Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Bitlocker auf Windows Server o. Windows 7 mit USB-KEY - was wenn der PC geklaut wird?

Frage Microsoft Windows Server

Mitglied: mueller-m1972

mueller-m1972 (Level 1) - Jetzt verbinden

16.05.2010, aktualisiert 17:20 Uhr, 4696 Aufrufe, 7 Kommentare

Hallo zusammen,

Ich habe einen PC/Server der leider gut zugänglich ist und nicht weggesperrt werden kann.

Was kann passieren, Wenn ich auf einem PC o. Server, Bitlocker mit USB-KEY (ohne TPM) betreibe und
das System mit USB-Key wird gestohlen?

-> Der USB-Key kann nicht mitgenommen werden, sondern muss am PC bleiben
(da das Ding immer läuft und nach Neustarts nicht immer der USB-Key dran
gesteckt werden kann)

Meine Fragen:
- kann mit dem USB-Key der Festplatteninhalt entschlüsselt werden?
- kann mit dem USB-Key das Admin Passwort z.B. mit einem Notfall-
System zurück gestzt werden?
- kommt ein Angreifer mit System und USB-Key an die verschlüsselten Daten?

Ich habe Bitlocker schon instelliert u. C: verschlüsselt.
Ist das richtig das sich auf dem USB-Key keine Datei befindet,
ich konnte nichts dergleichen erkennen. Windows startet aber
mit eingetecktem USB-KEY?

Danke für eure Hilfe
Mitglied: CresCent
16.05.2010 um 18:25 Uhr
hallo,

zu deinen fragen:
- ja
- welches admin kennwort? domain oder lokal?
- ja

da dein usb stick den key enthält, welcher zum entschlüsseln der daten zuständig ist, kann damit auch die festplatte ausgelesen werden.

ach und wieso willst du die hdd von einem server verschlüsseln ? der server sollte ja eh ned für alle zugänglich sein...

grüße
Bitte warten ..
Mitglied: C.R.S.
16.05.2010 um 18:46 Uhr
Hallo,

die Verschlüsselung ist nutzlos, wenn der USB-Datenträger am Gerät verbleibt. Der Startup Key auf dem Flash-Laufwerk entschlüsselt den Volume Master Key, der auf der Festplatte liegt. Dieser wiederum entschlüsselt den Full Volume Encryption Key und der dann die Daten.
Das Problem ist hier das "gut zugängliche" System und entsprechend wird es sich mit Verschlüsselungssoftware nicht zufriedenstellend lösen lassen. Generell muss man bei Systemen, die der Daten wegen gestohlen werden, damit rechnen, dass sie im laufenden Betriebszustand abtransportiert werden. Ohne eine gewisse physische Abschirmung und sabotagegeschützte Verbauung ist da mit Software nichts zu gewinnen.

Grüße
Richard
Bitte warten ..
Mitglied: mueller-m1972
16.05.2010 um 20:01 Uhr
Hallo,

was ist eigentlich der genaue unterschied zwischen dem USB-Key und TPM?
Wenn ich TPM statt den USB-Key verwende kann ich ja auch nicht den TPM-Chip mitnhemen und
zum entschlüsseln wieder in den PC stecken?

Ich dachte ich kann den USB-Key stecken lassen u. das System fährt dann hoch.
Trotzdem heisst das ja noch nicht, dass jemand über eine Boot CD an die Daten kommt
oder dass jemand mein admin Passowort zurücksetzten kann, um an die Daten zu kommen.

Irgendwie habe ich da ein Verständnis Problem?!

Grüße
Bitte warten ..
Mitglied: C.R.S.
16.05.2010 um 21:08 Uhr
Zitat von mueller-m1972:
was ist eigentlich der genaue unterschied zwischen dem USB-Key und TPM?

Kryptographisch gibt es praktisch keinen Unterschied. Der Startup-Key ersetzt den SRK des TPM. TPM ist etwas sicherer, weil es schon in der Preboot-Umgebung verfügbar ist. TPM kann man eben im Gegensatz zum USB-Schlüssel mit anderen Authentifizierungen kombinieren. Also beginnend mit dem Unsichersten ist möglich: USB, TPM, TPM+PIN, TPM+USB, TPM+USB+PIN.

Zitat von mueller-m1972:
Wenn ich TPM statt den USB-Key verwende kann ich ja auch nicht den TPM-Chip mitnhemen und
zum entschlüsseln wieder in den PC stecken?
Ich dachte ich kann den USB-Key stecken lassen u. das System fährt dann hoch.
Trotzdem heisst das ja noch nicht, dass jemand über eine Boot CD an die Daten kommt
oder dass jemand mein admin Passowort zurücksetzten kann, um an die Daten zu kommen.

TPM alleine zu verwenden ist ebenso nicht empfehlenswert bzw. für Szenarien vorgesehen, in denen allein der Export der Daten oder des Datenträgers zu befürchten ist, weil die Hardware entsprechend gestaltet ist. Effektiver Sabotageschutz schließt natürlich die Festplatten oft bewusst aus. Die dort weiterhin nötigen Vorkehrungen, um die Extraktion des SRK aus dem TPM zu verhindern, bringst Du ja - in der USB-Analogie - gerade nicht auf, indem Du den Schlüssel einfach beilegst. "Sicher" wäre Dein Vorgehen noch insofern, dass es dazu wohl noch keine Boot-CD zum Download gibt, sondern es einer kryptographischen Analyse bedarf. Faktisch gibst Du dem Dieb aber alles mit, was er braucht, um offline die komplette Festplatte zu entschlüsseln. Er muss es nur tun oder sich an einen Dienstleister wenden.

Grüße
Richard
Bitte warten ..
Mitglied: SamvanRatt
16.05.2010 um 21:36 Uhr
Wieso nutzt du kein iSCSI oder FC via Netz? Dann liegen die Daten in einem Fileserver in einem geschützten Raum. Sofern man an den Server noch rankommt ist auch ein Imageangriff möglich sofern es dir um die Datensicherheit geht. Meine Sorge wäre eher ein USB Key welcher mitgenommen wurde (oh schau mal ein billiger USB Stick) und der Server dann nicht mehr startet...
Gruß
Sam
Bitte warten ..
Mitglied: maretz
17.05.2010 um 07:51 Uhr
Moin,

mal ne ganz blöde frage - aber wer klaut nen Server? Das sind dann idR. Einbrecher - und die haben wenig Intresse an den Daten - die wollen den Rechner verticken. D.h. deinen USB-Key einfach mit ner Kette an der Wand befestigen und schon ist das erledigt.

Die alternative wäre das die Daten so wertvoll sind das jemand gezielt daran will. Der wird heute aber nicht in nen Gebäude einbrechen und dann den Server klauen (dafür gibt es viel zu viele Risiken dabei) -> der wird versuchen über nen Angriff auf dein Netzwerk an die Daten zu kommen (elegant -> da die Empfangsdame kaum gucken kann wer da durch den Router kommt...).

Von daher würde mich mal intressieren wo das Problem sein soll -> ich könnte mir kaum etwas vorstellen bei dem jemand einen Server klaut um an die Daten zu kommen... Bzw. kein Szenario bei dem ein so relevanter Server dann nicht entsprechend irgendwo in einem gesicherten Raum steht....
Bitte warten ..
Mitglied: DerWoWusste
18.05.2010 um 17:32 Uhr
Moin.
Ich hatte vor einiger Zeit die selbe Ausgangslage ausgeleuchtet:
Ein Server, der physikalisch nicht ausreichend gesichert werden kann, bei dem Diebe durchaus mehr Interesse an den Daten als am Verkauf der Hardware hätten.

Einziger Ansatz: Nutze eine Schlüsseldatei (Keyfile) zum Entschlüsseln der Daten, die wiederum auf der Freigabe eines anderen Servers (der hoffentlich vorhanden ist) an einem gesicherten Ort abgelegt wird. TrueCrypt bietet diese Möglichkeit, Bitlocker und einige andere nicht. Ist das Keyfile nicht erreichbar (weil Server gestohlen), bleiben die Daten verschlüsselt. Ist es erreichbar, wird die verschlüsselte Patrtition (oder der Container) automatisch gemountet. Nachteil: die gesamte Platte lässt sich auf diese Weise nicht verschlüsseln und ich sehe auch keine Möglichkeit, das zu realisieren, wenn der Server fähig sein soll, automatische Reboots (zum Beispiel nach nächtlichen Abstürzen) durchzuführen.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
gelöst Windows Server 2008 - USB 3.0 Treiber (14)

Frage von Maffi zum Thema Windows Server ...

Windows Server
gelöst Windows Server 2008 R2 - zus. Sicherung auf USB 3.0 Festplatten (5)

Frage von mike7050 zum Thema Windows Server ...

Windows Server
Windows Server 2012 R2 Key auslesen (7)

Frage von itisnapanto zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...