13
Bitlocker - Nutzung mit TPM - Sicherheit ohne PIN
Hallo allerseits,
gerade registriert, schon eine Frage.
Es geht um (wie man der Überschrift entnehmen kann) um Bitlocker.
Es besteht ja die Möglichkeit, Bitlocker zu aktivieren und ohne PIN-Abfrage über TPM entschlüsseln zu lassen.
Mein Hirn lässt allerdings noch nicht ganz zu, wie das funktionieren soll.
Wenn ich den Trusted-Chip nutze, entschlüsselt er automatisch das System.
Sprich, irgendjemand, der mein Notebook findet, kann das Gerät hochfahren und trotzdem versuchen auf das Windows-System zu gelangen, da er kein "spezielles" Passwort eingeben muss (sprich, Bitlocker).
Wie ist mein Rechner dadurch trotzdem sicher?
Ich hoffe ich das konnte das verstädnlich beschreiben und ihr wisst, worauf ich hinaus möchte.
Danke im Voraus!
Grüße
gerade registriert, schon eine Frage.
Es geht um (wie man der Überschrift entnehmen kann) um Bitlocker.
Es besteht ja die Möglichkeit, Bitlocker zu aktivieren und ohne PIN-Abfrage über TPM entschlüsseln zu lassen.
Mein Hirn lässt allerdings noch nicht ganz zu, wie das funktionieren soll.
Wenn ich den Trusted-Chip nutze, entschlüsselt er automatisch das System.
Sprich, irgendjemand, der mein Notebook findet, kann das Gerät hochfahren und trotzdem versuchen auf das Windows-System zu gelangen, da er kein "spezielles" Passwort eingeben muss (sprich, Bitlocker).
Wie ist mein Rechner dadurch trotzdem sicher?
Ich hoffe ich das konnte das verstädnlich beschreiben und ihr wisst, worauf ich hinaus möchte.
Danke im Voraus!
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 381099
Url: https://administrator.de/contentid/381099
Printed on: April 19, 2024 at 14:04 o'clock
13 Comments
Latest comment
Moin,
der Vorteil durch diese Konstellation ist schlicht, dass die Platte nur in Verbindung mit genau diesem TPM Chip Boot fähig oder entschlüsselbar ist.
Gruß
Spirit
der Vorteil durch diese Konstellation ist schlicht, dass die Platte nur in Verbindung mit genau diesem TPM Chip Boot fähig oder entschlüsselbar ist.
Gruß
Spirit
Hallo,
Ja
Gruß,
Peter
Ja
Sprich, irgendjemand, der mein Notebook findet, kann das Gerät hochfahren und trotzdem versuchen auf das Windows-System zu gelangen, da er kein "spezielles" Passwort eingeben muss (sprich, Bitlocker).
JaWie ist mein Rechner dadurch trotzdem sicher?
Solange er diesen in dieser HW Kombination nicht einschaltet... Wenn er die Platte in ein anderes Gerät tut, tut sich nichts.Ich hoffe ich das konnte das verstädnlich beschreiben und ihr wisst, worauf ich hinaus möchte.
Du darfst in dieser Konstellation dein Notenbuch eben nicht im Taxi liegen lassenGruß,
Peter
Hi.
Ja, das wird oft missverstanden.
Du denkst vermutlich "er könnte ja nun einfach das Windowskennwort erraten" und schwups, ist er drin. Leider kann man an der Anmeldemaske selbst mit programmierbaren Tastaturen keinen effektiven Bruteforce-Angriff auf das Anmeldekennwort fahren - probiere es einmal aus. Somit ist bereits ein kurzes, aber nicht erratbares Kennwort von 3 Zeichen eine zu große Hürde, um das unsicher zu nennen.
Allerdings bleiben gewissen Angriffstypen auf den Verschlüsselungsschlüssel ohne PIN möglich, die man mit PIN nicht hat: sogenannte Coldboot-Attacks. Wer diese fürchtet, hat jedoch meist ganz andere Probleme und fürchtet auch, das Ziel von Agenten zu sein.
Ja, das wird oft missverstanden.
Du denkst vermutlich "er könnte ja nun einfach das Windowskennwort erraten" und schwups, ist er drin. Leider kann man an der Anmeldemaske selbst mit programmierbaren Tastaturen keinen effektiven Bruteforce-Angriff auf das Anmeldekennwort fahren - probiere es einmal aus. Somit ist bereits ein kurzes, aber nicht erratbares Kennwort von 3 Zeichen eine zu große Hürde, um das unsicher zu nennen.
Allerdings bleiben gewissen Angriffstypen auf den Verschlüsselungsschlüssel ohne PIN möglich, die man mit PIN nicht hat: sogenannte Coldboot-Attacks. Wer diese fürchtet, hat jedoch meist ganz andere Probleme und fürchtet auch, das Ziel von Agenten zu sein.
Danke euch!
Jetzt ist es verständlich geworden.
Ich schalte hier mal die nächste Frage dazu:
Ich möchte nun, dass in meinem Unternehmen Bitlocker automatisch auf alles Clients eingerichtet wird, ohne jeden einzelnen Client durchgehen zu müssen. Die GPOs sind schon angepasst. Wie kriege ich das hin, dass er beim nächsten Start der Clients beispielsweise Bitlocker sofort aktiviert und die Festplatte verschlüsselt?
Jetzt ist es verständlich geworden.
Ich schalte hier mal die nächste Frage dazu:
Ich möchte nun, dass in meinem Unternehmen Bitlocker automatisch auf alles Clients eingerichtet wird, ohne jeden einzelnen Client durchgehen zu müssen. Die GPOs sind schon angepasst. Wie kriege ich das hin, dass er beim nächsten Start der Clients beispielsweise Bitlocker sofort aktiviert und die Festplatte verschlüsselt?
Hi.
Zunächst einmal: Vorsicht. Das ist kein einfacher Eingriff. Sperrt man Nutzer aus Ihrem PC aus, können die doch recht ungemütlich werden. Hast Du Backups?
Wenn Du ein Enterprise-Agreement (Volumenlizenzen für Windows) hast, kannst Du MBAM nutzen. Damit kannst Du den BL-Rollout einfach erledigen.
Wenn nicht, musst Du Skripte nutzen, zum Beispiel ein Domänenstartskript (Batch):
Wenn Du zuvor die GPO gesetzt hast, dass nicht verchlüsselt werden darf, bis die Recoverykeys ins AD gebackupt wurden, dann kannst Du diese Batch nutzen. Denke auch an den Fall mit mehreren Partitionen (d:,...)
Zunächst einmal: Vorsicht. Das ist kein einfacher Eingriff. Sperrt man Nutzer aus Ihrem PC aus, können die doch recht ungemütlich werden. Hast Du Backups?
Wenn Du ein Enterprise-Agreement (Volumenlizenzen für Windows) hast, kannst Du MBAM nutzen. Damit kannst Du den BL-Rollout einfach erledigen.
Wenn nicht, musst Du Skripte nutzen, zum Beispiel ein Domänenstartskript (Batch):
manage-bde -on c: -s -used -rp
Hoch geschätzter DerWoWusste,
ich mag Deine fachlich sauberen Kommentare!
Aber - hier haste Mist geschrieben! BL schützt die Platte nur im ausgeschalteten Zustand. BL ohne Start per PW oder Stick ist untauglich. Das Anmeldekennwort ist ohne EFS Makulatur und lässt sich mit jedem Linux umgehen. Wenn EFS aktiv MUSS ein PW größer 15 besser 25 Stellen gewählt werden, wenn man sicher sein will. Denn BF Angriffe kommen nicht über die Eingabemaske! PW unter 8 Stellen lassen sich über Regenbogentabellen in Minuten umgehen, da es in der Windowsanmeldung kein Salz gibt. Ab 10 Stellen werden diese Dinger ineffektiv. Du hast aber Recht, es hängt davon ab, vor WEM man seine Daten schützen will, muss! Uwe
ich mag Deine fachlich sauberen Kommentare!
Aber - hier haste Mist geschrieben! BL schützt die Platte nur im ausgeschalteten Zustand. BL ohne Start per PW oder Stick ist untauglich. Das Anmeldekennwort ist ohne EFS Makulatur und lässt sich mit jedem Linux umgehen. Wenn EFS aktiv MUSS ein PW größer 15 besser 25 Stellen gewählt werden, wenn man sicher sein will. Denn BF Angriffe kommen nicht über die Eingabemaske! PW unter 8 Stellen lassen sich über Regenbogentabellen in Minuten umgehen, da es in der Windowsanmeldung kein Salz gibt. Ab 10 Stellen werden diese Dinger ineffektiv. Du hast aber Recht, es hängt davon ab, vor WEM man seine Daten schützen will, muss! Uwe
Hi!
BitLocker mit TPM ohne PIN/USB Stick ist bequem, aber nicht besonder sicher. Es ist definitiv besser als ohne TPM, denn so kann ein Finder/Dieb die Festplatte nicht ohne Wiederherstellungsschlüssel oder Benutzerpasswort auslesen. BitLocker mit TPM bietet aber weitere Vorteile: Das TPM nimmt z.B. eine Messung vor und kann so Manipulation am System (z.B. Rootkit) erkennen. In einem solchen Fall wird das TPM gesperrt und eine Anmeldung ist nur noch mit Wiederherstellungsschlüssel UND Benutzerpasswort möglich. In den meisten Firmen reicht BitLocker mit TPM. Aber vorsicht! Stelle sicher, dass bei diesen PC das First Boot Device fest auf die Systempartition konfiguriert und USB Boot deaktiviert wurde. Bootet ein Anwender z.B. seinen Laptop im Home Office mit einem USB Gerät, dann kann dies schon für eine fehlgeschlagene TPM Messung führen und der Anwneder ruft bei Dir an
Gleichs kann passieren, wenn ungeduldige Anwender Ihr Gerät "ausdrücken" anstatt sauber herunterzufahren.
BitLocker mit TMP und PIN kann in Entwicklungsabteilungen sinnvoll sein, oder in Firmen mit hoher Sicherheit. In dem Fall sollten Anwender die PIN selbst ändern können. Steuerung und Überwachung regelst Du am besten mit Dem Microsoft Bitlocker Administration und Monitoring-Kit (MBAM). Dafür brauchst Du aber Windows 10 Enterprise. Du kannst übrigens auch die automatische Netzwerkentsperrung für Dein Unternehmensstandort kofigurieren, dann müssen die Anwneder nur außerhalb die BitLocker PIN eingeben.
Achtung! Für das BitLocker Rollout solltest Du ein richtiges Projekt aufziehen. Das ist schon mittel komplex und sollte nicht mal eben hingeklickt werden.
BitLocker mit TPM ohne PIN/USB Stick ist bequem, aber nicht besonder sicher. Es ist definitiv besser als ohne TPM, denn so kann ein Finder/Dieb die Festplatte nicht ohne Wiederherstellungsschlüssel oder Benutzerpasswort auslesen. BitLocker mit TPM bietet aber weitere Vorteile: Das TPM nimmt z.B. eine Messung vor und kann so Manipulation am System (z.B. Rootkit) erkennen. In einem solchen Fall wird das TPM gesperrt und eine Anmeldung ist nur noch mit Wiederherstellungsschlüssel UND Benutzerpasswort möglich. In den meisten Firmen reicht BitLocker mit TPM. Aber vorsicht! Stelle sicher, dass bei diesen PC das First Boot Device fest auf die Systempartition konfiguriert und USB Boot deaktiviert wurde. Bootet ein Anwender z.B. seinen Laptop im Home Office mit einem USB Gerät, dann kann dies schon für eine fehlgeschlagene TPM Messung führen und der Anwneder ruft bei Dir an
Gleichs kann passieren, wenn ungeduldige Anwender Ihr Gerät "ausdrücken" anstatt sauber herunterzufahren.BitLocker mit TMP und PIN kann in Entwicklungsabteilungen sinnvoll sein, oder in Firmen mit hoher Sicherheit. In dem Fall sollten Anwender die PIN selbst ändern können. Steuerung und Überwachung regelst Du am besten mit Dem Microsoft Bitlocker Administration und Monitoring-Kit (MBAM). Dafür brauchst Du aber Windows 10 Enterprise. Du kannst übrigens auch die automatische Netzwerkentsperrung für Dein Unternehmensstandort kofigurieren, dann müssen die Anwneder nur außerhalb die BitLocker PIN eingeben.
Achtung! Für das BitLocker Rollout solltest Du ein richtiges Projekt aufziehen. Das ist schon mittel komplex und sollte nicht mal eben hingeklickt werden.
Moin Uwe.
BL schützt die Platte nur im ausgeschalteten Zustand. BL ohne Start per PW oder Stick ist untauglich. Das Anmeldekennwort ist ohne EFS Makulatur und lässt sich mit jedem Linux umgehen.
Das probiere einfach mal aus, um Dich vom Gegenteil zu überzeugen. Linux-Bootdisks können keine Kennwörter auf verschlüsslten Platten zurücksetzen. Wenn Du kein TPM haben solltest, nimm eine VM mit einem vTPM. Dafür brauchst Du jedoch als Host der VM Win10 oder Server 2016, nicht Windows xp.
Moin Matsushita.
Lass mich eins richtig stellen:
Lass mich eins richtig stellen:
Bootet ein Anwender z.B. seinen Laptop im Home Office mit einem USB Gerät, dann kann dies schon für eine fehlgeschlagene TPM Messung führen und der Anwneder ruft bei Dir an. Nein, in diesem Szenario wird keine "TPM-Messung" ausgeführt. Diese kommen nur beim Booten des eigentlichen OS zur Geltung.
Du hast mich einfach nicht verstanden. Bootet ein Anwender seinen Laptop im Home Office und USB Boot ist aktiviert, dann kann ein angeschlossenes USB Gerät zu einer negativen Messung führen. Und über diesen Punkt brauchen wir nicht diskutieren ;)
Zitat von @Matsushita:
Du hast mich einfach nicht verstanden. Bootet ein Anwender seinen Laptop im Home Office und USB Boot ist aktiviert, dann kann ein angeschlossenes USB Gerät zu einer negativen Messung führen. Und über diesen Punkt brauchen wir nicht diskutieren ;)
Du hast mich einfach nicht verstanden. Bootet ein Anwender seinen Laptop im Home Office und USB Boot ist aktiviert, dann kann ein angeschlossenes USB Gerät zu einer negativen Messung führen. Und über diesen Punkt brauchen wir nicht diskutieren ;)
Tritt so was nur bei dir auf?
Oder soll unsere Installation als Beispiel dann fehlerhaft sein/funktionieren?
Bei uns tritt solche eine fehl Kalkulation durch USB Sticks nicht auf..
Und über diesen Punkt brauchen wir nicht diskutieren
Nein?Damit der TPM dicht macht, muss er ja erst einmal gefragt werden. Und das passiert nur, wenn der Bootloader schon fragt. Und das wiederum ist nur der Fall, wenn ein TPM Protector vom bootenden OS benutzt wird. Benutzt dein USB-Bootmedium einen solchen? Nein, geht ja noch nicht einmal bei USB-Drives.
Das USB-OS kann versuchen, die Platte zu mounten, und kann natürlich nicht den TPM ansprechen - somit muss der Recoverykey herhalten.
Was Du Messung nennst, kommt nur beim normalen Bootvorgang von Platte:
BL Bootloader fragt: "Systempartition, wie bist Du geschützt?"
Syspart sagt: "TPM only"
Bootloader bittet TPM: "Rück mal den Schlüssel raus"
TPM sagt: "Mal sehen, Bios Settings sind unverändert, Bootloader ist unverändert, ich selbst habe noch die selbe Firmware...ok, hier kommt der Schlüssel"
Dann bootet Windows
@DerWoWusste
Linux-Bootdisks können keine Kennwörter auf verschlüsslten Platten zurücksetzen.
Muss doch auch nicht! Ist BL freigeschaltet, weil Finder den Läppi starten kann, da das TPM automatisch frei gibt, kommt das Windows Anmeldekennwort. Das ist aber ohne EFS nichts Wert. Es sei, es ist eine Domäne und auf dem Läppi liegen keine Daten.
Uwe
Linux-Bootdisks können keine Kennwörter auf verschlüsslten Platten zurücksetzen.
Muss doch auch nicht! Ist BL freigeschaltet, weil Finder den Läppi starten kann, da das TPM automatisch frei gibt, kommt das Windows Anmeldekennwort. Das ist aber ohne EFS nichts Wert. Es sei, es ist eine Domäne und auf dem Läppi liegen keine Daten.
Uwe
