6
Bitlocker Erfahrungen und Anwenderberichte
Hallo,
ich muss meinen Laptop absichern. Dazu möchte ich gern den BitLocker aus dem Lieferumfang von Windows 7 nutzen. Könnt Ihr mir dazu Eure Meinung sagen? Mir geht es darum das nicht unbefugte die Daten meiner Festplatte auslesen können.
Es soll aber noch möglich sein die Festplatte zu klonen (für eine eventuelle SSD) und auch extern auslesen zu können. Wobei bei jedem Leseversuch der Daten die Passwortabfrage erscheinen soll.
Wie verhält es sich bei BitLocker mit einer Antivieren Software. Diese lasse ich monatlich einmal richtig durchlaufen (boot von einem speziellen USB Stick). Natürlich läuft auch noch ein ondemand Scanner auf meinem System. Wie ist es wenn ich mal Windows 8 installieren möchte, könnte ich da Probleme mit BitLocker bekommen?
Vielen Dank für Eure Hilfe
Stefan
ich muss meinen Laptop absichern. Dazu möchte ich gern den BitLocker aus dem Lieferumfang von Windows 7 nutzen. Könnt Ihr mir dazu Eure Meinung sagen? Mir geht es darum das nicht unbefugte die Daten meiner Festplatte auslesen können.
Es soll aber noch möglich sein die Festplatte zu klonen (für eine eventuelle SSD) und auch extern auslesen zu können. Wobei bei jedem Leseversuch der Daten die Passwortabfrage erscheinen soll.
Wie verhält es sich bei BitLocker mit einer Antivieren Software. Diese lasse ich monatlich einmal richtig durchlaufen (boot von einem speziellen USB Stick). Natürlich läuft auch noch ein ondemand Scanner auf meinem System. Wie ist es wenn ich mal Windows 8 installieren möchte, könnte ich da Probleme mit BitLocker bekommen?
Vielen Dank für Eure Hilfe
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 176752
Url: https://administrator.de/contentid/176752
Printed on: May 7, 2024 at 15:05 o'clock
6 Comments
Latest comment
Hi.
Zu Vollverschlüsselung muss man wissen, dass diese erst richtig sicher wird (gegen sogenannte "cold-boot-Attacken"), wenn man eine Preboot-Kennwortabfrage einschaltet. Dies geht bei Bitlocker über eine PIN.
Fünfenscanner: kein Problem. Vierenscanner: weiß ich nicht.
Win8: kein Problem
Extern auslesen: nur wenn das andere System Bitlocker hat. Dann wird ein Kennwort abgefragt.
Zu Vollverschlüsselung muss man wissen, dass diese erst richtig sicher wird (gegen sogenannte "cold-boot-Attacken"), wenn man eine Preboot-Kennwortabfrage einschaltet. Dies geht bei Bitlocker über eine PIN.
Fünfenscanner: kein Problem. Vierenscanner: weiß ich nicht.
Win8: kein Problem
Extern auslesen: nur wenn das andere System Bitlocker hat. Dann wird ein Kennwort abgefragt.
Moin,
ich setzte Bitlocker auf ca 10 Laptops ein.
Die PIN-Abfrage habe ich nicht implementiert.
Erfahrung sind gut, sofern fu die Keys aufbewahrst (an einem sicheren Ort).
Einmal ist mir ein TPM-Chip durchgebraten, ein weiteres mal hat ein Hardwaretausch (war glaube ich nur ne andere USB_Maus - da kann ich mich täuschen, war aber nichts wildes) zu einer Schlüsseleingabe gezwungen, lief aber reibungslos.
Speziell Lappi´s ab Core2Duo oder vergleichbar haben ausreichend Leistung fürs Ver- und Entschlüsseln und Virenscanner ist auch kaum ein Problem (Avira Pro).
Erstverschlüsselung (core i5, fragt nicht nach dem Modell) dauert bei einer 320er Platte (50/50-Partition) ca 1,5 STd., ältere Core2Duo (Modell um T2400) benötigen (auch dank langsamerer Platte) deutlich länger (bis zu 8 Stunden)...
Allerings wirst du wirst du wohl nicht per USB an die HDD rankommen (das ist ja auch eigentlich nicht erwünscht), auch klonen wirst du nicht können (zumindest ghoffe ich, dass das nichts bringt)
Win8 ?!?
Probier es aus und berichte !!!
Gruß
Carsten
ich setzte Bitlocker auf ca 10 Laptops ein.
Die PIN-Abfrage habe ich nicht implementiert.
Erfahrung sind gut, sofern fu die Keys aufbewahrst (an einem sicheren Ort).
Einmal ist mir ein TPM-Chip durchgebraten, ein weiteres mal hat ein Hardwaretausch (war glaube ich nur ne andere USB_Maus - da kann ich mich täuschen, war aber nichts wildes) zu einer Schlüsseleingabe gezwungen, lief aber reibungslos.
Speziell Lappi´s ab Core2Duo oder vergleichbar haben ausreichend Leistung fürs Ver- und Entschlüsseln und Virenscanner ist auch kaum ein Problem (Avira Pro).
Erstverschlüsselung (core i5, fragt nicht nach dem Modell) dauert bei einer 320er Platte (50/50-Partition) ca 1,5 STd., ältere Core2Duo (Modell um T2400) benötigen (auch dank langsamerer Platte) deutlich länger (bis zu 8 Stunden)...
Allerings wirst du wirst du wohl nicht per USB an die HDD rankommen (das ist ja auch eigentlich nicht erwünscht), auch klonen wirst du nicht können (zumindest ghoffe ich, dass das nichts bringt)
Win8 ?!?
Probier es aus und berichte !!!
Gruß
Carsten
@carsten:
-Klonen kann man gebitlockerte Platten dann, wenn man sie im laufenden Betrieb imaged. Geht mit allen Verschlüsselungen.
-man kommt per USB oder was auch immer ran
Edit: Klonen kann man natürlich auch über Sektorkopierprogramme wie Clonezilla.
-Klonen kann man gebitlockerte Platten dann, wenn man sie im laufenden Betrieb imaged. Geht mit allen Verschlüsselungen.
-man kommt per USB oder was auch immer ran
Die PIN-Abfrage habe ich nicht implementiert.
Solltest Du. Siehe http://www.youtube.com/watch?v=JDaicPIgn9U - anwendbar auf alle Verschlüsselungen ohne preboot Authentifizierung.Edit: Klonen kann man natürlich auch über Sektorkopierprogramme wie Clonezilla.
Hallo,
Kann ich nicht bestätigen. Ob die FDE für ein Imaging transparent ist, hängt von den jeweiligen Lösung ab. Bitlocker bietet da aus meiner Sicht einen wesentlichen Kompatibilitätsvorteil. Dennoch funktioniert das Imaging unter Windows 7 z.B. mit Acronis B&R 10 erst ab einem bestimmten Build reibungsfrei.
Alle RAM-basierten Angriffsmöglichkeiten (derzeit Cold-Boot, DMA und Bus-Catcher) funktionieren unabhängig von der Authentifizierungsmethode gegen alle konventionellen FDE-Lösungen. Vielleicht verstehe ich dich falsch, aber eine Preboot-Authentifizierung ist schon prinzipbedingt Bestandteil der FDE, wer oder was (TPM) sich authentifiziert, ist erst mal egal. Unterschiede je nach der gewählten Authentifizierungsmethode ergeben sich für Bitlocker bei der Umsetzung eines Evil-Maid-Angriffs. Dabei stellt allerdings nicht die PIN sondern ein TPM das größte Hindernis für eine fehlerfreie Preboot-Interaktion dar.
Grüße
Richard
Zitat von @DerWoWusste:
-Klonen kann man gebitlockerte Platten dann, wenn man sie im laufenden Betrieb imaged. Geht mit allen Verschlüsselungen.
-Klonen kann man gebitlockerte Platten dann, wenn man sie im laufenden Betrieb imaged. Geht mit allen Verschlüsselungen.
Kann ich nicht bestätigen. Ob die FDE für ein Imaging transparent ist, hängt von den jeweiligen Lösung ab. Bitlocker bietet da aus meiner Sicht einen wesentlichen Kompatibilitätsvorteil. Dennoch funktioniert das Imaging unter Windows 7 z.B. mit Acronis B&R 10 erst ab einem bestimmten Build reibungsfrei.
Solltest Du. Siehe http://www.youtube.com/watch?v=JDaicPIgn9U - anwendbar auf alle Verschlüsselungen ohne preboot
Authentifizierung.
Authentifizierung.
Alle RAM-basierten Angriffsmöglichkeiten (derzeit Cold-Boot, DMA und Bus-Catcher) funktionieren unabhängig von der Authentifizierungsmethode gegen alle konventionellen FDE-Lösungen. Vielleicht verstehe ich dich falsch, aber eine Preboot-Authentifizierung ist schon prinzipbedingt Bestandteil der FDE, wer oder was (TPM) sich authentifiziert, ist erst mal egal. Unterschiede je nach der gewählten Authentifizierungsmethode ergeben sich für Bitlocker bei der Umsetzung eines Evil-Maid-Angriffs. Dabei stellt allerdings nicht die PIN sondern ein TPM das größte Hindernis für eine fehlerfreie Preboot-Interaktion dar.
Grüße
Richard
Hallo Richard.
Zum Klonen: Ich kann es mit allen mir bekannten Verschlüsselungen bestätigen und zwar sowohl für online-Imaging (drive snapshot wird verwendet) als auch für offline cloning mit clonezilla. Verwendete Verschlüsselungen: Bitlocker, PGP WDE 10, Truecrypt 5/6/7, Seagate FDE.
Zum Thema PBA (preboot Authentifizierung):
Zum Klonen: Ich kann es mit allen mir bekannten Verschlüsselungen bestätigen und zwar sowohl für online-Imaging (drive snapshot wird verwendet) als auch für offline cloning mit clonezilla. Verwendete Verschlüsselungen: Bitlocker, PGP WDE 10, Truecrypt 5/6/7, Seagate FDE.
Zum Thema PBA (preboot Authentifizierung):
Alle RAM-basierten Angriffsmöglichkeiten (derzeit Cold-Boot, DMA und Bus-Catcher) funktionieren unabhängig von der Authentifizierungsmethode gegen alle konventionellen FDE-Lösungen
Das stimmt ganz und gar nicht für coldboot. Sieh mal bitte, wer das Video gemacht hat: nicht Hans Wurst, sondern das Center for Information Technology Policy der Universität Princeton. Wie DMA und DBUS-Catcher vor dem Überwinden der PBA an die Daten kommen sollen, erläutere bitte.Zitat von @DerWoWusste:
Zum Klonen: Ich kann es mit allen mir bekannten Verschlüsselungen bestätigen und zwar sowohl für online-Imaging
(drive snapshot wird verwendet) als auch für offline cloning mit clonezilla. Verwendete Verschlüsselungen: Bitlocker,
PGP WDE 10, Truecrypt 5/6/7, Seagate FDE.
Zum Klonen: Ich kann es mit allen mir bekannten Verschlüsselungen bestätigen und zwar sowohl für online-Imaging
(drive snapshot wird verwendet) als auch für offline cloning mit clonezilla. Verwendete Verschlüsselungen: Bitlocker,
PGP WDE 10, Truecrypt 5/6/7, Seagate FDE.
Nun ja, ich habe verschiedene Versionen von Bitlocker, PGP, SecureDoc und SafeGuard gegen verschiedene Acronis und Symantec Lösungen/Versionen/Builds getestet und das Bild daraus ist halt ein anderes, gemischtes. Die Build von Acronis, die Biltocker unter Windows 7 nicht packt (bzw. in neun von zehn Fällen am Ende einen Fehler ausspuckt), ist unter Vista problemlos einsetzbar. Die Hersteller räumen schließlich auch ein, dass bestimmte Konstellationen nicht unterstützt werden. Es lassen sich jeweils funktionierende Kombinationen finden, keine Frage. Aber ebenso funktioniert vieles nicht bzw. ich habe nicht die Erkenntnisse dazu, dass ich einem Kunden sagen könnte, es würde pauschal tadellos funktionieren.
Zum Thema PBA (preboot Authentifizierung):
> Alle RAM-basierten Angriffsmöglichkeiten (derzeit Cold-Boot, DMA und Bus-Catcher) funktionieren unabhängig von der
Authentifizierungsmethode gegen alle konventionellen FDE-Lösungen
Das stimmt ganz und gar nicht für coldboot. Sieh mal bitte, wer das Video gemacht hat: nicht Hans Wurst, sondern das Center
for Information Technology Policy der Universität Princeton. Wie DMA und DBUS-Catcher vor dem Überwinden der PBA an die
Daten kommen sollen, erläutere bitte.
> Alle RAM-basierten Angriffsmöglichkeiten (derzeit Cold-Boot, DMA und Bus-Catcher) funktionieren unabhängig von der
Authentifizierungsmethode gegen alle konventionellen FDE-Lösungen
Das stimmt ganz und gar nicht für coldboot. Sieh mal bitte, wer das Video gemacht hat: nicht Hans Wurst, sondern das Center
for Information Technology Policy der Universität Princeton. Wie DMA und DBUS-Catcher vor dem Überwinden der PBA an die
Daten kommen sollen, erläutere bitte.
Da haben wir uns missverstanden bzw. Du hast Cold-Boot in eine meines Erachtens etwas unorthodoxe Assoziationskette gesetzt.
An dem Video habe ich nichts auszusetzen, eine tadellose CB-Attacke. Aber wie alle RAM-Methoden eben gegen ein laufendes, entsperrtes System. Ich wollte nur darauf hinweisen, dass es bei dieser Art von Angriffen nicht darauf ankommt, wie das System entsperrt wurde, denn einen anderen Eindruck hat dein Beitrag für mich erweckt.
Wenn ich Dich jetzt richtig verstanden habe, hast Du dich auf eine Anwendbarkeit der CB-Attacke gegen ausgeschaltete, durch Nur-TPM-Konfiguration selbst entsperrende Systeme bezogen. So ein Vorgehen ist natürlich denkbar und durch eine PIN zu verhindern (durch USB-Stick aber auch). Allerdings besteht bei solchen Systemen selten der Bedarf, überhaupt den kryptografischen Schlüssel zu ermitteln. Das müsste eine nicht transportable Maschine mit nicht abtrennbarem TPM sein. Und dann würde ich es lieber über DMA machen, was bei Servern eigentlich immer geht.
Man muss einfach auseinander halten: Angriffsvektor für RAM-Methoden ist nicht die Preboot-Authentifizierung und da ist diesbezüglich nichts zu reißen. Wodurch im Anwendungsfall eine Authentifizierung beim Start erzwungen werden sollte, ist eine andere Frage. Wenn der Angreifer die konkreten Authentifizierungsmittel aufbringen kann, sei es, dass sie im gestohlenen Laptop eingebaut sind oder noch am USB-Port stecken, sind RAM-Methoden das geringste Problem des Besitzers.
Grüße
Richard
