12
Bitlocker und Bios-Kennwörter
Hallo Bitlocker-Spezis,
auf einem Dell Vostro Notebook soll Bitlocker eingesetzt werden (mit Vista SP2). Nach der Verschlüsselung wurde nun noch ein Bios-Kennwort gesetzt - seitdem springt Bitlocker vor jedem Booten im Viereck und will das Wiederherstellungskennwort haben, bevor gebootet wird. Entferne ich das Bios-Kennwort, ist der Spuk vorbei.
Da wir mehrere Rechner mit Bitlocker und Bioskennw. zusammen einsetzen und bei denen alles glatt geht, kann es wohl nur an diesem tollen Bios liegen... es ist jedoch kein neueres und auch kein älteres zum Download verfügbar.
Kann mir jemand mal erläutern, was Bitlocker hier als Angriff empfindet, was er bei anderen Notebooks mit Bios-Kennwortschutz nicht sieht?
auf einem Dell Vostro Notebook soll Bitlocker eingesetzt werden (mit Vista SP2). Nach der Verschlüsselung wurde nun noch ein Bios-Kennwort gesetzt - seitdem springt Bitlocker vor jedem Booten im Viereck und will das Wiederherstellungskennwort haben, bevor gebootet wird. Entferne ich das Bios-Kennwort, ist der Spuk vorbei.
Da wir mehrere Rechner mit Bitlocker und Bioskennw. zusammen einsetzen und bei denen alles glatt geht, kann es wohl nur an diesem tollen Bios liegen... es ist jedoch kein neueres und auch kein älteres zum Download verfügbar.
Kann mir jemand mal erläutern, was Bitlocker hier als Angriff empfindet, was er bei anderen Notebooks mit Bios-Kennwortschutz nicht sieht?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 117450
Url: https://administrator.de/contentid/117450
Printed on: April 25, 2024 at 23:04 o'clock
12 Comments
Latest comment
Das hoert sich hier ganz nach einem Problem mit dem Zusammenspiel von TPM Modul und BIOS des Herstellers an. Was sagt den der DELL Support?
Ich tippe da eher auf ein unglückliches Zusammenspiel von ATA-Security mit Bitlocker. In dem Fall muss man sicher das Bios-Kennwort vor der Verschlüsselung setzen und auch vor dem Systemstart eingeben.
Der richtige Ansprechpartner wäre trotzdem Dell.
Der richtige Ansprechpartner wäre trotzdem Dell.
Danke Euch beiden.
Auch wenn Dell einen guten Support hat, befürchte ich, dass Sie keinen Schimmer von Bitlocker/TPM haben (einen Versuch ist es Wert, das ist mir klar). Ich hoffte hier Hinweise zu den technischen Zusammenhängen zu bekommen. Bitlocker meldet, dass Bootdateien modifiziert wurden, was natürlich nicht stimmen kann. Wie spielt das Bios-Kennwort dort mit rein oder anders gefragt: Was passiert beim Setzen so eines Kennwortes überhaupt?
Ich werde das Bios wohl gar nicht mehr schützen, so wild ist das auch nicht. Somit dient die Antwort nur meiner Wissenserweiterung.
Auch wenn Dell einen guten Support hat, befürchte ich, dass Sie keinen Schimmer von Bitlocker/TPM haben (einen Versuch ist es Wert, das ist mir klar). Ich hoffte hier Hinweise zu den technischen Zusammenhängen zu bekommen. Bitlocker meldet, dass Bootdateien modifiziert wurden, was natürlich nicht stimmen kann. Wie spielt das Bios-Kennwort dort mit rein oder anders gefragt: Was passiert beim Setzen so eines Kennwortes überhaupt?
Ich werde das Bios wohl gar nicht mehr schützen, so wild ist das auch nicht. Somit dient die Antwort nur meiner Wissenserweiterung.
Das Bios wirst du möglicherweise gar nicht schützen, sondern lediglich die Festplatte(n):
http://www.heise.de/ct/Wie-ATA-Sicherheitsfunktionen-Ihre-Daten-gefaehr ...
http://www.heise.de/ct/Wie-ATA-Sicherheitsfunktionen-Ihre-Daten-gefaehr ...
Nein, ich setze kein ATA-Security-, sondern ein Bios-Kennwort. Da wir aber eh Pre-Boot-Authentication mit PIN benutzen, brauchen wir das Bios nicht mehr wirklich zu schützen, der Nutzer gurkt daran eh nicht rum.
Beim Setup von BitLocker wird ein Abbild der Trusted Platform Module’s (TPM) Register im OS gespeichert .
Jedesmal wenn nun das OS hochfaehrt wuerd ueberprueft ob die aktuelle Konfiguration mit der gespeicherten Uebereinstimmt.
In dieser Konfiguration gibt es eine Einstellung die sich "User Entered Password" nennt (wird beim POST aufgerufen). Bei Vergabe eines Bios-Passwortes stimmt die gespeicherte TPM Konfiguration nicht mehr mit dem vom OS gespeichertem Abbild ueberein.
Ergo: Aufforderung fuer das Wiederherstellungskennwort kommt hoch.
Workaround: BitLocker deaktivieren und danach wieder reaktivieren.
Jedesmal wenn nun das OS hochfaehrt wuerd ueberprueft ob die aktuelle Konfiguration mit der gespeicherten Uebereinstimmt.
In dieser Konfiguration gibt es eine Einstellung die sich "User Entered Password" nennt (wird beim POST aufgerufen). Bei Vergabe eines Bios-Passwortes stimmt die gespeicherte TPM Konfiguration nicht mehr mit dem vom OS gespeichertem Abbild ueberein.
Ergo: Aufforderung fuer das Wiederherstellungskennwort kommt hoch.
Workaround: BitLocker deaktivieren und danach wieder reaktivieren.
Ihr werdet wohl Recht haben - einfach erneut verschlüsseln/de- /reaktivieren. Ich frage mich nur, was denn dann der Sinn ist, das WDH-K3ennw. einzugeben. Sollte dies nicht die "Änderung" authorisieren und weitere Abfragen ausschalten?
Nicht erneut verschluesseln, einfach deaktivieren und danach reaktivieren.
Ich stimme mit dir Ueberein das dass Wiederherstellungskennwort weitere Abfragen verhindern sollte.
Ich wuerde grundsaetzlich bei einem BitLocked System empfehlen bei Aenderungen an Boot-Dateien MBR oder am BIOS vorher BitLocker zeitweise zu deaktivieren.
Hier noch mal was interessantes von MS:
"System integrity verification
BitLocker can use a TPM to verify the integrity of early boot components and boot configuration data. This helps ensure that BitLocker makes the encrypted drive accessible only if those components have not been tampered with and the encrypted drive is located in the original computer.
BitLocker helps ensure the integrity of the startup process by taking the following actions:
Provide a method to check that early boot file integrity has been maintained, and help ensure that there has been no adversarial modification of those files, such as with boot sector viruses or rootkits.
Enhance protection to mitigate offline software-based attacks. Any alternative software that might start the system does not have access to the decryption keys for the Windows operating system drive.
Lock the system when it is tampered with. If any monitored files have been tampered with, the system does not start. This alerts the user to the tampering, because the system fails to start as usual. In the event that system lockout occurs, BitLocker offers a simple recovery process."
Ich wuerde mich freuen wenn jemand eine Auflistung hat was BitLocker eigentlich ueberwacht.
Ich stimme mit dir Ueberein das dass Wiederherstellungskennwort weitere Abfragen verhindern sollte.
Ich wuerde grundsaetzlich bei einem BitLocked System empfehlen bei Aenderungen an Boot-Dateien MBR oder am BIOS vorher BitLocker zeitweise zu deaktivieren.
Hier noch mal was interessantes von MS:
"System integrity verification
BitLocker can use a TPM to verify the integrity of early boot components and boot configuration data. This helps ensure that BitLocker makes the encrypted drive accessible only if those components have not been tampered with and the encrypted drive is located in the original computer.
BitLocker helps ensure the integrity of the startup process by taking the following actions:
Provide a method to check that early boot file integrity has been maintained, and help ensure that there has been no adversarial modification of those files, such as with boot sector viruses or rootkits.
Enhance protection to mitigate offline software-based attacks. Any alternative software that might start the system does not have access to the decryption keys for the Windows operating system drive.
Lock the system when it is tampered with. If any monitored files have been tampered with, the system does not start. This alerts the user to the tampering, because the system fails to start as usual. In the event that system lockout occurs, BitLocker offers a simple recovery process."
Ich wuerde mich freuen wenn jemand eine Auflistung hat was BitLocker eigentlich ueberwacht.
Kennst du den Leitfaden?
http://testlab.sit.fraunhofer.de/content/output/project_results/bitlock ...
http://testlab.sit.fraunhofer.de/content/output/project_results/bitlock ...
Hab da was für uns... im gpedit.msc (computer config, adm. templ., Bitlocker) finden sich die Dinge (PCRs = Platform Configuration Registers), die Bitlocker auf Integrität prüft. Unten Die Standardsettings, sie lassen sich abstellen oder erweitern.
Wenn jetzt jemand noch erklären könnte, warum die Eingabe des WDH-KWs nicht einmalig reicht, wäre ich bedient
The default platform validation profile secures the encryption key against changes to the
Core Root of Trust of Measurement (CRTM), BIOS, and Platform Extensions (PCR 0),
the Option ROM Code (PCR 2),
the Master Boot Record (MBR) Code (PCR 4)
the NTFS Boot Sector (PCR 8)
the NTFS Boot Block (PCR 9)
the Boot Manager (PCR 10)
and the BitLocker Access Control (PCR 11).
Core Root of Trust of Measurement (CRTM), BIOS, and Platform Extensions (PCR 0),
the Option ROM Code (PCR 2),
the Master Boot Record (MBR) Code (PCR 4)
the NTFS Boot Sector (PCR 8)
the NTFS Boot Block (PCR 9)
the Boot Manager (PCR 10)
and the BitLocker Access Control (PCR 11).
Wenn jetzt jemand noch erklären könnte, warum die Eingabe des WDH-KWs nicht einmalig reicht, wäre ich bedient
Die Meldung lautet bei genauem Hinsehen
Da steht es ja dick und breit... Eine Deaktivierung/Aktivierung ist zusätzlich zum WDH-KW erforderlich. Nur: Warum brauchte ich das auf einem anderen System nicht? Da hatte ich auch schon mal diese Meldung und nach Eingabe des WDH-KWs war gut - nichts mit de- und reaktivieren.
Egal - morgen setze ich erneut ein Bios-Kennwort.
Confirm that the boot changes to this system are authorized.
If the changes to the boot system are trusted, then disable and re-enable BitLocker
If the changes to the boot system are trusted, then disable and re-enable BitLocker
Da steht es ja dick und breit... Eine Deaktivierung/Aktivierung ist zusätzlich zum WDH-KW erforderlich. Nur: Warum brauchte ich das auf einem anderen System nicht? Da hatte ich auch schon mal diese Meldung und nach Eingabe des WDH-KWs war gut - nichts mit de- und reaktivieren.
Egal - morgen setze ich erneut ein Bios-Kennwort.
Da war doch noch was...
Es gilt tatsächlich weiterhin: "wer lesen kann..." - alles in Butter.
Es gilt tatsächlich weiterhin: "wer lesen kann..." - alles in Butter.
