tobiasclaren
Goto Top

Auf Bitlocker geschützte Freigaben zugreifen, ohne sie am Host entsperren zu müssen?

Hallo.

Ich las dass wenn man auf eine mit Bitlocker geschützte Freigabe zugreifen will, diese erst am Rechner selbst geöffnet worden sein muss.
Ist das richtig?

Wenn der Rechner nicht mal eben zugänglich ist, wäre das ein Problem.


Gibt es evtl. Software die dies ermöglicht?
Muss man wirklich Kommandozeilenbefehle an den Rechner senden?
Es wird scheinbar auch automatisch davon ausgegangen (dass will ich jetzt verhindern), es gäbe ein "TPM-Modul".
Nein, das würde es vermutlich nicht geben. Ein N54L.
Das hieße außerdem, dass die Festplatten gleich nach dem Booten zugänglich sind, wenn ich das richtig verstehe.
Also eigentlich kein Schutz. Nur Schutz, wenn man die HDD entnimmt.
Wenn man aber Zugriff auf einen Computer nehmen kann, kann man ihn auch ganz mitnehmen.
Daher würde ich ein "TPM-Modul" eh nicht nutzen.
Es gäbe also nur ein Kennwort, kein zig Zeichen langer TPM-Code.


Kann man Bitlocker also vergessen, oder lässt es sich einfach und unkompliziert aus der ferne per Passwort entsperren.
Scheinbar werden gesperrte Netzwerkfreigaben zuvor nicht mal angezeigt.


Oder muss man die Systemplatte unverschlüsselt lassen, dann per Teamviewer drauf zugreifen, um die Platten/Partitionen zu öffnen?
Wenn Ich will dass der Host ohne Tastatur und Monitor gleich nach unter Strom setzen (kann man das bei einem HP Microserver N54L eigentlich einstellen?) startet, muss ich wohl eh auf eine Verschlüsselung der Systempartition verzichten. Denn da kommt ja beim Booten der blaue Bildschirm für die Passworteingabe...
Grundsätzlich wäre es mir auch lieb, wenn ungenutzte Laufwerke nach einer gewissen Zeit wieder gesperrt würden.
Also auch auf dem Host nicht mehr zugänglich wären.
Das wäre aber eine andere Frage, und soweit ich das sah, gibt es diese Möglichkeit nicht...
Zumindest nicht in Bitlocker.

Content-ID: 7594519643

Url: https://administrator.de/contentid/7594519643

Printed on: November 14, 2024 at 08:11 o'clock

Spirit-of-Eli
Spirit-of-Eli Jun 20, 2023 at 15:16:38 (UTC)
Goto Top
Moin,

du wirfst gerade ziemlich viele Option Bitlocker zu implementieren durcheinander.
Als Einstieg würde ich dir diesen Artikel empfehlen und beachte die darunter verlinkten:
https://learn.microsoft.com/de-de/windows/security/operating-system-secu ...

Das was du wahrscheinlich suchst, ist die Implementierung über das AD, sei es OnPrem oder per Azure spielt erstmal keine große Rolle.
Dadurch erschlagen sich schon viele deiner Fragen und Probleme. Der Zu greifende Rechner bzw User ist autorisiert auf die Freigabe zu zugreifen. Bei einer AD Implementierung versteht sich. Ansonsten hast du genau dein Problem.

Gruß
Spirit
TobiasClaren
TobiasClaren Jun 20, 2023 updated at 15:31:10 (UTC)
Goto Top
Eigentlich hatte ich keine Optionen genannt.
Nur die Frage ob es möglich ist.
Ich nutze Bitlocker (Desktop ohne TPM) schon, das war nicht aufwändig.
Mehr will ich auch auf dem NAS nicht.
Wenn das was ich brauche nicht möglich ist, muss ich eine Alternative suchen.


"Der Zu greifende Rechner bzw User ist autorisiert auf die Freigabe zu zugreifen."

Ich will keinen Zugriff ohne händische Passworteingabe.
Oder dass Passwörter irgendwo gespeichert werden, die von Experten evtl. ausgelesen werden können.
So wie ich auch nicht will, dass der Host selbst Zugriff hat.
Aktuell gebe ich bei jedem Start des Desktop ein Passwort ein, um die Systempartition zu entschlüsseln.
Und noch mal, wenn Ich im Explorer auf die Datenpartition zugreifen will.
Oder habe ich das falsch verstanden?
Spirit-of-Eli
Spirit-of-Eli Jun 20, 2023 at 15:31:13 (UTC)
Goto Top
Dann ist dein Text schon wirr geschrieben.
Was willst du denn anderes als jedes mal das Kennwort eingeben?

Wenn du eine Freigabe auf dem NAS verschüsselst, so sind im Endeffekt nur die Datein verschlüsselt und können, mit Windows und Passwort, eben entschlüsselt werden.

Willst du das ganze anders haben, so klappt das höchstens mit einem Windows Server und Verschlüsselung der Partition selbst.
commodity
commodity Jun 20, 2023 updated at 22:23:07 (UTC)
Goto Top
Nur die Frage ob es möglich ist.
Ob was möglich ist. Ich finde es auch wirr.

How to correctly ask a question

Was Bitlocker kann und nicht kann kannst Du ausführlichst bei Microsoft nachlesen.
https://learn.microsoft.com/de-de/windows/security/operating-system-secu ...
Hier wird auch die Funktionsweise bei unterschiedlichen Laufwerkstypen erläutert.
Wenn das Deinen Anforderungen nicht genügt, heißt das nicht
Kann man Bitlocker also vergessen
sondern dass es nicht für Deinen Usecase gemacht ist.

Wenn ich Deinem Text entnehmen soll, dass Du ein unter Windows auf dem HP laufendes NAS aus der Ferne entsperren willst, wird das eher nichts ohne TPM. Evtl. ist ILO/KVM eine Lösung dafür. Fände ich aber zu umständlich. Verstehe auch nicht, warum die Systempartition in dem Fall unbedingt verschlüsselt sein muss. Wenn Du darauf verzichten kannst, ist es ja einfach gelöst. Unter Linux wäre es noch einfacher.

Ansonsten kann man sich auch eine Nextcloud aufsetzen und dort die Datenordner verschlüsseln. Das ist dann sehr komfortabel, weil gleich auf dem (entfernten) PC synchronisiert.

Viele Grüße, commodity
DerWoWusste
DerWoWusste Jun 21, 2023 at 08:19:02 (UTC)
Goto Top
Moin.

Dein Mutmaßungen zu Schutzwirkung des TPMs sind nicht korrekt.
Ich habe zu TPM und eigentlich allem, was Bitlocker angeht Folgendes zusammengetragen:
Meine Wissenssammlung zu Bitlocker

https://www.serverschmiede.com/de/hp-tpm-trusted-platform-module-version ... ist übrigens das passende TPM-Modul (7,90€).
Setze ein TPM ein oder alternativ: lies einen Recoverykey vom Netzwerk ein, der das Datenlaufwerk nach dem Booten entsperrt.
TobiasClaren
TobiasClaren Jun 24, 2023 updated at 09:59:33 (UTC)
Goto Top
Eigentlich habe ich den Text bewusst deutlich geschrieben.
Das Problem könnte eine Erwartungshaltung sein was "normal" ist.
So wie viele Menschen einfach ganz selbstverständlich davon ausgehen, dass man Alkohol trinkt, Musik hört, balzt, Partnerschaften sucht/pflegt etc..

Situation:
Keinerlei Zugriff auf den verschlüsselten Rechner. Nicht mal zum starten (im BIOS eingestellter Start bei Stromzufuhr).
ALLES muss von den Rechnern möglich sein, die auf ihn zugreifen.
Und wenn trotzdem jemand Zugriff auf den verschlüsselten Rechner nimmt, müssen die Daten dennoch verschlüsselt bleiben.
Also nicht zugänglich sein, nur weil auf dem Gerät wegen des TPM-Chip keine Passworteingabe nötig ist.


"Was willst du denn anderes als jedes mal das Kennwort eingeben?"

Genau das will ich.
Jedes Mal vom entfernten Rechner aus das Kennwort eingeben.
Aber NUR dort. Nicht zuvor auf dem verschlüsselten Rechner selbst.
Vermutlich muss ich dann das Betriebsystem (extra Partition) unverschlüsselt lassen, weil sonst der blaue Bitlocker-Bildschirm zu einem Zeitpunkt erscheint wo ich aus der Ferne kein Passwort eingeben kann.


@DerWoWusste

Die Erklärungen zu TPM sind mir etwas zu wirr face-smile.
Was genau ist nicht korrekt?
Wenn Ich jetzt google, werde ich Aussagen finden dass der TPM-Chip die Eingabe eines Passwort unnötig macht.

Was für einen Vorteil bringt mir also dieser Chip?


Was mir in der Wissenssammlung auffiel:

  • "(Geheimschutz zum Beispiel erfordert speziell zugelassene Verschlüsselungen)."

Bitlocker sollte wohl auch vor Polizei, BKA, LKA, BND etc. Schutz bieten.
Also geht es bei "zugelassene" eher um formelle Zulassungen, nicht den technischen Schutz selbst.

  • "Smartcard"-Entschlüsselung:
Wäre sicher Nice-to-have, aber wenn jemand vor Ort ist und so ein Teil mitnehmen kann.
Fingerabdruck wäre das Gleiche.
Hat man Zugriff auf die Technik und mich, und da steht ein Fingerabdrucklesegerät, oder der PC verlangt einen Fingerabdruck, Zack, entschlüsselt...
Sicher wäre da nur ein nicht bekannter Chip im Körper face-wink . Kann man sich aber wirklich einsetzen lassen.

  • " Will man, dass Nutzer/Putzpersonal/wer auch immer die Festplatte ausbaut und Daten ausliest? Nein!"

Und genau das ist das nicht zu Ende gedachte Szenario.
Falls es nur vor der Mitnahme der HDD schützt, bzw. man DANN nicht an die Daten kommt, fehlt doch der Schutz, wenn einfach das Gerät mit den HDD darin selbst mitgenommen wird.
Dabei ist es moralisch auch völlig egal, ob es im Szenario die Putzfrau oder die Polizei mit Beschluss ist. Die Polizei und Justiz sind "nicht vertrauenswürdig". um mich auf die Wissenssammlung zu berufen.
Es war/ist auch völlig legitim dass Herr Poth wohl einen Geheimraum in seinem Haus hat, den die Polizei bei einer Durchsuchung nicht fand.

  • "An Hardware wird ein TPM-Modul zwar nicht vorausgesetzt, jedoch sollte man sich im Klaren sein, was es bedeutet, Bitlocker ohne TPM zu betreiben: man übergibt dem Endnutzer ohne TPM die volle Kontrolle über seine Festplatte und er kann weiterhinmachen, was er möchte: Daten auslesen, Hashes knacken… ganz klar: ohne TPM sollte man es nur im persönlichen Betrieb nutzen und dann auch nur mit einem starken Kennwort (Länge ist hier Ermessenssache, aber sicher nicht unter 15 Zeichen) oder separat zu verwahrendem USB-Stick als Schutz."

Hä?
Mein Rechner hat ein Z370I Gaming Pro Carbon AC von MSI.
Ich vermute es hat kein TPM-Modul.
Beim Einrichten von Bitlocker bin ich mir sicher, wurde das fehlen des Chip erwähnt.
Und ich meine auch mich zu erinnern dass ein vorhanden TPM-Chip eine Nutzung ohne Passwort erlaubt hätte.
Und genau DAS erscheint mir absolut sinnlos, da eine Mitnahme des PC den Zugang ermöglicht hätte, die mit Passwort nicht möglich ist.

Ich muss jedes Mal beim Starten das Passwort eingeben.
Wie kann es also sein dass ich dem "Endnutzer" ohne TPM die volle Kontrolle gebe?
Auch wenn ich das Passwort eingebe und gehe, und jemand nimmt Zugriff auf den PC, hat die Person maximal Zugriff auf die offene Systempartition, nicht aber die verschlüsselte Datenpartition.
Datenlogger in Software oder Hardware mal außen vor gelassen.
Da muss ich im Explorer noch ein Passwort eingeben um Zugriff zu erhalten.
Kann trotzdem jeder der die HDD (bzw. hier M.2-mPCIe) ausbaut ohne Passwort auf die Daten zugreifen?
So kommt es nämlich rüber.

  • "Die Daten sind dennoch vor Manipulation weitgehend geschützt und nur Personen mit erheblichem Know-How werden dies zu umgehen wissen. Wer eine ungefähre Vorstellung von dem Aufwand bekommen will, lese https://pulsesecurity.co.nz/articles/TPM-sniffing;;

Also haben Deutsche Behörden und Geheimdienste soweit ich das sehe keinen Zugriff (?).
Das Szenario sollte immer die Basis sein.

  • "Na, das Windows-Anmeldekennwort. Muss dieses für guten Schutz nun besonders kompliziert sein? Nein, muss es (zumindest für diesen Zweck) nicht, denn niemand wird willens und in der Lage sein, an der Anmeldemaske manuell einen Brute-Force-Angriff zu starten."

Kann die ausgebaute Festplatte in einem Rechner einem Brute-Force oder anderer Technik ausgesetzt werden, um das Passwort zu knacken?

  • "Noch sicherer als die transparente Authentifizierung ist ein für Domänennetzwerke gedachtes Verfahren, welches Microsoft Network Unlock getauft hat.
(...)
Der PC weist sich bei network unlock also bei einem Schlüsselserver aus, und wenn dieser ihn anerkennt, dann wird der Schlüssel via Netzwerk erhalten und das Gerät bootet ohne weitere Kennworteingabe. Das ist natürlich nett, denn Diebe, die das Gerät aus der Firma stehlen, werden es zu Hause (ohne "Schlüsselserver") nicht hochfahren können."

Wenn alle Geräte weg sind, wäre auch der Schlüsselserver dabei.

  • "Der Recoverykey sollte immer erstellt werden. Dies ist eine von Windows erzeugte, 48-stellige Zahl, die man entweder auf einen gesicherten, externen Datenträger speichert oder ausdruckt und sicher verwahrt. Wer diese meint in die Microsoft-Cloud (=OneDrive) laden zu müssen – auch möglich – wir vertrauen Microsoft ja eh schon unser digitales Schaffen an, sobald wir für direkten Internetzugang gesorgt haben, also: warum eigentlich nicht?"

Was ist, wenn die Menschen die die Hardware haben, auch Zugriff auf das OneDrive erhalten?
Entweder zufällig (irgendein Gerät wo Passwort gespeichert, oder offener Zugriff besteht), oder mit Beschluss. Gibt MS bei Dt. Beschluss Zugang zum OneDrive?
Twitter, Facebook etc. verweigern Zugang bei Dt. Gerichtsbeschluss.

  • "Ist es wichtig, dass man dafür sorgt, dass das Gerät immer komplett runtergefahren wird? Jein. Man sollte stets eh einen Sperrbildschirm so konfigurieren, dass dieser nach dem Aufwachen aus jeder Form von Energiesparen sofort erscheint."

Was für "Sperrbildschirme" wären das?
Ich weiß ja nicht wie das bei anderen ist, aber Ich habe schon lange keinen Bildschirmschoner mehr genutzt.
Das wäre ja eine Sperrung.
Ich habe auch mal mit dem Entfernungssensor des NEC-Bildschirm experimentiert, aber nie die richtige Empfindlichkeit gefunden.
Der Bildschirm soll ja nicht ausgehen, wenn man davor sitzt.


Evtl. setze ich das noch unter den Bitlocker-Artikel.


P.S.:
Euer Textfenster hier ja ja echt übel.
Zwei Slash für kursiv, und setzt man den, springt das Fenster nach ganz unten, und man sucht wo man gerade war.
Und Links mit zwei Slashes bringen das ganze scheinbar durcheinander.
Ich hätte gerne die Zitate von meinen Kommentaren optisch getrennt, geht aber nicht richtig.
DerWoWusste
DerWoWusste Jun 26, 2023 at 07:39:19 (UTC)
Goto Top
Moin Tobias.

Ich fange mal hinten an:
Ich hätte gerne die Zitate von meinen Kommentaren optisch getrennt, geht aber nicht richtig.
Du musst dafür vor das Zitierte ein "> " (spitze Klammer und Leerzeichen) setzen, oder einfach den zu zitierenden Text markieren und das ">>"Symbol anklicken.

Zu deinen Ausführungen: Ich hoffe, du erwartest nicht eine Antwort in der selben Breite.

Zum TPM:
Ohne TPM: ich muss anwesend sein, wenn der Rechner startet und ein Kennwort eingeben,
Mit TPM: der Rechner kann starten/rebooten (nach Updates oder Crash) wie er lustig ist.

In beiden Fällen bleiben die Daten verschlüsselt und lokal nur dem zugänglich, der sich anmelden kann. Da man die verschlüsselte Partition nicht aus der Ferne entsperren kann, so wie du es vorhast, ohne sich anzumelden (oder remote Kommandos auszuführen), war der TPM mein Vorschlag. Ich sehe kein Sicherheitsrisiko außer wie schon unter https://pulsesecurity.co.nz/articles/TPM-sniffing beschrieben mit hohem technischen Aufwand.

Kann die ausgebaute Festplatte in einem Rechner einem Brute-Force oder anderer Technik ausgesetzt werden, um das Passwort zu knacken?
Natürlich. Nur muss bewusst sein, was man da versucht: ohne TPM versucht man ein Kennwort zu brechen; ist dies relativ kurz (kleiner 12 Zeichen), hat man bei genügend Rechnenpower eine reelle Chance. Mit TPM würde man das numerische, 48-stellige, Kennwort brechen müssen - das hat 128 Bit (was von der Stärke her einem alphanumerischen Kennwort der Länge 32 entspricht) brechen müssen - das wird niemand überhaupt versuchen wollen. Da der Angreifer sehen kann, ob ein Kennwort verwendet wurde, ist zumindest davon auszugehen, dass er bei TPM ablässt, es aber bei Kennwort zumindest mit dem Wörterbuch versucht.
Wenn alle Geräte weg sind, wäre auch der Schlüsselserver dabei.
Der Schlüsselserver steht im Saferraum, wenn man es ernst meint. (da würde natürlich auch der Fileserver stehen, wenn man es ernst meint).
Was ist, wenn die Menschen die die Hardware haben, auch Zugriff auf das OneDrive erhalten?
Du musst OneDrive nicht verwenden.