Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Bitlocker Erfahrungen und Anwenderberichte

Frage Sicherheit Sicherheits-Tools

Mitglied: Texas3110

Texas3110 (Level 1) - Jetzt verbinden

24.11.2011 um 10:02 Uhr, 8832 Aufrufe, 6 Kommentare

Hallo,
ich muss meinen Laptop absichern. Dazu möchte ich gern den BitLocker aus dem Lieferumfang von Windows 7 nutzen. Könnt Ihr mir dazu Eure Meinung sagen? Mir geht es darum das nicht unbefugte die Daten meiner Festplatte auslesen können.
Es soll aber noch möglich sein die Festplatte zu klonen (für eine eventuelle SSD) und auch extern auslesen zu können. Wobei bei jedem Leseversuch der Daten die Passwortabfrage erscheinen soll.
Wie verhält es sich bei BitLocker mit einer Antivieren Software. Diese lasse ich monatlich einmal richtig durchlaufen (boot von einem speziellen USB Stick). Natürlich läuft auch noch ein ondemand Scanner auf meinem System. Wie ist es wenn ich mal Windows 8 installieren möchte, könnte ich da Probleme mit BitLocker bekommen?

Vielen Dank für Eure Hilfe
Stefan
Mitglied: DerWoWusste
24.11.2011 um 10:20 Uhr
Hi.
Zu Vollverschlüsselung muss man wissen, dass diese erst richtig sicher wird (gegen sogenannte "cold-boot-Attacken"), wenn man eine Preboot-Kennwortabfrage einschaltet. Dies geht bei Bitlocker über eine PIN.
Fünfenscanner: kein Problem. Vierenscanner: weiß ich nicht.
Win8: kein Problem
Extern auslesen: nur wenn das andere System Bitlocker hat. Dann wird ein Kennwort abgefragt.
Bitte warten ..
Mitglied: cardisch
24.11.2011 um 10:43 Uhr
Moin,

ich setzte Bitlocker auf ca 10 Laptops ein.
Die PIN-Abfrage habe ich nicht implementiert.
Erfahrung sind gut, sofern fu die Keys aufbewahrst (an einem sicheren Ort).
Einmal ist mir ein TPM-Chip durchgebraten, ein weiteres mal hat ein Hardwaretausch (war glaube ich nur ne andere USB_Maus - da kann ich mich täuschen, war aber nichts wildes) zu einer Schlüsseleingabe gezwungen, lief aber reibungslos.
Speziell Lappi´s ab Core2Duo oder vergleichbar haben ausreichend Leistung fürs Ver- und Entschlüsseln und Virenscanner ist auch kaum ein Problem (Avira Pro).
Erstverschlüsselung (core i5, fragt nicht nach dem Modell) dauert bei einer 320er Platte (50/50-Partition) ca 1,5 STd., ältere Core2Duo (Modell um T2400) benötigen (auch dank langsamerer Platte) deutlich länger (bis zu 8 Stunden)...
Allerings wirst du wirst du wohl nicht per USB an die HDD rankommen (das ist ja auch eigentlich nicht erwünscht), auch klonen wirst du nicht können (zumindest ghoffe ich, dass das nichts bringt)
Win8 ?!?
Probier es aus und berichte !!!

Gruß

Carsten
Bitte warten ..
Mitglied: DerWoWusste
24.11.2011 um 11:08 Uhr
@carsten:
-Klonen kann man gebitlockerte Platten dann, wenn man sie im laufenden Betrieb imaged. Geht mit allen Verschlüsselungen.
-man kommt per USB oder was auch immer ran
Die PIN-Abfrage habe ich nicht implementiert.
Solltest Du. Siehe http://www.youtube.com/watch?v=JDaicPIgn9U - anwendbar auf alle Verschlüsselungen ohne preboot Authentifizierung.

Edit: Klonen kann man natürlich auch über Sektorkopierprogramme wie Clonezilla.
Bitte warten ..
Mitglied: C.R.S.
24.11.2011 um 12:08 Uhr
Hallo,

Zitat von DerWoWusste:
-Klonen kann man gebitlockerte Platten dann, wenn man sie im laufenden Betrieb imaged. Geht mit allen Verschlüsselungen.

Kann ich nicht bestätigen. Ob die FDE für ein Imaging transparent ist, hängt von den jeweiligen Lösung ab. Bitlocker bietet da aus meiner Sicht einen wesentlichen Kompatibilitätsvorteil. Dennoch funktioniert das Imaging unter Windows 7 z.B. mit Acronis B&R 10 erst ab einem bestimmten Build reibungsfrei.

Solltest Du. Siehe http://www.youtube.com/watch?v=JDaicPIgn9U - anwendbar auf alle Verschlüsselungen ohne preboot
Authentifizierung.

Alle RAM-basierten Angriffsmöglichkeiten (derzeit Cold-Boot, DMA und Bus-Catcher) funktionieren unabhängig von der Authentifizierungsmethode gegen alle konventionellen FDE-Lösungen. Vielleicht verstehe ich dich falsch, aber eine Preboot-Authentifizierung ist schon prinzipbedingt Bestandteil der FDE, wer oder was (TPM) sich authentifiziert, ist erst mal egal. Unterschiede je nach der gewählten Authentifizierungsmethode ergeben sich für Bitlocker bei der Umsetzung eines Evil-Maid-Angriffs. Dabei stellt allerdings nicht die PIN sondern ein TPM das größte Hindernis für eine fehlerfreie Preboot-Interaktion dar.

Grüße
Richard
Bitte warten ..
Mitglied: DerWoWusste
24.11.2011 um 12:45 Uhr
Hallo Richard.
Zum Klonen: Ich kann es mit allen mir bekannten Verschlüsselungen bestätigen und zwar sowohl für online-Imaging (drive snapshot wird verwendet) als auch für offline cloning mit clonezilla. Verwendete Verschlüsselungen: Bitlocker, PGP WDE 10, Truecrypt 5/6/7, Seagate FDE.

Zum Thema PBA (preboot Authentifizierung):
Alle RAM-basierten Angriffsmöglichkeiten (derzeit Cold-Boot, DMA und Bus-Catcher) funktionieren unabhängig von der Authentifizierungsmethode gegen alle konventionellen FDE-Lösungen
Das stimmt ganz und gar nicht für coldboot. Sieh mal bitte, wer das Video gemacht hat: nicht Hans Wurst, sondern das Center for Information Technology Policy der Universität Princeton. Wie DMA und DBUS-Catcher vor dem Überwinden der PBA an die Daten kommen sollen, erläutere bitte.
Bitte warten ..
Mitglied: C.R.S.
24.11.2011 um 20:09 Uhr
Zitat von DerWoWusste:
Zum Klonen: Ich kann es mit allen mir bekannten Verschlüsselungen bestätigen und zwar sowohl für online-Imaging
(drive snapshot wird verwendet) als auch für offline cloning mit clonezilla. Verwendete Verschlüsselungen: Bitlocker,
PGP WDE 10, Truecrypt 5/6/7, Seagate FDE.

Nun ja, ich habe verschiedene Versionen von Bitlocker, PGP, SecureDoc und SafeGuard gegen verschiedene Acronis und Symantec Lösungen/Versionen/Builds getestet und das Bild daraus ist halt ein anderes, gemischtes. Die Build von Acronis, die Biltocker unter Windows 7 nicht packt (bzw. in neun von zehn Fällen am Ende einen Fehler ausspuckt), ist unter Vista problemlos einsetzbar. Die Hersteller räumen schließlich auch ein, dass bestimmte Konstellationen nicht unterstützt werden. Es lassen sich jeweils funktionierende Kombinationen finden, keine Frage. Aber ebenso funktioniert vieles nicht bzw. ich habe nicht die Erkenntnisse dazu, dass ich einem Kunden sagen könnte, es würde pauschal tadellos funktionieren.

Zum Thema PBA (preboot Authentifizierung):
> Alle RAM-basierten Angriffsmöglichkeiten (derzeit Cold-Boot, DMA und Bus-Catcher) funktionieren unabhängig von der
Authentifizierungsmethode gegen alle konventionellen FDE-Lösungen
Das stimmt ganz und gar nicht für coldboot. Sieh mal bitte, wer das Video gemacht hat: nicht Hans Wurst, sondern das Center
for Information Technology Policy der Universität Princeton. Wie DMA und DBUS-Catcher vor dem Überwinden der PBA an die
Daten kommen sollen, erläutere bitte.

Da haben wir uns missverstanden bzw. Du hast Cold-Boot in eine meines Erachtens etwas unorthodoxe Assoziationskette gesetzt.
An dem Video habe ich nichts auszusetzen, eine tadellose CB-Attacke. Aber wie alle RAM-Methoden eben gegen ein laufendes, entsperrtes System. Ich wollte nur darauf hinweisen, dass es bei dieser Art von Angriffen nicht darauf ankommt, wie das System entsperrt wurde, denn einen anderen Eindruck hat dein Beitrag für mich erweckt.
Wenn ich Dich jetzt richtig verstanden habe, hast Du dich auf eine Anwendbarkeit der CB-Attacke gegen ausgeschaltete, durch Nur-TPM-Konfiguration selbst entsperrende Systeme bezogen. So ein Vorgehen ist natürlich denkbar und durch eine PIN zu verhindern (durch USB-Stick aber auch). Allerdings besteht bei solchen Systemen selten der Bedarf, überhaupt den kryptografischen Schlüssel zu ermitteln. Das müsste eine nicht transportable Maschine mit nicht abtrennbarem TPM sein. Und dann würde ich es lieber über DMA machen, was bei Servern eigentlich immer geht.
Man muss einfach auseinander halten: Angriffsvektor für RAM-Methoden ist nicht die Preboot-Authentifizierung und da ist diesbezüglich nichts zu reißen. Wodurch im Anwendungsfall eine Authentifizierung beim Start erzwungen werden sollte, ist eine andere Frage. Wenn der Angreifer die konkreten Authentifizierungsmittel aufbringen kann, sei es, dass sie im gestohlenen Laptop eingebaut sind oder noch am USB-Port stecken, sind RAM-Methoden das geringste Problem des Besitzers.

Grüße
Richard
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

LAN, WAN, Wireless
Erfahrungen mit Versatel B2B?

Frage von Avaatar zum Thema LAN, WAN, Wireless ...

Verschlüsselung & Zertifikate
gelöst Bitlocker mit nur TPM sicher? (7)

Frage von Icybaby zum Thema Verschlüsselung & Zertifikate ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...