Auf Bitlocker geschützte Freigaben zugreifen, ohne sie am Host entsperren zu müssen?
Hallo.
Ich las dass wenn man auf eine mit Bitlocker geschützte Freigabe zugreifen will, diese erst am Rechner selbst geöffnet worden sein muss.
Ist das richtig?
Wenn der Rechner nicht mal eben zugänglich ist, wäre das ein Problem.
Gibt es evtl. Software die dies ermöglicht?
Muss man wirklich Kommandozeilenbefehle an den Rechner senden?
Es wird scheinbar auch automatisch davon ausgegangen (dass will ich jetzt verhindern), es gäbe ein "TPM-Modul".
Nein, das würde es vermutlich nicht geben. Ein N54L.
Das hieße außerdem, dass die Festplatten gleich nach dem Booten zugänglich sind, wenn ich das richtig verstehe.
Also eigentlich kein Schutz. Nur Schutz, wenn man die HDD entnimmt.
Wenn man aber Zugriff auf einen Computer nehmen kann, kann man ihn auch ganz mitnehmen.
Daher würde ich ein "TPM-Modul" eh nicht nutzen.
Es gäbe also nur ein Kennwort, kein zig Zeichen langer TPM-Code.
Kann man Bitlocker also vergessen, oder lässt es sich einfach und unkompliziert aus der ferne per Passwort entsperren.
Scheinbar werden gesperrte Netzwerkfreigaben zuvor nicht mal angezeigt.
Oder muss man die Systemplatte unverschlüsselt lassen, dann per Teamviewer drauf zugreifen, um die Platten/Partitionen zu öffnen?
Wenn Ich will dass der Host ohne Tastatur und Monitor gleich nach unter Strom setzen (kann man das bei einem HP Microserver N54L eigentlich einstellen?) startet, muss ich wohl eh auf eine Verschlüsselung der Systempartition verzichten. Denn da kommt ja beim Booten der blaue Bildschirm für die Passworteingabe...
Grundsätzlich wäre es mir auch lieb, wenn ungenutzte Laufwerke nach einer gewissen Zeit wieder gesperrt würden.
Also auch auf dem Host nicht mehr zugänglich wären.
Das wäre aber eine andere Frage, und soweit ich das sah, gibt es diese Möglichkeit nicht...
Zumindest nicht in Bitlocker.
Ich las dass wenn man auf eine mit Bitlocker geschützte Freigabe zugreifen will, diese erst am Rechner selbst geöffnet worden sein muss.
Ist das richtig?
Wenn der Rechner nicht mal eben zugänglich ist, wäre das ein Problem.
Gibt es evtl. Software die dies ermöglicht?
Muss man wirklich Kommandozeilenbefehle an den Rechner senden?
Es wird scheinbar auch automatisch davon ausgegangen (dass will ich jetzt verhindern), es gäbe ein "TPM-Modul".
Nein, das würde es vermutlich nicht geben. Ein N54L.
Das hieße außerdem, dass die Festplatten gleich nach dem Booten zugänglich sind, wenn ich das richtig verstehe.
Also eigentlich kein Schutz. Nur Schutz, wenn man die HDD entnimmt.
Wenn man aber Zugriff auf einen Computer nehmen kann, kann man ihn auch ganz mitnehmen.
Daher würde ich ein "TPM-Modul" eh nicht nutzen.
Es gäbe also nur ein Kennwort, kein zig Zeichen langer TPM-Code.
Kann man Bitlocker also vergessen, oder lässt es sich einfach und unkompliziert aus der ferne per Passwort entsperren.
Scheinbar werden gesperrte Netzwerkfreigaben zuvor nicht mal angezeigt.
Oder muss man die Systemplatte unverschlüsselt lassen, dann per Teamviewer drauf zugreifen, um die Platten/Partitionen zu öffnen?
Wenn Ich will dass der Host ohne Tastatur und Monitor gleich nach unter Strom setzen (kann man das bei einem HP Microserver N54L eigentlich einstellen?) startet, muss ich wohl eh auf eine Verschlüsselung der Systempartition verzichten. Denn da kommt ja beim Booten der blaue Bildschirm für die Passworteingabe...
Grundsätzlich wäre es mir auch lieb, wenn ungenutzte Laufwerke nach einer gewissen Zeit wieder gesperrt würden.
Also auch auf dem Host nicht mehr zugänglich wären.
Das wäre aber eine andere Frage, und soweit ich das sah, gibt es diese Möglichkeit nicht...
Zumindest nicht in Bitlocker.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7594519643
Url: https://administrator.de/forum/auf-bitlocker-geschuetzte-freigaben-zugreifen-ohne-sie-am-host-entsperren-zu-muessen-7594519643.html
Ausgedruckt am: 22.12.2024 um 08:12 Uhr
7 Kommentare
Neuester Kommentar
Moin,
du wirfst gerade ziemlich viele Option Bitlocker zu implementieren durcheinander.
Als Einstieg würde ich dir diesen Artikel empfehlen und beachte die darunter verlinkten:
https://learn.microsoft.com/de-de/windows/security/operating-system-secu ...
Das was du wahrscheinlich suchst, ist die Implementierung über das AD, sei es OnPrem oder per Azure spielt erstmal keine große Rolle.
Dadurch erschlagen sich schon viele deiner Fragen und Probleme. Der Zu greifende Rechner bzw User ist autorisiert auf die Freigabe zu zugreifen. Bei einer AD Implementierung versteht sich. Ansonsten hast du genau dein Problem.
Gruß
Spirit
du wirfst gerade ziemlich viele Option Bitlocker zu implementieren durcheinander.
Als Einstieg würde ich dir diesen Artikel empfehlen und beachte die darunter verlinkten:
https://learn.microsoft.com/de-de/windows/security/operating-system-secu ...
Das was du wahrscheinlich suchst, ist die Implementierung über das AD, sei es OnPrem oder per Azure spielt erstmal keine große Rolle.
Dadurch erschlagen sich schon viele deiner Fragen und Probleme. Der Zu greifende Rechner bzw User ist autorisiert auf die Freigabe zu zugreifen. Bei einer AD Implementierung versteht sich. Ansonsten hast du genau dein Problem.
Gruß
Spirit
Dann ist dein Text schon wirr geschrieben.
Was willst du denn anderes als jedes mal das Kennwort eingeben?
Wenn du eine Freigabe auf dem NAS verschüsselst, so sind im Endeffekt nur die Datein verschlüsselt und können, mit Windows und Passwort, eben entschlüsselt werden.
Willst du das ganze anders haben, so klappt das höchstens mit einem Windows Server und Verschlüsselung der Partition selbst.
Was willst du denn anderes als jedes mal das Kennwort eingeben?
Wenn du eine Freigabe auf dem NAS verschüsselst, so sind im Endeffekt nur die Datein verschlüsselt und können, mit Windows und Passwort, eben entschlüsselt werden.
Willst du das ganze anders haben, so klappt das höchstens mit einem Windows Server und Verschlüsselung der Partition selbst.
Nur die Frage ob es möglich ist.
Ob was möglich ist. Ich finde es auch wirr.Wie Du eine Frage richtig stellst
Was Bitlocker kann und nicht kann kannst Du ausführlichst bei Microsoft nachlesen.
https://learn.microsoft.com/de-de/windows/security/operating-system-secu ...
Hier wird auch die Funktionsweise bei unterschiedlichen Laufwerkstypen erläutert.
Wenn das Deinen Anforderungen nicht genügt, heißt das nicht
Kann man Bitlocker also vergessen
sondern dass es nicht für Deinen Usecase gemacht ist.Wenn ich Deinem Text entnehmen soll, dass Du ein unter Windows auf dem HP laufendes NAS aus der Ferne entsperren willst, wird das eher nichts ohne TPM. Evtl. ist ILO/KVM eine Lösung dafür. Fände ich aber zu umständlich. Verstehe auch nicht, warum die Systempartition in dem Fall unbedingt verschlüsselt sein muss. Wenn Du darauf verzichten kannst, ist es ja einfach gelöst. Unter Linux wäre es noch einfacher.
Ansonsten kann man sich auch eine Nextcloud aufsetzen und dort die Datenordner verschlüsseln. Das ist dann sehr komfortabel, weil gleich auf dem (entfernten) PC synchronisiert.
Viele Grüße, commodity
Moin.
Dein Mutmaßungen zu Schutzwirkung des TPMs sind nicht korrekt.
Ich habe zu TPM und eigentlich allem, was Bitlocker angeht Folgendes zusammengetragen:
Meine Wissenssammlung zu Bitlocker
https://www.serverschmiede.com/de/hp-tpm-trusted-platform-module-version ... ist übrigens das passende TPM-Modul (7,90€).
Setze ein TPM ein oder alternativ: lies einen Recoverykey vom Netzwerk ein, der das Datenlaufwerk nach dem Booten entsperrt.
Dein Mutmaßungen zu Schutzwirkung des TPMs sind nicht korrekt.
Ich habe zu TPM und eigentlich allem, was Bitlocker angeht Folgendes zusammengetragen:
Meine Wissenssammlung zu Bitlocker
https://www.serverschmiede.com/de/hp-tpm-trusted-platform-module-version ... ist übrigens das passende TPM-Modul (7,90€).
Setze ein TPM ein oder alternativ: lies einen Recoverykey vom Netzwerk ein, der das Datenlaufwerk nach dem Booten entsperrt.
Moin Tobias.
Ich fange mal hinten an:
Zu deinen Ausführungen: Ich hoffe, du erwartest nicht eine Antwort in der selben Breite.
Zum TPM:
Ohne TPM: ich muss anwesend sein, wenn der Rechner startet und ein Kennwort eingeben,
Mit TPM: der Rechner kann starten/rebooten (nach Updates oder Crash) wie er lustig ist.
In beiden Fällen bleiben die Daten verschlüsselt und lokal nur dem zugänglich, der sich anmelden kann. Da man die verschlüsselte Partition nicht aus der Ferne entsperren kann, so wie du es vorhast, ohne sich anzumelden (oder remote Kommandos auszuführen), war der TPM mein Vorschlag. Ich sehe kein Sicherheitsrisiko außer wie schon unter https://pulsesecurity.co.nz/articles/TPM-sniffing beschrieben mit hohem technischen Aufwand.
Ich fange mal hinten an:
Ich hätte gerne die Zitate von meinen Kommentaren optisch getrennt, geht aber nicht richtig.
Du musst dafür vor das Zitierte ein "> " (spitze Klammer und Leerzeichen) setzen, oder einfach den zu zitierenden Text markieren und das ">>"Symbol anklicken.Zu deinen Ausführungen: Ich hoffe, du erwartest nicht eine Antwort in der selben Breite.
Zum TPM:
Ohne TPM: ich muss anwesend sein, wenn der Rechner startet und ein Kennwort eingeben,
Mit TPM: der Rechner kann starten/rebooten (nach Updates oder Crash) wie er lustig ist.
In beiden Fällen bleiben die Daten verschlüsselt und lokal nur dem zugänglich, der sich anmelden kann. Da man die verschlüsselte Partition nicht aus der Ferne entsperren kann, so wie du es vorhast, ohne sich anzumelden (oder remote Kommandos auszuführen), war der TPM mein Vorschlag. Ich sehe kein Sicherheitsrisiko außer wie schon unter https://pulsesecurity.co.nz/articles/TPM-sniffing beschrieben mit hohem technischen Aufwand.
Kann die ausgebaute Festplatte in einem Rechner einem Brute-Force oder anderer Technik ausgesetzt werden, um das Passwort zu knacken?
Natürlich. Nur muss bewusst sein, was man da versucht: ohne TPM versucht man ein Kennwort zu brechen; ist dies relativ kurz (kleiner 12 Zeichen), hat man bei genügend Rechnenpower eine reelle Chance. Mit TPM würde man das numerische, 48-stellige, Kennwort brechen müssen - das hat 128 Bit (was von der Stärke her einem alphanumerischen Kennwort der Länge 32 entspricht) brechen müssen - das wird niemand überhaupt versuchen wollen. Da der Angreifer sehen kann, ob ein Kennwort verwendet wurde, ist zumindest davon auszugehen, dass er bei TPM ablässt, es aber bei Kennwort zumindest mit dem Wörterbuch versucht.Wenn alle Geräte weg sind, wäre auch der Schlüsselserver dabei.
Der Schlüsselserver steht im Saferraum, wenn man es ernst meint. (da würde natürlich auch der Fileserver stehen, wenn man es ernst meint).Was ist, wenn die Menschen die die Hardware haben, auch Zugriff auf das OneDrive erhalten?
Du musst OneDrive nicht verwenden.