Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Server

Bitlocker auf Windows Server o. Windows 7 mit USB-KEY - was wenn der PC geklaut wird?

Mitglied: mueller-m1972

mueller-m1972 (Level 1) - Jetzt verbinden

16.05.2010, aktualisiert 17:20 Uhr, 4772 Aufrufe, 7 Kommentare

Hallo zusammen,

Ich habe einen PC/Server der leider gut zugänglich ist und nicht weggesperrt werden kann.

Was kann passieren, Wenn ich auf einem PC o. Server, Bitlocker mit USB-KEY (ohne TPM) betreibe und
das System mit USB-Key wird gestohlen?

-> Der USB-Key kann nicht mitgenommen werden, sondern muss am PC bleiben
(da das Ding immer läuft und nach Neustarts nicht immer der USB-Key dran
gesteckt werden kann)

Meine Fragen:
- kann mit dem USB-Key der Festplatteninhalt entschlüsselt werden?
- kann mit dem USB-Key das Admin Passwort z.B. mit einem Notfall-
System zurück gestzt werden?
- kommt ein Angreifer mit System und USB-Key an die verschlüsselten Daten?

Ich habe Bitlocker schon instelliert u. C: verschlüsselt.
Ist das richtig das sich auf dem USB-Key keine Datei befindet,
ich konnte nichts dergleichen erkennen. Windows startet aber
mit eingetecktem USB-KEY?

Danke für eure Hilfe
Mitglied: CresCent
16.05.2010 um 18:25 Uhr
hallo,

zu deinen fragen:
- ja
- welches admin kennwort? domain oder lokal?
- ja

da dein usb stick den key enthält, welcher zum entschlüsseln der daten zuständig ist, kann damit auch die festplatte ausgelesen werden.

ach und wieso willst du die hdd von einem server verschlüsseln ? der server sollte ja eh ned für alle zugänglich sein...

grüße
Bitte warten ..
Mitglied: C.R.S.
16.05.2010 um 18:46 Uhr
Hallo,

die Verschlüsselung ist nutzlos, wenn der USB-Datenträger am Gerät verbleibt. Der Startup Key auf dem Flash-Laufwerk entschlüsselt den Volume Master Key, der auf der Festplatte liegt. Dieser wiederum entschlüsselt den Full Volume Encryption Key und der dann die Daten.
Das Problem ist hier das "gut zugängliche" System und entsprechend wird es sich mit Verschlüsselungssoftware nicht zufriedenstellend lösen lassen. Generell muss man bei Systemen, die der Daten wegen gestohlen werden, damit rechnen, dass sie im laufenden Betriebszustand abtransportiert werden. Ohne eine gewisse physische Abschirmung und sabotagegeschützte Verbauung ist da mit Software nichts zu gewinnen.

Grüße
Richard
Bitte warten ..
Mitglied: mueller-m1972
16.05.2010 um 20:01 Uhr
Hallo,

was ist eigentlich der genaue unterschied zwischen dem USB-Key und TPM?
Wenn ich TPM statt den USB-Key verwende kann ich ja auch nicht den TPM-Chip mitnhemen und
zum entschlüsseln wieder in den PC stecken?

Ich dachte ich kann den USB-Key stecken lassen u. das System fährt dann hoch.
Trotzdem heisst das ja noch nicht, dass jemand über eine Boot CD an die Daten kommt
oder dass jemand mein admin Passowort zurücksetzten kann, um an die Daten zu kommen.

Irgendwie habe ich da ein Verständnis Problem?!

Grüße
Bitte warten ..
Mitglied: C.R.S.
16.05.2010 um 21:08 Uhr
Zitat von mueller-m1972:
was ist eigentlich der genaue unterschied zwischen dem USB-Key und TPM?

Kryptographisch gibt es praktisch keinen Unterschied. Der Startup-Key ersetzt den SRK des TPM. TPM ist etwas sicherer, weil es schon in der Preboot-Umgebung verfügbar ist. TPM kann man eben im Gegensatz zum USB-Schlüssel mit anderen Authentifizierungen kombinieren. Also beginnend mit dem Unsichersten ist möglich: USB, TPM, TPM+PIN, TPM+USB, TPM+USB+PIN.

Zitat von mueller-m1972:
Wenn ich TPM statt den USB-Key verwende kann ich ja auch nicht den TPM-Chip mitnhemen und
zum entschlüsseln wieder in den PC stecken?
Ich dachte ich kann den USB-Key stecken lassen u. das System fährt dann hoch.
Trotzdem heisst das ja noch nicht, dass jemand über eine Boot CD an die Daten kommt
oder dass jemand mein admin Passowort zurücksetzten kann, um an die Daten zu kommen.

TPM alleine zu verwenden ist ebenso nicht empfehlenswert bzw. für Szenarien vorgesehen, in denen allein der Export der Daten oder des Datenträgers zu befürchten ist, weil die Hardware entsprechend gestaltet ist. Effektiver Sabotageschutz schließt natürlich die Festplatten oft bewusst aus. Die dort weiterhin nötigen Vorkehrungen, um die Extraktion des SRK aus dem TPM zu verhindern, bringst Du ja - in der USB-Analogie - gerade nicht auf, indem Du den Schlüssel einfach beilegst. "Sicher" wäre Dein Vorgehen noch insofern, dass es dazu wohl noch keine Boot-CD zum Download gibt, sondern es einer kryptographischen Analyse bedarf. Faktisch gibst Du dem Dieb aber alles mit, was er braucht, um offline die komplette Festplatte zu entschlüsseln. Er muss es nur tun oder sich an einen Dienstleister wenden.

Grüße
Richard
Bitte warten ..
Mitglied: SamvanRatt
16.05.2010 um 21:36 Uhr
Wieso nutzt du kein iSCSI oder FC via Netz? Dann liegen die Daten in einem Fileserver in einem geschützten Raum. Sofern man an den Server noch rankommt ist auch ein Imageangriff möglich sofern es dir um die Datensicherheit geht. Meine Sorge wäre eher ein USB Key welcher mitgenommen wurde (oh schau mal ein billiger USB Stick) und der Server dann nicht mehr startet...
Gruß
Sam
Bitte warten ..
Mitglied: maretz
17.05.2010 um 07:51 Uhr
Moin,

mal ne ganz blöde frage - aber wer klaut nen Server? Das sind dann idR. Einbrecher - und die haben wenig Intresse an den Daten - die wollen den Rechner verticken. D.h. deinen USB-Key einfach mit ner Kette an der Wand befestigen und schon ist das erledigt.

Die alternative wäre das die Daten so wertvoll sind das jemand gezielt daran will. Der wird heute aber nicht in nen Gebäude einbrechen und dann den Server klauen (dafür gibt es viel zu viele Risiken dabei) -> der wird versuchen über nen Angriff auf dein Netzwerk an die Daten zu kommen (elegant -> da die Empfangsdame kaum gucken kann wer da durch den Router kommt...).

Von daher würde mich mal intressieren wo das Problem sein soll -> ich könnte mir kaum etwas vorstellen bei dem jemand einen Server klaut um an die Daten zu kommen... Bzw. kein Szenario bei dem ein so relevanter Server dann nicht entsprechend irgendwo in einem gesicherten Raum steht....
Bitte warten ..
Mitglied: DerWoWusste
18.05.2010 um 17:32 Uhr
Moin.
Ich hatte vor einiger Zeit die selbe Ausgangslage ausgeleuchtet:
Ein Server, der physikalisch nicht ausreichend gesichert werden kann, bei dem Diebe durchaus mehr Interesse an den Daten als am Verkauf der Hardware hätten.

Einziger Ansatz: Nutze eine Schlüsseldatei (Keyfile) zum Entschlüsseln der Daten, die wiederum auf der Freigabe eines anderen Servers (der hoffentlich vorhanden ist) an einem gesicherten Ort abgelegt wird. TrueCrypt bietet diese Möglichkeit, Bitlocker und einige andere nicht. Ist das Keyfile nicht erreichbar (weil Server gestohlen), bleiben die Daten verschlüsselt. Ist es erreichbar, wird die verschlüsselte Patrtition (oder der Container) automatisch gemountet. Nachteil: die gesamte Platte lässt sich auf diese Weise nicht verschlüsseln und ich sehe auch keine Möglichkeit, das zu realisieren, wenn der Server fähig sein soll, automatische Reboots (zum Beispiel nach nächtlichen Abstürzen) durchzuführen.
Bitte warten ..
Ähnliche Inhalte
Speicherkarten
Verschlüsselung von USB-Sticks mit Bitlocker unter Windows 7 Enterprise
Frage von nohornSpeicherkarten5 Kommentare

Guten Tag, wir haben unseren Firmennotebooks die Festplatten mit Bitlocker verschlüsselt und wollen nun auch die Verschlüsselung von USB-Sticks ...

Windows 7
Windows 7 und Bitlocker bootet nicht mehr
Frage von LinuxUser48Windows 72 Kommentare

Hallo an alle! Ich habe ein Problem mit Windows 7 und Bitlocker. Ich habe eine SSD worauf ich Win7 ...

Verschlüsselung & Zertifikate
Bitlocker unter "Windows 7": Systempartition schützen
Frage von donnyS73lbVerschlüsselung & Zertifikate3 Kommentare

Hallo zusammen, ich habe hier ein relativ neues HP-Notebook. Ich bekomme es nicht hin, mit Bitlocker unter "Windows 7" ...

Windows Server
USB Backupplatte + Bitlocker + Rechte
Frage von StrunzDummWindows Server2 Kommentare

Hallo an Alle, folgendes, mir nicht wirklich erklärbares, Problemchen nervt. Ca. 30 Standorte, W2k8 R2 oder W2k12 R2, alle ...

Neue Wissensbeiträge
Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 17 StundenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 17 StundenSicherheit11 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 18 StundenSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Sicherheit

Meltdown und Spectre: Die machen uns alle was vor

Information von Frank vor 18 StundenSicherheit14 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Heiß diskutierte Inhalte
Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von 92943Windows 1031 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
gelöst Frage von IngenieursBatch & Shell29 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Netzwerkgrundlagen
Welches Modem für VDSL 50000 der T-Com
gelöst Frage von Windows10GegnerNetzwerkgrundlagen21 Kommentare

Hallo, ein Kollege von mir will sich VDSL50000 von der T-Com holen, um daran einen Server zu betreiben. Ich ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...