Bitlocker automatisch entschüsseln

Mitglied: jojo0411

jojo0411 (Level 2) - Jetzt verbinden

22.06.2018 um 11:15 Uhr, 1949 Aufrufe, 7 Kommentare

Hallo Leute,

Ich bin neu bei dem Thema und habe mich soweit im Internet schlau gemacht.

Ich habe die ersten Verschüsselungen durchgeführt und immer die Option mit PIN ausgewählt weil ich davon ausgegangen bin das automatisch verschlüsseln unsicherer ist. Aber ich habe dazu eigentlich nichts gefunden. Aktuell sind die Laptops so eingestellt das diese beim hochfahren ein Passwort (PIN) abfragen. Viele verwenden in dem Fall wahrscheinlich das gleiche Passwort wie in der Domäne.

Wie steht ihr zum automatisch entschlüsseln?

nice greetz jojo
Mitglied: beidermachtvongreyscull
LÖSUNG 22.06.2018 um 11:51 Uhr
Ich bin in diesem Thema kein Experte, gebe Dir aber mal meine Erfahrung wieder.

Ich verwende Bitlocker generell immer mit PIN.
Nach meinem Dafürhalten, ist die automatische Entschlüsselung, also das Verwenden von Bitlocker ohne PIN nur dann sicher, wenn es in Verbindung mit einem TPM passiert und die entsprechende Maschine auch hinsichtlich Hardwarezugang (USB-Ports abgeschaltet, BIOS passwortgeschützt, Bootsequenz gesichert) abgesichert ist.

Würde die Festplatte in einem anderen Rechner ausgelesen, dürfte sie sich nicht ohne den Wiederherstellungsschlüssel entsperren lassen.

Zumindest meine Erfahrung.

Ich verwende aus Gewohnheit und des höheren Sicherheitsgefühls wegen deshalb auch ein Passwort als PIN.
Denn wenn jemand die Hardware klaut, stünde nur noch die Windows-Authentifizierung zwischen ihm und den Daten.
Bitte warten ..
Mitglied: Pjordorf
LÖSUNG 22.06.2018 um 12:25 Uhr
Hallo,

Zitat von beidermachtvongreyscull:
Denn wenn jemand die Hardware klaut, stünde nur noch die Windows-Authentifizierung zwischen ihm und den Daten.
Aber es ist doch nicht jeder hier ein Bundestagabgeordneter die ihre Laptops freiwilli in Taxi und Co. liegen lassen :-) face-smile
Bitte warten ..
Mitglied: emeriks
LÖSUNG 22.06.2018, aktualisiert um 13:25 Uhr
Hi,
Ich verwende Bitlocker generell immer mit PIN.
Das macht m.E. bei mobilen Clients Sinn. Bei stationären eher weniger. Eher dann, wenn hier die Wahrscheinlichkeit der Entwendung relativ hoch ist. In öffentlichen Bereichen z.B.
Nach meinem Dafürhalten, ist die automatische Entschlüsselung, also das Verwenden von Bitlocker ohne PIN nur dann sicher, wenn es in Verbindung mit einem TPM passiert
Es ist deswegen nicht "sicherer". Es macht nur dann Sinn. TPM soll sicherstellen, dass man eine HDD nur in ihrem "Heimat"-PC ohne PIN oder Passwort entschlüsseln kann.
und die entsprechende Maschine auch hinsichtlich Hardwarezugang (USB-Ports abgeschaltet, BIOS passwortgeschützt, Bootsequenz gesichert) abgesichert ist.
Das gilt dann für einen stationären Computer mit TPM und ohne PIN/Passwort. Bei einem mobilen mit PIN/Passwort macht das keinen Unterschied.

E.
Bitte warten ..
Mitglied: UweGri
LÖSUNG 22.06.2018 um 21:03 Uhr
BL macht nur Sinn, wenn ein PW gesetzt wird bzw. beim Systemlaufwerk ein Stick. TPM gilt als nicht besonders sinnreich. Es gibt Vermutungen, dass das TPM über die ME beinflußbar ist. In Systemen der höchsten Sicherheit wird ein TPM nicht genutzt.

Allerdings ist immer die Frage zu beantworten, gegen welche Angriffe Du Dich schützen willst!?

Wenn es nur um banale Sicherheit bei Verlust geht, muss kein hoher Aufwand betrieben werden. Wenn hochkarätige Angreifer abgewehrt werden sollen, reicht BL nicht aus! Es ist dann generell zumindest noch EFS zu nutzen. Achtung, da gibt es Fallstricke! Uwe
Bitte warten ..
Mitglied: beidermachtvongreyscull
LÖSUNG 24.06.2018 um 06:16 Uhr
Verschlüsselung basiert ja im Prinzip nur darauf, dass ein mathematisches Problem gestellt wird das, so hofft man, nicht in adäquater Zeit zu lösen ist.

Ich habe schon Abhandlungen gelesen, die besagen, dass Quantencomputer Verschlüsselungen, die auf dieser Problemstellung beruhen, dann in kürzester Zeit knacken können.

Ein wissenschaftliches Traktat behandelt daher als ultimative Lösung XMSS. Das ist das "eXtended Merkle Signature Scheme" und liegt seit Kurzem in der RFC 8391 vor.

Ich bin auf erste Softwareimplementierungen sehr gespannt.

Ein darauf beruhender, schwachstellenfreier Algorithmus in Open Source (damit man Hintertüren ausschließen kann) dürfte dann wirklich als sicher einzustufen sein.
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 26.06.2018, aktualisiert um 12:12 Uhr
Hi.

Falls du gegen coldboot-Angriffe schützen möchtest, dann brauchst du eine preboot-Authentifizierung. Für diese ist TPM-Benutzung mit PIN dringend zu empfehlen, da ohne tpm (aber mit Passwort) jeder Nutzer entschlüsseln kann.

Werde dir über den Unterschied tpm+PIN zu kein tpm, aber Passwort bewusst. Achte darauf, dass alle ein TPM zur Verfügung haben.
Bitte warten ..
Mitglied: jojo0411
26.06.2018 um 15:14 Uhr
Danke für die zahlreichen Hinweise.

Für mich ist die Antwort jetzt klar: Wir bleiben bei Bitlocker mit PIN.

nice greetz jojo
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
HomeOffice Pflicht - Büroaustattung vom Arbeitgeber?
h45okeg493sVor 1 TagFrageOff Topic37 Kommentare

Hallo zusammen, aufgrund der HomeOffice Situation wollte ich mal rumfragen, muss der Arbeitgeber neben der Hardware wie Notebook, etc. auch Büroausstattung wie Bürostühle zur ...

Server-Hardware
Gebrauchte Server von eBay-Kleinanzeigen
gelöst dh2411Vor 1 TagFrageServer-Hardware16 Kommentare

Hallo zusammen, neulich war ich auf eBay-Kleinanzeigen unterwegs und dort wurden mir einige Server vorgeschlagen. Ich habe dort auch meinen aktuellen Home-Server recht günstig ...

Switche und Hubs
Kurioses Problem IP Adresse ändern am Cisco SG350 10p
gelöst Xaero1982Vor 1 TagFrageSwitche und Hubs16 Kommentare

Moin Zusammen, ich habe hier einen neuen Cisco SG350 10p. Wie schon so oft wollte ich ihm eine neue IP geben, also gehe ich ...

Windows Tools
Jemand hat bereits Teams für Ihre Organisation eingerichtet (Microsoft Teams)
nachgefragtVor 1 TagFrageWindows Tools6 Kommentare

Hallo Administratoren, bevor ich weiß, dass Internet ist voll davon, daher darf ich es kurz machen: Problem Wir nutzten ausschließlich die kostenlose Variante von ...

Internet
TV-Anschluss zu DSL Anschluss
FabioST88Vor 1 TagAllgemeinInternet12 Kommentare

Hallo zusammen, ich bin vor kurzer Zeit in eine kleine Wohnung gezogen und habe nur einen TV-Anschluss sprich das runde Kabel. Leider kenne ich ...

TK-Netze & Geräte
Panasonic NS700 - Endgeräte klingeln nicht, bzw. Gespräche kommen nicht an
gelöst jensgebkenVor 1 TagFrageTK-Netze & Geräte24 Kommentare

Hallo Gemeinschaft, nun habe ich mir für meine gebrauchte Anlage doch noch eine gebrauchte BRI gekauft - Installation klappte soweit auch - raustelefonieren kann ...

Windows Server
NET 4.8 Installation scheitert auf Server 2016
gelöst powerkeksVor 1 TagFrageWindows Server13 Kommentare

Hallo, ich habe einen Server 2016 Essentials auf Blech zu laufen. Der update Stand ist aktuell. Das Gerät läuft bis dato unauffällig. Nun sollte ...

Exchange Server
Exchange 2016: Wie mit eingebetten Fotos umgehen oder ablehen
mossoxVor 1 TagFrageExchange Server15 Kommentare

Guten Morgen, Ihr kennt das Problem sicher. Statt zu scannen und PDF zu schicken fotografieren Kunden in HDR-Auflösung Quittungen ab und bomben dann 5-10 ...