Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Bitlocker auf Windows Server o. Windows 7 mit USB-KEY - was wenn der PC geklaut wird?

Mitglied: mueller-m1972

mueller-m1972 (Level 1) - Jetzt verbinden

16.05.2010, aktualisiert 17:20 Uhr, 4797 Aufrufe, 7 Kommentare

Hallo zusammen,

Ich habe einen PC/Server der leider gut zugänglich ist und nicht weggesperrt werden kann.

Was kann passieren, Wenn ich auf einem PC o. Server, Bitlocker mit USB-KEY (ohne TPM) betreibe und
das System mit USB-Key wird gestohlen?

-> Der USB-Key kann nicht mitgenommen werden, sondern muss am PC bleiben
(da das Ding immer läuft und nach Neustarts nicht immer der USB-Key dran
gesteckt werden kann)

Meine Fragen:
- kann mit dem USB-Key der Festplatteninhalt entschlüsselt werden?
- kann mit dem USB-Key das Admin Passwort z.B. mit einem Notfall-
System zurück gestzt werden?
- kommt ein Angreifer mit System und USB-Key an die verschlüsselten Daten?

Ich habe Bitlocker schon instelliert u. C: verschlüsselt.
Ist das richtig das sich auf dem USB-Key keine Datei befindet,
ich konnte nichts dergleichen erkennen. Windows startet aber
mit eingetecktem USB-KEY?

Danke für eure Hilfe
Mitglied: CresCent
16.05.2010 um 18:25 Uhr
hallo,

zu deinen fragen:
- ja
- welches admin kennwort? domain oder lokal?
- ja

da dein usb stick den key enthält, welcher zum entschlüsseln der daten zuständig ist, kann damit auch die festplatte ausgelesen werden.

ach und wieso willst du die hdd von einem server verschlüsseln ? der server sollte ja eh ned für alle zugänglich sein...

grüße
Bitte warten ..
Mitglied: C.R.S.
16.05.2010 um 18:46 Uhr
Hallo,

die Verschlüsselung ist nutzlos, wenn der USB-Datenträger am Gerät verbleibt. Der Startup Key auf dem Flash-Laufwerk entschlüsselt den Volume Master Key, der auf der Festplatte liegt. Dieser wiederum entschlüsselt den Full Volume Encryption Key und der dann die Daten.
Das Problem ist hier das "gut zugängliche" System und entsprechend wird es sich mit Verschlüsselungssoftware nicht zufriedenstellend lösen lassen. Generell muss man bei Systemen, die der Daten wegen gestohlen werden, damit rechnen, dass sie im laufenden Betriebszustand abtransportiert werden. Ohne eine gewisse physische Abschirmung und sabotagegeschützte Verbauung ist da mit Software nichts zu gewinnen.

Grüße
Richard
Bitte warten ..
Mitglied: mueller-m1972
16.05.2010 um 20:01 Uhr
Hallo,

was ist eigentlich der genaue unterschied zwischen dem USB-Key und TPM?
Wenn ich TPM statt den USB-Key verwende kann ich ja auch nicht den TPM-Chip mitnhemen und
zum entschlüsseln wieder in den PC stecken?

Ich dachte ich kann den USB-Key stecken lassen u. das System fährt dann hoch.
Trotzdem heisst das ja noch nicht, dass jemand über eine Boot CD an die Daten kommt
oder dass jemand mein admin Passowort zurücksetzten kann, um an die Daten zu kommen.

Irgendwie habe ich da ein Verständnis Problem?!

Grüße
Bitte warten ..
Mitglied: C.R.S.
16.05.2010 um 21:08 Uhr
Zitat von mueller-m1972:
was ist eigentlich der genaue unterschied zwischen dem USB-Key und TPM?

Kryptographisch gibt es praktisch keinen Unterschied. Der Startup-Key ersetzt den SRK des TPM. TPM ist etwas sicherer, weil es schon in der Preboot-Umgebung verfügbar ist. TPM kann man eben im Gegensatz zum USB-Schlüssel mit anderen Authentifizierungen kombinieren. Also beginnend mit dem Unsichersten ist möglich: USB, TPM, TPM+PIN, TPM+USB, TPM+USB+PIN.

Zitat von mueller-m1972:
Wenn ich TPM statt den USB-Key verwende kann ich ja auch nicht den TPM-Chip mitnhemen und
zum entschlüsseln wieder in den PC stecken?
Ich dachte ich kann den USB-Key stecken lassen u. das System fährt dann hoch.
Trotzdem heisst das ja noch nicht, dass jemand über eine Boot CD an die Daten kommt
oder dass jemand mein admin Passowort zurücksetzten kann, um an die Daten zu kommen.

TPM alleine zu verwenden ist ebenso nicht empfehlenswert bzw. für Szenarien vorgesehen, in denen allein der Export der Daten oder des Datenträgers zu befürchten ist, weil die Hardware entsprechend gestaltet ist. Effektiver Sabotageschutz schließt natürlich die Festplatten oft bewusst aus. Die dort weiterhin nötigen Vorkehrungen, um die Extraktion des SRK aus dem TPM zu verhindern, bringst Du ja - in der USB-Analogie - gerade nicht auf, indem Du den Schlüssel einfach beilegst. "Sicher" wäre Dein Vorgehen noch insofern, dass es dazu wohl noch keine Boot-CD zum Download gibt, sondern es einer kryptographischen Analyse bedarf. Faktisch gibst Du dem Dieb aber alles mit, was er braucht, um offline die komplette Festplatte zu entschlüsseln. Er muss es nur tun oder sich an einen Dienstleister wenden.

Grüße
Richard
Bitte warten ..
Mitglied: SamvanRatt
16.05.2010 um 21:36 Uhr
Wieso nutzt du kein iSCSI oder FC via Netz? Dann liegen die Daten in einem Fileserver in einem geschützten Raum. Sofern man an den Server noch rankommt ist auch ein Imageangriff möglich sofern es dir um die Datensicherheit geht. Meine Sorge wäre eher ein USB Key welcher mitgenommen wurde (oh schau mal ein billiger USB Stick) und der Server dann nicht mehr startet...
Gruß
Sam
Bitte warten ..
Mitglied: maretz
17.05.2010 um 07:51 Uhr
Moin,

mal ne ganz blöde frage - aber wer klaut nen Server? Das sind dann idR. Einbrecher - und die haben wenig Intresse an den Daten - die wollen den Rechner verticken. D.h. deinen USB-Key einfach mit ner Kette an der Wand befestigen und schon ist das erledigt.

Die alternative wäre das die Daten so wertvoll sind das jemand gezielt daran will. Der wird heute aber nicht in nen Gebäude einbrechen und dann den Server klauen (dafür gibt es viel zu viele Risiken dabei) -> der wird versuchen über nen Angriff auf dein Netzwerk an die Daten zu kommen (elegant -> da die Empfangsdame kaum gucken kann wer da durch den Router kommt...).

Von daher würde mich mal intressieren wo das Problem sein soll -> ich könnte mir kaum etwas vorstellen bei dem jemand einen Server klaut um an die Daten zu kommen... Bzw. kein Szenario bei dem ein so relevanter Server dann nicht entsprechend irgendwo in einem gesicherten Raum steht....
Bitte warten ..
Mitglied: DerWoWusste
18.05.2010 um 17:32 Uhr
Moin.
Ich hatte vor einiger Zeit die selbe Ausgangslage ausgeleuchtet:
Ein Server, der physikalisch nicht ausreichend gesichert werden kann, bei dem Diebe durchaus mehr Interesse an den Daten als am Verkauf der Hardware hätten.

Einziger Ansatz: Nutze eine Schlüsseldatei (Keyfile) zum Entschlüsseln der Daten, die wiederum auf der Freigabe eines anderen Servers (der hoffentlich vorhanden ist) an einem gesicherten Ort abgelegt wird. TrueCrypt bietet diese Möglichkeit, Bitlocker und einige andere nicht. Ist das Keyfile nicht erreichbar (weil Server gestohlen), bleiben die Daten verschlüsselt. Ist es erreichbar, wird die verschlüsselte Patrtition (oder der Container) automatisch gemountet. Nachteil: die gesamte Platte lässt sich auf diese Weise nicht verschlüsseln und ich sehe auch keine Möglichkeit, das zu realisieren, wenn der Server fähig sein soll, automatische Reboots (zum Beispiel nach nächtlichen Abstürzen) durchzuführen.
Bitte warten ..
Ähnliche Inhalte
Speicherkarten

Verschlüsselung von USB-Sticks mit Bitlocker unter Windows 7 Enterprise

Frage von nohornSpeicherkarten5 Kommentare

Guten Tag, wir haben unseren Firmennotebooks die Festplatten mit Bitlocker verschlüsselt und wollen nun auch die Verschlüsselung von USB-Sticks ...

Windows 7

Windows 7 und Bitlocker bootet nicht mehr

Frage von LinuxUser48Windows 72 Kommentare

Hallo an alle! Ich habe ein Problem mit Windows 7 und Bitlocker. Ich habe eine SSD worauf ich Win7 ...

Verschlüsselung & Zertifikate

Bitlocker unter "Windows 7": Systempartition schützen

Frage von donnyS73lbVerschlüsselung & Zertifikate3 Kommentare

Hallo zusammen, ich habe hier ein relativ neues HP-Notebook. Ich bekomme es nicht hin, mit Bitlocker unter "Windows 7" ...

Windows Server

Windows 7 KMS Key wird auf Server nicht akzeptiert

gelöst Frage von 131455Windows Server4 Kommentare

Hallo , ich habe festgestellt, das für unsere W7 Pools im Xendesktop auf dem KMS Server aufeinmal der Key ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 1 TagHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 2 TagenRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 2 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 2 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk14 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

Netzwerkmanagement
Netzwerkmanagment im Haus mit Switch, Panel und pfsense
gelöst Frage von CorraggiounoNetzwerkmanagement13 Kommentare

hi zusammen, wir sind gerade dabei das ganze Haus bzw. die einzelnen Zimmer mit netzwerkdosen zu versorgen. Vom Keller ...

Vmware
Server 2008 r2 vmware terminalserver
Frage von MasterCVmware12 Kommentare

Guten Abend zusammen, ich hoffe , dass einer von euch mir weiterhelfen kann ,bei meinem kack Problem ! Ist ...

Google Android
Empfehlung: Android Ortungsapp
gelöst Frage von certifiedit.netGoogle Android11 Kommentare

Guten Morgen, grundsätzlich vorweg, ich wollte mich eben schlau machen, bzgl einer Ortungsapp, welche Androidbasiert einem anderen Androidsmartphone mitteilt, ...