Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Verschlüsselung & Zertifikate

GELÖST

Bitlocker und Bios-Kennwörter

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

04.06.2009, aktualisiert 11:18 Uhr, 11117 Aufrufe, 12 Kommentare

Hallo Bitlocker-Spezis,

auf einem Dell Vostro Notebook soll Bitlocker eingesetzt werden (mit Vista SP2). Nach der Verschlüsselung wurde nun noch ein Bios-Kennwort gesetzt - seitdem springt Bitlocker vor jedem Booten im Viereck und will das Wiederherstellungskennwort haben, bevor gebootet wird. Entferne ich das Bios-Kennwort, ist der Spuk vorbei.
Da wir mehrere Rechner mit Bitlocker und Bioskennw. zusammen einsetzen und bei denen alles glatt geht, kann es wohl nur an diesem tollen Bios liegen... es ist jedoch kein neueres und auch kein älteres zum Download verfügbar.

Kann mir jemand mal erläutern, was Bitlocker hier als Angriff empfindet, was er bei anderen Notebooks mit Bios-Kennwortschutz nicht sieht?
Mitglied: Gagarin
04.06.2009 um 13:19 Uhr
Das hoert sich hier ganz nach einem Problem mit dem Zusammenspiel von TPM Modul und BIOS des Herstellers an. Was sagt den der DELL Support?
Bitte warten ..
Mitglied: 78632
04.06.2009 um 13:24 Uhr
Ich tippe da eher auf ein unglückliches Zusammenspiel von ATA-Security mit Bitlocker. In dem Fall muss man sicher das Bios-Kennwort vor der Verschlüsselung setzen und auch vor dem Systemstart eingeben.
Der richtige Ansprechpartner wäre trotzdem Dell.
Bitte warten ..
Mitglied: DerWoWusste
04.06.2009 um 15:49 Uhr
Danke Euch beiden.
Auch wenn Dell einen guten Support hat, befürchte ich, dass Sie keinen Schimmer von Bitlocker/TPM haben (einen Versuch ist es Wert, das ist mir klar). Ich hoffte hier Hinweise zu den technischen Zusammenhängen zu bekommen. Bitlocker meldet, dass Bootdateien modifiziert wurden, was natürlich nicht stimmen kann. Wie spielt das Bios-Kennwort dort mit rein oder anders gefragt: Was passiert beim Setzen so eines Kennwortes überhaupt?

Ich werde das Bios wohl gar nicht mehr schützen, so wild ist das auch nicht. Somit dient die Antwort nur meiner Wissenserweiterung.
Bitte warten ..
Mitglied: 78632
04.06.2009 um 15:51 Uhr
Das Bios wirst du möglicherweise gar nicht schützen, sondern lediglich die Festplatte(n):
http://www.heise.de/ct/Wie-ATA-Sicherheitsfunktionen-Ihre-Daten-gefaehr ...
Bitte warten ..
Mitglied: DerWoWusste
04.06.2009 um 16:36 Uhr
Nein, ich setze kein ATA-Security-, sondern ein Bios-Kennwort. Da wir aber eh Pre-Boot-Authentication mit PIN benutzen, brauchen wir das Bios nicht mehr wirklich zu schützen, der Nutzer gurkt daran eh nicht rum.
Bitte warten ..
Mitglied: Gagarin
04.06.2009 um 16:40 Uhr
Beim Setup von BitLocker wird ein Abbild der Trusted Platform Module’s (TPM) Register im OS gespeichert .
Jedesmal wenn nun das OS hochfaehrt wuerd ueberprueft ob die aktuelle Konfiguration mit der gespeicherten Uebereinstimmt.
In dieser Konfiguration gibt es eine Einstellung die sich "User Entered Password" nennt (wird beim POST aufgerufen). Bei Vergabe eines Bios-Passwortes stimmt die gespeicherte TPM Konfiguration nicht mehr mit dem vom OS gespeichertem Abbild ueberein.

Ergo: Aufforderung fuer das Wiederherstellungskennwort kommt hoch.

Workaround: BitLocker deaktivieren und danach wieder reaktivieren.
Bitte warten ..
Mitglied: DerWoWusste
04.06.2009 um 16:47 Uhr
Ihr werdet wohl Recht haben - einfach erneut verschlüsseln/de- /reaktivieren. Ich frage mich nur, was denn dann der Sinn ist, das WDH-K3ennw. einzugeben. Sollte dies nicht die "Änderung" authorisieren und weitere Abfragen ausschalten?
Bitte warten ..
Mitglied: Gagarin
04.06.2009 um 17:03 Uhr
Nicht erneut verschluesseln, einfach deaktivieren und danach reaktivieren.

Ich stimme mit dir Ueberein das dass Wiederherstellungskennwort weitere Abfragen verhindern sollte.

Ich wuerde grundsaetzlich bei einem BitLocked System empfehlen bei Aenderungen an Boot-Dateien MBR oder am BIOS vorher BitLocker zeitweise zu deaktivieren.

Hier noch mal was interessantes von MS:

"System integrity verification
BitLocker can use a TPM to verify the integrity of early boot components and boot configuration data. This helps ensure that BitLocker makes the encrypted drive accessible only if those components have not been tampered with and the encrypted drive is located in the original computer.

BitLocker helps ensure the integrity of the startup process by taking the following actions:

Provide a method to check that early boot file integrity has been maintained, and help ensure that there has been no adversarial modification of those files, such as with boot sector viruses or rootkits.

Enhance protection to mitigate offline software-based attacks. Any alternative software that might start the system does not have access to the decryption keys for the Windows operating system drive.

Lock the system when it is tampered with. If any monitored files have been tampered with, the system does not start. This alerts the user to the tampering, because the system fails to start as usual. In the event that system lockout occurs, BitLocker offers a simple recovery process."

Ich wuerde mich freuen wenn jemand eine Auflistung hat was BitLocker eigentlich ueberwacht.
Bitte warten ..
Mitglied: DerWoWusste
04.06.2009 um 19:46 Uhr
Hab da was für uns... im gpedit.msc (computer config, adm. templ., Bitlocker) finden sich die Dinge (PCRs = Platform Configuration Registers), die Bitlocker auf Integrität prüft. Unten Die Standardsettings, sie lassen sich abstellen oder erweitern.
The default platform validation profile secures the encryption key against changes to the
Core Root of Trust of Measurement (CRTM), BIOS, and Platform Extensions (PCR 0),
the Option ROM Code (PCR 2),
the Master Boot Record (MBR) Code (PCR 4)
the NTFS Boot Sector (PCR 8)
the NTFS Boot Block (PCR 9)
the Boot Manager (PCR 10)
and the BitLocker Access Control (PCR 11).

Wenn jetzt jemand noch erklären könnte, warum die Eingabe des WDH-KWs nicht einmalig reicht, wäre ich bedient
Bitte warten ..
Mitglied: DerWoWusste
04.06.2009 um 20:26 Uhr
Die Meldung lautet bei genauem Hinsehen

Confirm that the boot changes to this system are authorized.
If the changes to the boot system are trusted, then disable and re-enable BitLocker

Da steht es ja dick und breit... Eine Deaktivierung/Aktivierung ist zusätzlich zum WDH-KW erforderlich. Nur: Warum brauchte ich das auf einem anderen System nicht? Da hatte ich auch schon mal diese Meldung und nach Eingabe des WDH-KWs war gut - nichts mit de- und reaktivieren.
Egal - morgen setze ich erneut ein Bios-Kennwort.
Bitte warten ..
Mitglied: DerWoWusste
09.06.2009 um 09:20 Uhr
Da war doch noch was...
Es gilt tatsächlich weiterhin: "wer lesen kann..." - alles in Butter.
Bitte warten ..
Ähnliche Inhalte
Microsoft
Bios Kennwort per GPO
gelöst Frage von Adnan88Microsoft1 Kommentar

Hallo weiß jemand ob und wenn ja wie es möglich ist für das ganze Unternehmen ein BIOS Kennwort per ...

Windows 7
Bitlocker Kennwort ID im AD stimmt nicht überein
Frage von lainerpWindows 7

Grüß euch, ich hab ein mMn ganz komisches Problem und zwar: Wir haben einige Notebooks via BitLocker verschlüsselt und ...

Windows 10
Bitlocker deaktivieren?
Frage von GewardWindows 109 Kommentare

Hallo, wir sind grade in unseren Windows 10 anfängen und möchten Bitlocker deaktivieren damit Kryptotrojaner und ähnliche Ransomware nicht ...

Windows 10
BitLocker mit Smartcard??
gelöst Frage von trallerWindows 1012 Kommentare

Hallo, ist folgendes unter Windows 10 mit BitLocker möglich? Entsperren einer BitLocker Systemlaufwerksverschlüsselung mit SmartCard Wenn SmartCard drin, soll ...

Neue Wissensbeiträge
CPU, RAM, Mainboards

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Information von keine-ahnung vor 41 MinutenCPU, RAM, Mainboards1 Kommentar

Moin, extrem lutztig. Nur gut, dass ich noch nicht beim Probanden-Bingo mitgemacht habe :-) LG, Thomas

Router & Routing

PfSense als Addon auf QNAP

Information von magicteddy vor 14 StundenRouter & Routing3 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 20 StundenDatenschutz1 Kommentar

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 1 TagMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement22 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

Multimedia & Zubehör
Welches Tablet für die Verkäufer?
Frage von Hendrik2586Multimedia & Zubehör11 Kommentare

Guten Morgen meine Lieben, vielleicht könnt ihr mir ja helfen. Es geht um unsere Außendienstmitarbeiter /Verkäufer. Sie sollen demnächst ...

Windows Server
Terminal Server 2016 erkennt Berechtigungen nicht
gelöst Frage von Thomas2Windows Server10 Kommentare

Hallo Administratoren, folgendes Problem stellt sich dar: Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt ...