Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Bitlocker und Bios-Kennwörter

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

04.06.2009, aktualisiert 11:18 Uhr, 11315 Aufrufe, 12 Kommentare

Hallo Bitlocker-Spezis,

auf einem Dell Vostro Notebook soll Bitlocker eingesetzt werden (mit Vista SP2). Nach der Verschlüsselung wurde nun noch ein Bios-Kennwort gesetzt - seitdem springt Bitlocker vor jedem Booten im Viereck und will das Wiederherstellungskennwort haben, bevor gebootet wird. Entferne ich das Bios-Kennwort, ist der Spuk vorbei.
Da wir mehrere Rechner mit Bitlocker und Bioskennw. zusammen einsetzen und bei denen alles glatt geht, kann es wohl nur an diesem tollen Bios liegen... es ist jedoch kein neueres und auch kein älteres zum Download verfügbar.

Kann mir jemand mal erläutern, was Bitlocker hier als Angriff empfindet, was er bei anderen Notebooks mit Bios-Kennwortschutz nicht sieht?
Mitglied: Gagarin
04.06.2009 um 13:19 Uhr
Das hoert sich hier ganz nach einem Problem mit dem Zusammenspiel von TPM Modul und BIOS des Herstellers an. Was sagt den der DELL Support?
Bitte warten ..
Mitglied: 78632
04.06.2009 um 13:24 Uhr
Ich tippe da eher auf ein unglückliches Zusammenspiel von ATA-Security mit Bitlocker. In dem Fall muss man sicher das Bios-Kennwort vor der Verschlüsselung setzen und auch vor dem Systemstart eingeben.
Der richtige Ansprechpartner wäre trotzdem Dell.
Bitte warten ..
Mitglied: DerWoWusste
04.06.2009 um 15:49 Uhr
Danke Euch beiden.
Auch wenn Dell einen guten Support hat, befürchte ich, dass Sie keinen Schimmer von Bitlocker/TPM haben (einen Versuch ist es Wert, das ist mir klar). Ich hoffte hier Hinweise zu den technischen Zusammenhängen zu bekommen. Bitlocker meldet, dass Bootdateien modifiziert wurden, was natürlich nicht stimmen kann. Wie spielt das Bios-Kennwort dort mit rein oder anders gefragt: Was passiert beim Setzen so eines Kennwortes überhaupt?

Ich werde das Bios wohl gar nicht mehr schützen, so wild ist das auch nicht. Somit dient die Antwort nur meiner Wissenserweiterung.
Bitte warten ..
Mitglied: 78632
04.06.2009 um 15:51 Uhr
Das Bios wirst du möglicherweise gar nicht schützen, sondern lediglich die Festplatte(n):
http://www.heise.de/ct/Wie-ATA-Sicherheitsfunktionen-Ihre-Daten-gefaehr ...
Bitte warten ..
Mitglied: DerWoWusste
04.06.2009 um 16:36 Uhr
Nein, ich setze kein ATA-Security-, sondern ein Bios-Kennwort. Da wir aber eh Pre-Boot-Authentication mit PIN benutzen, brauchen wir das Bios nicht mehr wirklich zu schützen, der Nutzer gurkt daran eh nicht rum.
Bitte warten ..
Mitglied: Gagarin
04.06.2009 um 16:40 Uhr
Beim Setup von BitLocker wird ein Abbild der Trusted Platform Module’s (TPM) Register im OS gespeichert .
Jedesmal wenn nun das OS hochfaehrt wuerd ueberprueft ob die aktuelle Konfiguration mit der gespeicherten Uebereinstimmt.
In dieser Konfiguration gibt es eine Einstellung die sich "User Entered Password" nennt (wird beim POST aufgerufen). Bei Vergabe eines Bios-Passwortes stimmt die gespeicherte TPM Konfiguration nicht mehr mit dem vom OS gespeichertem Abbild ueberein.

Ergo: Aufforderung fuer das Wiederherstellungskennwort kommt hoch.

Workaround: BitLocker deaktivieren und danach wieder reaktivieren.
Bitte warten ..
Mitglied: DerWoWusste
04.06.2009 um 16:47 Uhr
Ihr werdet wohl Recht haben - einfach erneut verschlüsseln/de- /reaktivieren. Ich frage mich nur, was denn dann der Sinn ist, das WDH-K3ennw. einzugeben. Sollte dies nicht die "Änderung" authorisieren und weitere Abfragen ausschalten?
Bitte warten ..
Mitglied: Gagarin
04.06.2009 um 17:03 Uhr
Nicht erneut verschluesseln, einfach deaktivieren und danach reaktivieren.

Ich stimme mit dir Ueberein das dass Wiederherstellungskennwort weitere Abfragen verhindern sollte.

Ich wuerde grundsaetzlich bei einem BitLocked System empfehlen bei Aenderungen an Boot-Dateien MBR oder am BIOS vorher BitLocker zeitweise zu deaktivieren.

Hier noch mal was interessantes von MS:

"System integrity verification
BitLocker can use a TPM to verify the integrity of early boot components and boot configuration data. This helps ensure that BitLocker makes the encrypted drive accessible only if those components have not been tampered with and the encrypted drive is located in the original computer.

BitLocker helps ensure the integrity of the startup process by taking the following actions:

Provide a method to check that early boot file integrity has been maintained, and help ensure that there has been no adversarial modification of those files, such as with boot sector viruses or rootkits.

Enhance protection to mitigate offline software-based attacks. Any alternative software that might start the system does not have access to the decryption keys for the Windows operating system drive.

Lock the system when it is tampered with. If any monitored files have been tampered with, the system does not start. This alerts the user to the tampering, because the system fails to start as usual. In the event that system lockout occurs, BitLocker offers a simple recovery process."

Ich wuerde mich freuen wenn jemand eine Auflistung hat was BitLocker eigentlich ueberwacht.
Bitte warten ..
Mitglied: DerWoWusste
04.06.2009 um 19:46 Uhr
Hab da was für uns... im gpedit.msc (computer config, adm. templ., Bitlocker) finden sich die Dinge (PCRs = Platform Configuration Registers), die Bitlocker auf Integrität prüft. Unten Die Standardsettings, sie lassen sich abstellen oder erweitern.
The default platform validation profile secures the encryption key against changes to the
Core Root of Trust of Measurement (CRTM), BIOS, and Platform Extensions (PCR 0),
the Option ROM Code (PCR 2),
the Master Boot Record (MBR) Code (PCR 4)
the NTFS Boot Sector (PCR 8)
the NTFS Boot Block (PCR 9)
the Boot Manager (PCR 10)
and the BitLocker Access Control (PCR 11).

Wenn jetzt jemand noch erklären könnte, warum die Eingabe des WDH-KWs nicht einmalig reicht, wäre ich bedient
Bitte warten ..
Mitglied: DerWoWusste
04.06.2009 um 20:26 Uhr
Die Meldung lautet bei genauem Hinsehen

Confirm that the boot changes to this system are authorized.
If the changes to the boot system are trusted, then disable and re-enable BitLocker

Da steht es ja dick und breit... Eine Deaktivierung/Aktivierung ist zusätzlich zum WDH-KW erforderlich. Nur: Warum brauchte ich das auf einem anderen System nicht? Da hatte ich auch schon mal diese Meldung und nach Eingabe des WDH-KWs war gut - nichts mit de- und reaktivieren.
Egal - morgen setze ich erneut ein Bios-Kennwort.
Bitte warten ..
Mitglied: DerWoWusste
09.06.2009 um 09:20 Uhr
Da war doch noch was...
Es gilt tatsächlich weiterhin: "wer lesen kann..." - alles in Butter.
Bitte warten ..
Ähnliche Inhalte
Microsoft
Bios Kennwort per GPO
gelöst Frage von Adnan88Microsoft1 Kommentar

Hallo weiß jemand ob und wenn ja wie es möglich ist für das ganze Unternehmen ein BIOS Kennwort per ...

Windows 10
Bitlocker deaktivieren?
Frage von GewardWindows 109 Kommentare

Hallo, wir sind grade in unseren Windows 10 anfängen und möchten Bitlocker deaktivieren damit Kryptotrojaner und ähnliche Ransomware nicht ...

Windows 10
BitLocker mit Smartcard??
gelöst Frage von trallerWindows 1012 Kommentare

Hallo, ist folgendes unter Windows 10 mit BitLocker möglich? Entsperren einer BitLocker Systemlaufwerksverschlüsselung mit SmartCard Wenn SmartCard drin, soll ...

Sicherheit
Bitlocker für alle - und die Folgen
Erfahrungsbericht von DerWoWussteSicherheit7 Kommentare

Mit dem Win10-Rollout und der damit verbundenen, auf die Welt zu schwappenden Welle von Bitlocker-fähigen OS' kommen immer häufiger ...

Neue Wissensbeiträge
Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 7 StundenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 7 StundenMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 7 StundenHardware10 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

MikroTik RouterOS

Mikrotik Advisory: Vulnerability exploiting the Winbox port

Information von colinardo vor 7 StundenMikroTik RouterOS

Brand aktuell: Eine Schwachstelle im Winbox-Port bei Mikrotik Routern erlaubt das Auslesen der User-Datenbank der Router. Patch ist aktuell ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux23 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL16 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server13 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...

Router & Routing
Gesichertes NTP, wie z.B. NTPsec oder andere Variante bei Fritzboxen möglich ?
Frage von BruniumRouter & Routing11 Kommentare

Aktueller Zustand: Verwendung von ungesicherten NTP mit Fritzbox Gewünschter Zustand: Verwendung von gesicherten NTP mit Fritzbox Frage: Was gibt ...