassen
+- BitLocker bewusst deaktiviert lassen (Entscheidung 2026-06-06)
 - Wiederherstellungspunkt erstellen

 Basisprogramme: