Auf Bitlocker geschützte Freigaben zugreifen, ohne sie am Host entsperren zu müssen?

Eigentlich hatte ich keine Optionen genannt.
Nur die Frage ob es möglich ist.
Ich nutze Bitlocker (Desktop ohne TPM) schon, das war nicht aufwändig.
Mehr will ich auch auf dem NAS nicht.
Wenn das was ich brauche nicht möglich ist, muss ich eine Alternative suchen.


"Der Zu greifende Rechner bzw User ist autorisiert auf die Freigabe zu zugreifen."

Ich will keinen Zugriff ohne händische Passworteingabe.
Oder dass Passwörter irgendwo gespeichert werden, die von Experten evtl. ausgelesen werden können.
So wie ich auch nicht will, dass der Host selbst Zugriff hat.
Aktuell gebe ich bei jedem Start des Desktop ein Passwort ein, um die Systempartition zu entschlüsseln.
Und noch mal, wenn Ich im Explorer auf die Datenpartition zugreifen will.
Oder habe ich das falsch verstanden?

Eigentlich habe ich den Text bewusst deutlich geschrieben.
Das Problem könnte eine Erwartungshaltung sein was "normal" ist.
So wie viele Menschen einfach ganz selbstverständlich davon ausgehen, dass man Alkohol trinkt, Musik hört, balzt, Partnerschaften sucht/pflegt etc..

Situation:
Keinerlei Zugriff auf den verschlüsselten Rechner. Nicht mal zum starten (im BIOS eingestellter Start bei Stromzufuhr).
ALLES muss von den Rechnern möglich sein, die auf ihn zugreifen.
Und wenn trotzdem jemand Zugriff auf den verschlüsselten Rechner nimmt, müssen die Daten dennoch verschlüsselt bleiben.
Also nicht zugänglich sein, nur weil auf dem Gerät wegen des TPM-Chip keine Passworteingabe nötig ist.


"Was willst du denn anderes als jedes mal das Kennwort eingeben?"

Genau das will ich.
Jedes Mal vom entfernten Rechner aus das Kennwort eingeben.
Aber NUR dort. Nicht zuvor auf dem verschlüsselten Rechner selbst.
Vermutlich muss ich dann das Betriebsystem (extra Partition) unverschlüsselt lassen, weil sonst der blaue Bitlocker-Bildschirm zu einem Zeitpunkt erscheint wo ich aus der Ferne kein Passwort eingeben kann.


@DerWoWusste

Die Erklärungen zu TPM sind mir etwas zu wirr .
Was genau ist nicht korrekt?
Wenn Ich jetzt google, werde ich Aussagen finden dass der TPM-Chip die Eingabe eines Passwort unnötig macht.

Was für einen Vorteil bringt mir also dieser Chip?


Was mir in der Wissenssammlung auffiel:

• "(Geheimschutz zum Beispiel erfordert speziell zugelassene Verschlüsselungen)."

Bitlocker sollte wohl auch vor Polizei, BKA, LKA, BND etc. Schutz bieten.
Also geht es bei "zugelassene" eher um formelle Zulassungen, nicht den technischen Schutz selbst.

• "Smartcard"-Entschlüsselung:

Wäre sicher Nice-to-have, aber wenn jemand vor Ort ist und so ein Teil mitnehmen kann.
Fingerabdruck wäre das Gleiche.
Hat man Zugriff auf die Technik und mich, und da steht ein Fingerabdrucklesegerät, oder der PC verlangt einen Fingerabdruck, Zack, entschlüsselt...
Sicher wäre da nur ein nicht bekannter Chip im Körper . Kann man sich aber wirklich einsetzen lassen.

• " Will man, dass Nutzer/Putzpersonal/wer auch immer die Festplatte ausbaut und Daten ausliest? Nein!"

Und genau das ist das nicht zu Ende gedachte Szenario.
Falls es nur vor der Mitnahme der HDD schützt, bzw. man DANN nicht an die Daten kommt, fehlt doch der Schutz, wenn einfach das Gerät mit den HDD darin selbst mitgenommen wird.
Dabei ist es moralisch auch völlig egal, ob es im Szenario die Putzfrau oder die Polizei mit Beschluss ist. Die Polizei und Justiz sind "nicht vertrauenswürdig". um mich auf die Wissenssammlung zu berufen.
Es war/ist auch völlig legitim dass Herr Poth wohl einen Geheimraum in seinem Haus hat, den die Polizei bei einer Durchsuchung nicht fand.

• "An Hardware wird ein TPM-Modul zwar nicht vorausgesetzt, jedoch sollte man sich im Klaren sein, was es bedeutet, Bitlocker ohne TPM zu betreiben: man übergibt dem Endnutzer ohne TPM die volle Kontrolle über seine Festplatte und er kann weiterhinmachen, was er möchte: Daten auslesen, Hashes knacken… ganz klar: ohne TPM sollte man es nur im persönlichen Betrieb nutzen und dann auch nur mit einem starken Kennwort (Länge ist hier Ermessenssache, aber sicher nicht unter 15 Zeichen) oder separat zu verwahrendem USB-Stick als Schutz."

Hä?
Mein Rechner hat ein Z370I Gaming Pro Carbon AC von MSI.
Ich vermute es hat kein TPM-Modul.
Beim Einrichten von Bitlocker bin ich mir sicher, wurde das fehlen des Chip erwähnt.
Und ich meine auch mich zu erinnern dass ein vorhanden TPM-Chip eine Nutzung ohne Passwort erlaubt hätte.
Und genau DAS erscheint mir absolut sinnlos, da eine Mitnahme des PC den Zugang ermöglicht hätte, die mit Passwort nicht möglich ist.

Ich muss jedes Mal beim Starten das Passwort eingeben.
Wie kann es also sein dass ich dem "Endnutzer" ohne TPM die volle Kontrolle gebe?
Auch wenn ich das Passwort eingebe und gehe, und jemand nimmt Zugriff auf den PC, hat die Person maximal Zugriff auf die offene Systempartition, nicht aber die verschlüsselte Datenpartition.
Datenlogger in Software oder Hardware mal außen vor gelassen.
Da muss ich im Explorer noch ein Passwort eingeben um Zugriff zu erhalten.
Kann trotzdem jeder der die HDD (bzw. hier M.2-mPCIe) ausbaut ohne Passwort auf die Daten zugreifen?
So kommt es nämlich rüber.

• "Die Daten sind dennoch vor Manipulation weitgehend geschützt und nur Personen mit erheblichem Know-How werden dies zu umgehen wissen. Wer eine ungefähre Vorstellung von dem Aufwand bekommen will, lese https://pulsesecurity.co.nz/articles/TPM-sniffing;;

Also haben Deutsche Behörden und Geheimdienste soweit ich das sehe keinen Zugriff (?).
Das Szenario sollte immer die Basis sein.

• "Na, das Windows-Anmeldekennwort. Muss dieses für guten Schutz nun besonders kompliziert sein? Nein, muss es (zumindest für diesen Zweck) nicht, denn niemand wird willens und in der Lage sein, an der Anmeldemaske manuell einen Brute-Force-Angriff zu starten."

Kann die ausgebaute Festplatte in einem Rechner einem Brute-Force oder anderer Technik ausgesetzt werden, um das Passwort zu knacken?

• "Noch sicherer als die transparente Authentifizierung ist ein für Domänennetzwerke gedachtes Verfahren, welches Microsoft Network Unlock getauft hat.

(...)
Der PC weist sich bei network unlock also bei einem Schlüsselserver aus, und wenn dieser ihn anerkennt, dann wird der Schlüssel via Netzwerk erhalten und das Gerät bootet ohne weitere Kennworteingabe. Das ist natürlich nett, denn Diebe, die das Gerät aus der Firma stehlen, werden es zu Hause (ohne "Schlüsselserver") nicht hochfahren können."

Wenn alle Geräte weg sind, wäre auch der Schlüsselserver dabei.

• "Der Recoverykey sollte immer erstellt werden. Dies ist eine von Windows erzeugte, 48-stellige Zahl, die man entweder auf einen gesicherten, externen Datenträger speichert oder ausdruckt und sicher verwahrt. Wer diese meint in die Microsoft-Cloud (=OneDrive) laden zu müssen – auch möglich – wir vertrauen Microsoft ja eh schon unser digitales Schaffen an, sobald wir für direkten Internetzugang gesorgt haben, also: warum eigentlich nicht?"

Was ist, wenn die Menschen die die Hardware haben, auch Zugriff auf das OneDrive erhalten?
Entweder zufällig (irgendein Gerät wo Passwort gespeichert, oder offener Zugriff besteht), oder mit Beschluss. Gibt MS bei Dt. Beschluss Zugang zum OneDrive?
Twitter, Facebook etc. verweigern Zugang bei Dt. Gerichtsbeschluss.

• "Ist es wichtig, dass man dafür sorgt, dass das Gerät immer komplett runtergefahren wird? Jein. Man sollte stets eh einen Sperrbildschirm so konfigurieren, dass dieser nach dem Aufwachen aus jeder Form von Energiesparen sofort erscheint."

Was für "Sperrbildschirme" wären das?
Ich weiß ja nicht wie das bei anderen ist, aber Ich habe schon lange keinen Bildschirmschoner mehr genutzt.
Das wäre ja eine Sperrung.
Ich habe auch mal mit dem Entfernungssensor des NEC-Bildschirm experimentiert, aber nie die richtige Empfindlichkeit gefunden.
Der Bildschirm soll ja nicht ausgehen, wenn man davor sitzt.


Evtl. setze ich das noch unter den Bitlocker-Artikel.


P.S.:
Euer Textfenster hier ja ja echt übel.
Zwei Slash für kursiv, und setzt man den, springt das Fenster nach ganz unten, und man sucht wo man gerade war.
Und Links mit zwei Slashes bringen das ganze scheinbar durcheinander.
Ich hätte gerne die Zitate von meinen Kommentaren optisch getrennt, geht aber nicht richtig.