Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Bitlocker und Bios-Kennwörter

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

04.06.2009, aktualisiert 11:18 Uhr, 10556 Aufrufe, 12 Kommentare

Hallo Bitlocker-Spezis,

auf einem Dell Vostro Notebook soll Bitlocker eingesetzt werden (mit Vista SP2). Nach der Verschlüsselung wurde nun noch ein Bios-Kennwort gesetzt - seitdem springt Bitlocker vor jedem Booten im Viereck und will das Wiederherstellungskennwort haben, bevor gebootet wird. Entferne ich das Bios-Kennwort, ist der Spuk vorbei.
Da wir mehrere Rechner mit Bitlocker und Bioskennw. zusammen einsetzen und bei denen alles glatt geht, kann es wohl nur an diesem tollen Bios liegen... es ist jedoch kein neueres und auch kein älteres zum Download verfügbar.

Kann mir jemand mal erläutern, was Bitlocker hier als Angriff empfindet, was er bei anderen Notebooks mit Bios-Kennwortschutz nicht sieht?
Mitglied: Gagarin
04.06.2009 um 13:19 Uhr
Das hoert sich hier ganz nach einem Problem mit dem Zusammenspiel von TPM Modul und BIOS des Herstellers an. Was sagt den der DELL Support?
Bitte warten ..
Mitglied: 78632
04.06.2009 um 13:24 Uhr
Ich tippe da eher auf ein unglückliches Zusammenspiel von ATA-Security mit Bitlocker. In dem Fall muss man sicher das Bios-Kennwort vor der Verschlüsselung setzen und auch vor dem Systemstart eingeben.
Der richtige Ansprechpartner wäre trotzdem Dell.
Bitte warten ..
Mitglied: DerWoWusste
04.06.2009 um 15:49 Uhr
Danke Euch beiden.
Auch wenn Dell einen guten Support hat, befürchte ich, dass Sie keinen Schimmer von Bitlocker/TPM haben (einen Versuch ist es Wert, das ist mir klar). Ich hoffte hier Hinweise zu den technischen Zusammenhängen zu bekommen. Bitlocker meldet, dass Bootdateien modifiziert wurden, was natürlich nicht stimmen kann. Wie spielt das Bios-Kennwort dort mit rein oder anders gefragt: Was passiert beim Setzen so eines Kennwortes überhaupt?

Ich werde das Bios wohl gar nicht mehr schützen, so wild ist das auch nicht. Somit dient die Antwort nur meiner Wissenserweiterung.
Bitte warten ..
Mitglied: 78632
04.06.2009 um 15:51 Uhr
Das Bios wirst du möglicherweise gar nicht schützen, sondern lediglich die Festplatte(n):
http://www.heise.de/ct/Wie-ATA-Sicherheitsfunktionen-Ihre-Daten-gefaehr ...
Bitte warten ..
Mitglied: DerWoWusste
04.06.2009 um 16:36 Uhr
Nein, ich setze kein ATA-Security-, sondern ein Bios-Kennwort. Da wir aber eh Pre-Boot-Authentication mit PIN benutzen, brauchen wir das Bios nicht mehr wirklich zu schützen, der Nutzer gurkt daran eh nicht rum.
Bitte warten ..
Mitglied: Gagarin
04.06.2009 um 16:40 Uhr
Beim Setup von BitLocker wird ein Abbild der Trusted Platform Module’s (TPM) Register im OS gespeichert .
Jedesmal wenn nun das OS hochfaehrt wuerd ueberprueft ob die aktuelle Konfiguration mit der gespeicherten Uebereinstimmt.
In dieser Konfiguration gibt es eine Einstellung die sich "User Entered Password" nennt (wird beim POST aufgerufen). Bei Vergabe eines Bios-Passwortes stimmt die gespeicherte TPM Konfiguration nicht mehr mit dem vom OS gespeichertem Abbild ueberein.

Ergo: Aufforderung fuer das Wiederherstellungskennwort kommt hoch.

Workaround: BitLocker deaktivieren und danach wieder reaktivieren.
Bitte warten ..
Mitglied: DerWoWusste
04.06.2009 um 16:47 Uhr
Ihr werdet wohl Recht haben - einfach erneut verschlüsseln/de- /reaktivieren. Ich frage mich nur, was denn dann der Sinn ist, das WDH-K3ennw. einzugeben. Sollte dies nicht die "Änderung" authorisieren und weitere Abfragen ausschalten?
Bitte warten ..
Mitglied: Gagarin
04.06.2009 um 17:03 Uhr
Nicht erneut verschluesseln, einfach deaktivieren und danach reaktivieren.

Ich stimme mit dir Ueberein das dass Wiederherstellungskennwort weitere Abfragen verhindern sollte.

Ich wuerde grundsaetzlich bei einem BitLocked System empfehlen bei Aenderungen an Boot-Dateien MBR oder am BIOS vorher BitLocker zeitweise zu deaktivieren.

Hier noch mal was interessantes von MS:

"System integrity verification
BitLocker can use a TPM to verify the integrity of early boot components and boot configuration data. This helps ensure that BitLocker makes the encrypted drive accessible only if those components have not been tampered with and the encrypted drive is located in the original computer.

BitLocker helps ensure the integrity of the startup process by taking the following actions:

Provide a method to check that early boot file integrity has been maintained, and help ensure that there has been no adversarial modification of those files, such as with boot sector viruses or rootkits.

Enhance protection to mitigate offline software-based attacks. Any alternative software that might start the system does not have access to the decryption keys for the Windows operating system drive.

Lock the system when it is tampered with. If any monitored files have been tampered with, the system does not start. This alerts the user to the tampering, because the system fails to start as usual. In the event that system lockout occurs, BitLocker offers a simple recovery process."

Ich wuerde mich freuen wenn jemand eine Auflistung hat was BitLocker eigentlich ueberwacht.
Bitte warten ..
Mitglied: DerWoWusste
04.06.2009 um 19:46 Uhr
Hab da was für uns... im gpedit.msc (computer config, adm. templ., Bitlocker) finden sich die Dinge (PCRs = Platform Configuration Registers), die Bitlocker auf Integrität prüft. Unten Die Standardsettings, sie lassen sich abstellen oder erweitern.
The default platform validation profile secures the encryption key against changes to the
Core Root of Trust of Measurement (CRTM), BIOS, and Platform Extensions (PCR 0),
the Option ROM Code (PCR 2),
the Master Boot Record (MBR) Code (PCR 4)
the NTFS Boot Sector (PCR 8)
the NTFS Boot Block (PCR 9)
the Boot Manager (PCR 10)
and the BitLocker Access Control (PCR 11).

Wenn jetzt jemand noch erklären könnte, warum die Eingabe des WDH-KWs nicht einmalig reicht, wäre ich bedient
Bitte warten ..
Mitglied: DerWoWusste
04.06.2009 um 20:26 Uhr
Die Meldung lautet bei genauem Hinsehen

Confirm that the boot changes to this system are authorized.
If the changes to the boot system are trusted, then disable and re-enable BitLocker

Da steht es ja dick und breit... Eine Deaktivierung/Aktivierung ist zusätzlich zum WDH-KW erforderlich. Nur: Warum brauchte ich das auf einem anderen System nicht? Da hatte ich auch schon mal diese Meldung und nach Eingabe des WDH-KWs war gut - nichts mit de- und reaktivieren.
Egal - morgen setze ich erneut ein Bios-Kennwort.
Bitte warten ..
Mitglied: DerWoWusste
09.06.2009 um 09:20 Uhr
Da war doch noch was...
Es gilt tatsächlich weiterhin: "wer lesen kann..." - alles in Butter.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows 10
Problem: einzige Konto gesperrt + Bitlocker aktiv (14)

Frage von Windows11 zum Thema Windows 10 ...

Server-Hardware
gelöst HP Mircroserver und Proliant Bios Update (7)

Frage von DeathNote zum Thema Server-Hardware ...

Windows Server
Windows-Update für Secure-Boot-Fehler macht BIOS-Updates erforderlich (2)

Link von Penny.Cilin zum Thema Windows Server ...

Debian
Kann Linux nicht im bios finden! (3)

Frage von pixelBf zum Thema Debian ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...