Bitlocker - Nutzung mit TPM - Sicherheit ohne PIN

Hallo,

Ja

Ja

Solange er diesen in dieser HW Kombination nicht einschaltet... Wenn er die Platte in ein anderes Gerät tut, tut sich nichts.

Du darfst in dieser Konstellation dein Notenbuch eben nicht im Taxi liegen lassen

Gruß,
Peter

Hi.

Ja, das wird oft missverstanden.
Du denkst vermutlich "er könnte ja nun einfach das Windowskennwort erraten" und schwups, ist er drin. Leider kann man an der Anmeldemaske selbst mit programmierbaren Tastaturen keinen effektiven Bruteforce-Angriff auf das Anmeldekennwort fahren - probiere es einmal aus. Somit ist bereits ein kurzes, aber nicht erratbares Kennwort von 3 Zeichen eine zu große Hürde, um das unsicher zu nennen.

Allerdings bleiben gewissen Angriffstypen auf den Verschlüsselungsschlüssel ohne PIN möglich, die man mit PIN nicht hat: sogenannte Coldboot-Attacks. Wer diese fürchtet, hat jedoch meist ganz andere Probleme und fürchtet auch, das Ziel von Agenten zu sein.

Hi.

Zunächst einmal: Vorsicht. Das ist kein einfacher Eingriff. Sperrt man Nutzer aus Ihrem PC aus, können die doch recht ungemütlich werden. Hast Du Backups?

Wenn Du ein Enterprise-Agreement (Volumenlizenzen für Windows) hast, kannst Du MBAM nutzen. Damit kannst Du den BL-Rollout einfach erledigen.

Wenn nicht, musst Du Skripte nutzen, zum Beispiel ein Domänenstartskript (Batch):
Wenn Du zuvor die GPO gesetzt hast, dass nicht verchlüsselt werden darf, bis die Recoverykeys ins AD gebackupt wurden, dann kannst Du diese Batch nutzen. Denke auch an den Fall mit mehreren Partitionen (d:,...)

Hoch geschätzter DerWoWusste,

ich mag Deine fachlich sauberen Kommentare!

Aber - hier haste Mist geschrieben! BL schützt die Platte nur im ausgeschalteten Zustand. BL ohne Start per PW oder Stick ist untauglich. Das Anmeldekennwort ist ohne EFS Makulatur und lässt sich mit jedem Linux umgehen. Wenn EFS aktiv MUSS ein PW größer 15 besser 25 Stellen gewählt werden, wenn man sicher sein will. Denn BF Angriffe kommen nicht über die Eingabemaske! PW unter 8 Stellen lassen sich über Regenbogentabellen in Minuten umgehen, da es in der Windowsanmeldung kein Salz gibt. Ab 10 Stellen werden diese Dinger ineffektiv. Du hast aber Recht, es hängt davon ab, vor WEM man seine Daten schützen will, muss! Uwe

Hi!

BitLocker mit TPM ohne PIN/USB Stick ist bequem, aber nicht besonder sicher. Es ist definitiv besser als ohne TPM, denn so kann ein Finder/Dieb die Festplatte nicht ohne Wiederherstellungsschlüssel oder Benutzerpasswort auslesen. BitLocker mit TPM bietet aber weitere Vorteile: Das TPM nimmt z.B. eine Messung vor und kann so Manipulation am System (z.B. Rootkit) erkennen. In einem solchen Fall wird das TPM gesperrt und eine Anmeldung ist nur noch mit Wiederherstellungsschlüssel UND Benutzerpasswort möglich. In den meisten Firmen reicht BitLocker mit TPM. Aber vorsicht! Stelle sicher, dass bei diesen PC das First Boot Device fest auf die Systempartition konfiguriert und USB Boot deaktiviert wurde. Bootet ein Anwender z.B. seinen Laptop im Home Office mit einem USB Gerät, dann kann dies schon für eine fehlgeschlagene TPM Messung führen und der Anwneder ruft bei Dir an Gleichs kann passieren, wenn ungeduldige Anwender Ihr Gerät "ausdrücken" anstatt sauber herunterzufahren.

BitLocker mit TMP und PIN kann in Entwicklungsabteilungen sinnvoll sein, oder in Firmen mit hoher Sicherheit. In dem Fall sollten Anwender die PIN selbst ändern können. Steuerung und Überwachung regelst Du am besten mit Dem Microsoft Bitlocker Administration und Monitoring-Kit (MBAM). Dafür brauchst Du aber Windows 10 Enterprise. Du kannst übrigens auch die automatische Netzwerkentsperrung für Dein Unternehmensstandort kofigurieren, dann müssen die Anwneder nur außerhalb die BitLocker PIN eingeben.

Achtung! Für das BitLocker Rollout solltest Du ein richtiges Projekt aufziehen. Das ist schon mittel komplex und sollte nicht mal eben hingeklickt werden.

Moin Uwe.

Das probiere einfach mal aus, um Dich vom Gegenteil zu überzeugen. Linux-Bootdisks können keine Kennwörter auf verschlüsslten Platten zurücksetzen. Wenn Du kein TPM haben solltest, nimm eine VM mit einem vTPM. Dafür brauchst Du jedoch als Host der VM Win10 oder Server 2016, nicht Windows xp.

Moin Matsushita.

Lass mich eins richtig stellen:

Du hast mich einfach nicht verstanden. Bootet ein Anwender seinen Laptop im Home Office und USB Boot ist aktiviert, dann kann ein angeschlossenes USB Gerät zu einer negativen Messung führen. Und über diesen Punkt brauchen wir nicht diskutieren ;)

Tritt so was nur bei dir auf?
Oder soll unsere Installation als Beispiel dann fehlerhaft sein/funktionieren?

Bei uns tritt solche eine fehl Kalkulation durch USB Sticks nicht auf..

Nein?

Damit der TPM dicht macht, muss er ja erst einmal gefragt werden. Und das passiert nur, wenn der Bootloader schon fragt. Und das wiederum ist nur der Fall, wenn ein TPM Protector vom bootenden OS benutzt wird. Benutzt dein USB-Bootmedium einen solchen? Nein, geht ja noch nicht einmal bei USB-Drives.

Das USB-OS kann versuchen, die Platte zu mounten, und kann natürlich nicht den TPM ansprechen - somit muss der Recoverykey herhalten.

Was Du Messung nennst, kommt nur beim normalen Bootvorgang von Platte:
BL Bootloader fragt: "Systempartition, wie bist Du geschützt?"
Syspart sagt: "TPM only"
Bootloader bittet TPM: "Rück mal den Schlüssel raus"
TPM sagt: "Mal sehen, Bios Settings sind unverändert, Bootloader ist unverändert, ich selbst habe noch die selbe Firmware...ok, hier kommt der Schlüssel"

Dann bootet Windows