Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

ATA Security Feature Set: Festplatte unter Windows UND Linux auf versch. Rechnern auslesen- konfigurieren?

Frage Hardware Festplatten, SSD, Raid

Mitglied: usercrash

usercrash (Level 1) - Jetzt verbinden

17.09.2014, aktualisiert 19.09.2014, 3685 Aufrufe, 8 Kommentare

Hallo allerseits,

es gibt bekanntlich die Möglichkeit, Festplatten durch Setzen eines User-Passwortes im Rahmen des 'ATA Security Feature Set' im Bios zu schützen:
http://www.thomas-krenn.com/de/wiki/ATA_Security_Feature_Set

Neuere SSDs (wie Samsung 840/850pro u.a.) sind hardwareseitig mit einem internen Masterpasswort bereits AES-256 verschlüsselt (self-encrypting disk SED), diese Verschlüsselung kann man dann durch Setzen eines individuellen Passwortes nutzen, was dann bei jedem Booten abgefragt wird.

Die c't wies bereits in 8/2005 darauf hin, dass dies nur sicher ist, wenn das Bios gleichzeitig auch den Plattenzustand vor Booten des Betriebssystems 'einfriert' (Security freeze lock):
http://www.heise.de/ct/artikel/Baerendienst-289866.html

Gesetzt den Fall, das funktioniert:
Kann man eigentlich eine so auf Rechner A mit dem Bios-Kennwort verschlüsselte Platte z.B. an einem anderen Rechner B anschließen und auslesen?
Kann man ein Passwort, was auf Rechner A via Bios gesetzt wurde, auf Rechner B z.B. mit Linux hdparm resetten und/oder die ''ATA Security Features' bearbeiten ?

hdparm --security-help 
 
ATA Security Commands: 
 Most of these are VERY DANGEROUS and can destroy all of your data! 
 Due to bugs in older Linux kernels, use of these commands may even 
 trigger kernel segfaults or worse.  EXPERIMENT AT YOUR OWN RISK! 
 
 --security-freeze           Freeze security settings until reset. 
 
 --security-set-pass PASSWD  Lock drive, using password PASSWD: 
                                  Use 'NULL' to set empty password. 
                                  Drive gets locked if user-passwd is selected. 
 --security-unlock   PASSWD  Unlock drive. 
 --security-disable  PASSWD  Disable drive locking. 
 --security-erase    PASSWD  Erase a (locked) drive. 
 --security-erase-enhanced PASSWD   Enhanced-erase a (locked) drive. 
 
 The above four commands may optionally be preceded by these options: 
 --security-mode  LEVEL      Use LEVEL to select security level: 
                                  h   high security (default). 
                                  m   maximum security. 
 --user-master    WHICH      Use WHICH to choose password type: 
                                  u   user-password (default). 
                                  m   master-password
Gibt es etwas Vergleichbares zu hdparm unter Windows?

Hintergrund ist der Zugriff auf die gespeicherten Daten im Falle eines Hardwaredefektes z.B des Motherboards. (Ja, ja, regelmäßiges Backup ist bei verschlüsselten Disks obligat und selbstverständlich!)

Es gibt zudem Empfehlungen, die Verschlüsselung nicht via Bios, sondern generell via hdparm zu aktivieren, um diverse 'Eigenheiten' der Passwortbehandlung durch ein Bios zu umgehen...
https://www.zeitgeist.se/2014/09/07/enabling-ata-security-on-a-self-encr ...

Danke und schöne Grüße, uc
Mitglied: colinardo
17.09.2014, aktualisiert um 23:45 Uhr
Hi,
Gesetzt den Fall, das funktioniert:
Kann man eigentlich eine so auf Rechner A mit dem Bios-Kennwort verschlüsselte Platte z.B. an einem anderen Rechner B anschließen und auslesen?
Wenn man das Passwort kennt, und das BIOS das ATA-Security Feature Set unterstützt (tun heute eigentlich alle), ja.

Kann man ein Passwort, was auf Rechner A via Bios gesetzt wurde, auf Rechner B z.B. mit Linux hdparm resetten und/oder die ''ATA Security Features' bearbeiten ?
ja, wenn man das Kennwort hat, denn das Feature wird in der ATA-Spezifikation festgelegt. D.h. also wenn ein BIOS das ATA-Security Feature Set unterstützt, kann solch eine Platte auch an einem anderen Rechner wieder freigeschaltet werden, sofern man im Besitz des Passwortes ist. Die Informationen dazu werden auf der Platte selber und nicht in der Controller-Firmware abgelegt. D.h. also wenn du die Platte an ein anderes System anschließt, wird sich diese dem BIOS als gesperrt ausweisen und vom BIOS das Kennwort anfordern, und dieses dann dem User ein Passwortprompt präsentieren. Das BIOS schickt dieses dann an die Platte und die entscheidet dann ob es korrekt ist oder nicht.

Ausnahmen gibt es aber: Hersteller können das ganze z.B. zusätzlich mit dem TPM des Mainboards koppeln um so die Sicherheit zu erhöhen, so dass jemand der die Platte entfernt dann ohne das jeweilige Notebook nicht mehr an die Daten herankommt.

Gibt es etwas Vergleichbares zu hdparm unter Windows?
Fûr DOS gibt's z.B. atapwd

Grüße Uwe
Bitte warten ..
Mitglied: usercrash
17.09.2014, aktualisiert 18.09.2014
Hallo,
und danke!

D.h. also wenn du die Platte an ein anderes System anschließt, wird sich diese dem BIOS
als gesperrt ausweisen und vom BIOS das Kennwort anfordern, und dieses dann dem User ein Passwortprompt präsentieren. Das
BIOS schickt dieses dann an die Platte und die entscheidet dann ob es korrekt ist oder nicht.

Was passiert, wenn man eine geschützte Platte an ein MoBo mit Bios *ohne* explizit implementierte ATA-Security anschließt?

Und wie melden sich zwei Festplatten, die beide ATA-Security mit *gleichem* Passwort verschlüsselt sind? Zweimalige Passwort-Eingabe notwendig?

Ausnahmen gibt es aber: Hersteller können das ganze z.B. zusätzlich mit dem TPM des Mainboards koppeln um so die
Sicherheit zu erhöhen, so dass jemand der die Platte entfernt dann ohne das jeweilige Notebook nicht mehr an die Daten
herankommt.

Das wäre eher hinderlich, bei einem MoBo-Defekt käme man ja gar nicht mehr an die Daten!?

> Gibt es etwas Vergleichbares zu hdparm unter Windows?
Fûr DOS gibt's z.B. atapwd

Gerade mal mit FreeDos gebootet:
"No ATA Drive detected..." liegt vermutlich am fehlenden Treiber; ich weiss allerdings nicht, ob SSDs überhaupt über DOS selig anzusprechen sind bzw. ob ich irgendwo passende Treiber finde...?

Gruß, uc
Bitte warten ..
Mitglied: Lochkartenstanzer
18.09.2014 um 07:46 Uhr
Zitat von usercrash:

Das wäre eher hinderlich, bei einem MoBo-Defekt käme man ja gar nicht mehr an die Daten!?

Das ist der Zweck des ganzen. TPM "kaputt" -> Daten sicher vor unbefugtem Zugriff.

Wenn die wichtig waren, hat man ein Backup auf einem anderen TPM-gesicherten System.

Gerade mal mit FreeDos gebootet:
"No ATA Drive detected..." liegt vermutlich am fehlenden Treiber; ich weiss allerdings nicht, ob SSDs überhaupt
über DOS selig anzusprechen sind bzw. ob ich irgendwo passende Treiber finde...?

Solange die SSD über die IDE-Emulation oder über die BIOS-Funktionen angesprochen wird, benötigt DOS da keine speziellen Treiber. nur die Programme die die speziellen Funktionen an dem BIOs vorbei direkt über die Hardware ansprechen wollen, müssen die Unterstützung mitbringen.

lks
Bitte warten ..
Mitglied: colinardo
18.09.2014, aktualisiert um 07:51 Uhr
Zitat von usercrash:
Was passiert, wenn man eine geschützte Platte an ein MoBo mit Bios *ohne* explizit implementierte ATA-Security
anschließt?
ohne Tools wie hdparm wirst du dann die Platte nicht freischalten können, also direktes Booten davon ohne vorheriges Freischalten z.b. mit einem Live Linux wäre dann nicht möglich.
Und wie melden sich zwei Festplatten, die beide ATA-Security mit *gleichem* Passwort verschlüsselt sind? Zweimalige
Passwort-Eingabe notwendig?
habe ich noch nicht ausprobiert. Aber normalerweise Fragt das BIOS nur nach dem Passwort der Platte von der du bootest.
Das wäre eher hinderlich, bei einem MoBo-Defekt käme man ja gar nicht mehr an die Daten!?
Das ist ja der Zweck von erhöhter Sicherheit z.b. für Firmen deren Mitarbeiter mit sensitiven Daten auf Ihren NBs hantieren, das diese nicht in fremde Hände gelangen.

Gerade mal mit FreeDos gebootet:
"No ATA Drive detected..." liegt vermutlich am fehlenden Treiber; ich weiss allerdings nicht, ob SSDs überhaupt
über DOS selig anzusprechen sind bzw. ob ich irgendwo passende Treiber finde...?
Controller auf IDE-Mode stellen.

Grüße Uwe
Bitte warten ..
Mitglied: usercrash
19.09.2014, aktualisiert um 11:14 Uhr
Hallo allerseits,

koppelt ATA-Security via Bios das Freischalten einer Platte nicht nur an ein Passwort, sondern zusätzlich an TPM und gibt es auf dem MoBo einen Hardwaredefekt, kann die Platte nicht mehr ausgelesen werden!?

Hmmm, da bleibt ein ungutes Gefühl, da Backups eher selten "minutiös aktuell" sind, und ein Arbeitstag schon lang sein kann... Sicherung jeweils nachts. Hier (!) würde der Schutz der Platte über ein ausreichend sicheres Passwort ausreichen, ohne TPM und damit ohne Hardwareabhängigkeit.

Deshalb Frage:
Setzt man ein ATA-Security-Passwort z.B. über ein Live-Linux via hdparm und bootet diese Platte dann an einem System mit TPM, wird dann trotzdem TPM genutzt oder bleibt es bei der "einfachen" ATA-Security via Passwort?
Unklar ist mir als ATA-Security-Novizen auch, inwieweit eine Passwortabfrgae bei mehreren geschützten physikalischen Datenträgern kommt.
Konfig:
Boot-SSD mit System und C:\Windows, geschützt.
Daten-SSD mit D:\Daten, geschützt.
Beide SSDs sollen mit dem gleichen Passwort geschützt werden und idealerweise nach einmaliger Abfrage des Boot-Passwortes entsperrt werden.

Exkurs:
Derzeit sind die Platten verschlüsselt mit DiskCryptor ( AES-256, https://diskcryptor.net/ ), da erfolgt eine Abfrage des Passwortes und Entsperren aller Platten/Partitionen, für die dieses Passwort passt. Die Platten lassen sich an einem anderen System oder via Live-CD mit dem Passwort öffnen und auslesen.
Ein Wechsel zur ATA-Security wäre aus Peformancegründen angedacht, da die neuen SSDs hardwareseitige selbst verschlüsseln (SED; Samsung 850pro).

Viele Grüße, uc
Bitte warten ..
Mitglied: colinardo
LÖSUNG 19.09.2014, aktualisiert um 21:37 Uhr
Zitat von usercrash:
koppelt ATA-Security via Bios das Freischalten einer Platte nicht nur an ein Passwort, sondern zusätzlich an TPM und gibt es auf dem MoBo einen Hardwaredefekt, kann die Platte nicht mehr ausgelesen werden!?
In der Spezifikation ist das TPM nicht enthalten, das ist eine Option die der Hersteller implementieren kann. Wie gesagt, hier muss der User/Firma entscheiden ob Ihm/Ihr Datenschutz wichtiger ist. Der User muss die Option ja nicht nutzen.

Deshalb Frage:
Setzt man ein ATA-Security-Passwort z.B. über ein Live-Linux via hdparm und bootet diese Platte dann an einem System mit TPM, wird dann trotzdem TPM genutzt oder bleibt es bei der "einfachen" ATA-Security via Passwort?
Wie oben gesagt ist das TPM nicht Teil dieser ATA-Spezifikation ! Die Funktion bleibt daher vom TPM unberührt.

Unklar ist mir als ATA-Security-Novizen auch, inwieweit eine Passwortabfrgae bei mehreren geschützten physikalischen
Datenträgern kommt.
Das ist je nach BIOS-Implementierung unterschiedlich. Was ich weiß ist, dass bei Dell-Notebooks ein gemeinsames Password für mehrere Disks gesetzt werden kann, so dass nur eine gemeinsame Abfrage erscheint. Alternativ sind auch unterschiedliche möglich, was dann mehrere Abfragen triggert. Im Allgemeinen sind hier Business-Notebooks vorzuziehen, da sie hier meistens mehr Optionen in dieser Hinsicht anbieten.

Noch zur Info: Der ATA-Passwortschutz ist nicht wirklich sicher. Für Datenrettungsunternehmen ist es ein Kinderspiel die Platte wieder freizuschalten sogar ohne die Platte zu öffnen! Er ist daher nur als Schutz gegen "Otto-Normaluser" anzusehen.

Grüße Uwe
Bitte warten ..
Mitglied: usercrash
19.09.2014, aktualisiert um 21:36 Uhr
Nabend,

Noch zur Info: Der ATA-Passwortschutz ist nicht wirklich sicher. Für Datenrettungsunternehmen ist es ein
Kinderspiel die Platte wieder freizuschalten sogar ohne die Platte zu öffnen! Er ist daher nur als Schutz gegen
"Otto-Normaluser" anzusehen.

und danke für die reichhaltigen Infos! Mal abgesehen vom Performanceverlust:

Wäre dann nicht konsequenterweise eine Verschlüsselung z.B. via DiskCryptor besser? Open Source, damit Hersteller- und evt. "Weisungs-" unabhängig, nicht hardware-gebunden, Keyfile + Passwort möglich, AES-256...
Zudem neuere Prozessoren im Businessbereich meist den Befehlssatz AES-NI (Intel) für hardwareunterstützte Verschlüsselung unterstützen.

TrueCrypt hat ja leider die Segel gestrichen, das als quelloffener Nachfolger angedachte TrustedDisk von Sirrix ( https://www.sirrix.de/content/news/66225.htm ) kämpft mit Lizenzproblemen, VeraCrypt ist bestenfalls Alpha, Bitlocker kämpft um seine Reputation ohne Backdoors...

Schönen Abend, uc
Bitte warten ..
Mitglied: 114757
20.09.2014, aktualisiert um 10:12 Uhr
Moin,
Alles von Menschenhand verschlüsselte kann der Mensch auch wieder herstellen, ist nur eine Frage der Zeit ! Absolut schützenswerte Daten gehören nie auf vernetzte Geräte.

Gruß
Jodel32
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Monitoring
System Monitoring für Windows, Linux (5)

Frage von manuelw zum Thema Monitoring ...

Windows Server
Windows Server 2016 VPN richtig konfigurieren (1)

Frage von junior zum Thema Windows Server ...

Windows 10
Official Blog: Every Windows 10 in-place Upgrade is a SEVERE Security risk (7)

Link von Lochkartenstanzer zum Thema Windows 10 ...

Windows Server
gelöst Wo ist der Speicherplatz hin? Festplatte voll, aber womit? Windows Server 2012R2 (9)

Frage von Andinistrator1 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...