BitLocker und HDDClone
Moin Leute,
ich habe eine Verständnisfrage, mein Supportler ist gerade auf mich zugekommen mit folgender Frage:
Wenn er eine SSD/HDD mit aktiven BitLocker clont , (HDCloneX) dann wird der BitLocker abgedreht.... sprich ein Sicherheitsfeature wird abgedreht.
Er kann zwar den BitLocker mit kopieren, aber es ändert so nichts am Problem.
BitLocker verschlüsselt bei uns die gesamte HDD/SSD , TPM2 & 1.2 sind im Einsatz, es ist aber kein StartUp-Pin vergeben (denke hier ansetzen?)
Hat hier jemand schon erfahrung gemacht mit BitLocker und HDDClone bzw. ein allgemeines kopieren von verschlüsselten Laufwerken?
Aus meiner Sicht kann ich unter Win11 entweder BitLocker aufdrehen oder eben nicht.
Schlüssel werden ins AD gesynct, und der Verschlüsselungsfaktor wird über GPO gesteuert, BitLocker via Endpoint über Powershell aktiviert.
Soweit funktioniert alles, Skript macht was es soll, aber eben dass mit dem Clone schmeckt mir "janz und janischt", ich gehe mal davon aus ich habe hier irgendwo einen Fehler?
Für Sachdienliche Hinweise wäre ich dankbar.
Win11 pro aktuelle Version
Grüße
ich habe eine Verständnisfrage, mein Supportler ist gerade auf mich zugekommen mit folgender Frage:
Wenn er eine SSD/HDD mit aktiven BitLocker clont , (HDCloneX) dann wird der BitLocker abgedreht.... sprich ein Sicherheitsfeature wird abgedreht.
Er kann zwar den BitLocker mit kopieren, aber es ändert so nichts am Problem.
BitLocker verschlüsselt bei uns die gesamte HDD/SSD , TPM2 & 1.2 sind im Einsatz, es ist aber kein StartUp-Pin vergeben (denke hier ansetzen?)
Hat hier jemand schon erfahrung gemacht mit BitLocker und HDDClone bzw. ein allgemeines kopieren von verschlüsselten Laufwerken?
Aus meiner Sicht kann ich unter Win11 entweder BitLocker aufdrehen oder eben nicht.
Schlüssel werden ins AD gesynct, und der Verschlüsselungsfaktor wird über GPO gesteuert, BitLocker via Endpoint über Powershell aktiviert.
param (
[string]$Test = "no"
)
# Funktion zur Erstellung des Logfiles
function Initialize-LogFile {
$logPath = "C:\temp\**INTERNE-INFO**Log.txt"
# Prüfen, ob der Ordner existiert, andernfalls erstellen
if (-not (Test-Path "C:\temp")) {
New-Item -Path "C:\temp" -ItemType Directory
}
# Logfile erstellen oder leeren
if (-not (Test-Path $logPath)) {
New-Item -Path $logPath -ItemType File
} else {
Clear-Content -Path $logPath
}
# Log-Einträge hinzufügen
Add-Content -Path $logPath -Value "$(Get-Date) - Logfile initialisiert."
}
# Funktion zum Schreiben von Logeinträgen
function Write-Log {
param (
[string]$Message
)
$logPath = "C:\temp\**INTERNE-INFO**Log.txt"
Add-Content -Path $logPath -Value "$(Get-Date) - $Message"
}
# Funktion zur Testausführung
function Test-Script {
Write-Log "Testmodus aktiviert. Keine BitLocker-Verschlüsselung wird durchgeführt."
Write-Host "Testmodus aktiviert. Keine BitLocker-Verschlüsselung wird durchgeführt."
}
# Funktion zum Überprüfen von Wechseldatenträgern
function Check-RemovableDrives {
$removableDrives = Get-WmiObject -Query "SELECT * FROM Win32_DiskDrive WHERE MediaType='Removable Media'"
foreach ($drive in $removableDrives) {
$driveLetter = (Get-WmiObject -Query "ASSOCIATORS OF {Win32_DiskDrive.DeviceID='$($drive.DeviceID)'} WHERE AssocClass=Win32_LogicalDiskToPartition").DeviceID
Write-Log "Wechseldatenträger gefunden: $driveLetter"
Write-Host "Wechseldatenträger gefunden: $driveLetter"
}
}
# BitLocker aktivieren oder Testmodus ausführen
function Main {
param (
[string]$Test
)
# Logfile initialisieren
Initialize-LogFile
if ($Test -eq "yes") {
Test-Script
return
}
Write-Log "BitLocker-Aktivierung gestartet."
# Sicherstellen, dass das BitLocker-Modul installiert ist
Import-Module BitLocker
# Überprüfen, ob das Laufwerk bereits BitLocker-verschlüsselt ist
$osDrive = Get-BitLockerVolume -MountPoint "C:"
if ($osDrive.ProtectionStatus -eq "On") {
Write-Log "BitLocker ist bereits aktiviert auf Laufwerk C:."
Write-Host "BitLocker ist bereits aktiviert auf Laufwerk C:."
} else {
# BitLocker auf dem Betriebssystemlaufwerk aktivieren
try {
Enable-BitLocker -MountPoint "C:" -RecoveryPasswordProtector -UsedSpaceOnly
Write-Log "BitLocker wird auf Laufwerk C: aktiviert. Dies kann einige Zeit dauern."
Write-Host "BitLocker wird auf Laufwerk C: aktiviert. Dies kann einige Zeit dauern."
# Status der Verschlüsselung überwachen
while ($osDrive.ProtectionStatus -eq "On" -and $osDrive.VolumeStatus -eq "FullyDecrypted") {
Start-Sleep -Seconds 60
$osDrive = Get-BitLockerVolume -MountPoint "C:"
Write-Log "Verschlüsselungsstatus: $($osDrive.VolumeStatus)"
Write-Host "Verschlüsselungsstatus: $($osDrive.VolumeStatus)"
}
Write-Log "Verschlüsselung abgeschlossen oder andere Aktion erforderlich."
Write-Host "Verschlüsselung abgeschlossen oder andere Aktion erforderlich."
} catch {
Write-Log "Fehler beim Aktivieren von BitLocker: $_"
Write-Host "Fehler beim Aktivieren von BitLocker: $_"
}
}
# Wechseldatenträger überprüfen
Check-RemovableDrives
}
# Hauptfunktion aufrufen und Testmodus-Parameter verarbeiten
Main -Test:$Test
Soweit funktioniert alles, Skript macht was es soll, aber eben dass mit dem Clone schmeckt mir "janz und janischt", ich gehe mal davon aus ich habe hier irgendwo einen Fehler?
Für Sachdienliche Hinweise wäre ich dankbar.
Win11 pro aktuelle Version
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668275
Url: https://administrator.de/contentid/668275
Ausgedruckt am: 21.11.2024 um 18:11 Uhr
50 Kommentare
Neuester Kommentar
Moin,
ich glaube das ist eher eine Prinzipfrage.
Natürlich ist es auch möglich verschlüsselte Laufwerke zu kopieren.
Dann aber nur als 1:1 Sektor-Kopie aller Sektoren mit z.B. DD und ohne Anpassungen an die neue größe oder Treiber. Denn andere Zugriffsmöglichkeiten oder Informationen stehen nicht zur Verfügung.
Die "Idee" ein Laufwerk vorher zu entschlüsseln, zu kopieren und dann neu zu verschlüsseln ist vermutlich sehr effektiv. Man kopiert nur die genutzen Sektoren, was den Vorgang deutlich beschleunig, und kann die Partitionen an die neue Größe des Laufwerkes (kleiner oder größer) anpassen. Auch das Windows-Booten an einen neuen Controller kann man aktivieren.
Aber es schafft eine Sicherheitslücke im Prozess.
Your call
Stefan
ich glaube das ist eher eine Prinzipfrage.
Natürlich ist es auch möglich verschlüsselte Laufwerke zu kopieren.
Dann aber nur als 1:1 Sektor-Kopie aller Sektoren mit z.B. DD und ohne Anpassungen an die neue größe oder Treiber. Denn andere Zugriffsmöglichkeiten oder Informationen stehen nicht zur Verfügung.
Die "Idee" ein Laufwerk vorher zu entschlüsseln, zu kopieren und dann neu zu verschlüsseln ist vermutlich sehr effektiv. Man kopiert nur die genutzen Sektoren, was den Vorgang deutlich beschleunig, und kann die Partitionen an die neue Größe des Laufwerkes (kleiner oder größer) anpassen. Auch das Windows-Booten an einen neuen Controller kann man aktivieren.
Aber es schafft eine Sicherheitslücke im Prozess.
Your call
Stefan
Wie wird denn da geklont , aus dem auf der quellplatte laufenden windows? Natürlich ist dann bitlocker entsperrt und der clone ist nicht verschlüsselt. Wie Stefan schon geschrieben hat müsste man ne Sektor-Kopie machen und zwar nicht aus dem Quell-Windows heraus sondern an nem anderen PC oder zb von nem usb-stick nen live-system booten und daraus klonen.
Moin @MrHeisenberg
die Sicherheitslücke besteht eigentlich nicht, wenn man den BitLocker Schlüssel nicht herausgibt.
Jedoch würde ich das Klonen von Laufwerken (HDD, SSD) inzwischen nur noch mit entsprechenden USB-Live-Sticks machen, welche es ja inzwischen kostenlos diverse gibt. (Ggf. macht ja mal jemand eine Liste mit download-Links).
Diese USB-Live-Sticks funktionieren i.gd.R. gut und einfach, auch bei BitLocker-Verschlüsselten Laufwerken.
Kreuzberger
die Sicherheitslücke besteht eigentlich nicht, wenn man den BitLocker Schlüssel nicht herausgibt.
Jedoch würde ich das Klonen von Laufwerken (HDD, SSD) inzwischen nur noch mit entsprechenden USB-Live-Sticks machen, welche es ja inzwischen kostenlos diverse gibt. (Ggf. macht ja mal jemand eine Liste mit download-Links).
Diese USB-Live-Sticks funktionieren i.gd.R. gut und einfach, auch bei BitLocker-Verschlüsselten Laufwerken.
Kreuzberger
Du kannst mit Clonezilla BL-verschlüsselte Laufwerke klonen. Partitionsvergrößerungen, wie Clonezilla es anbietet, würde ich dabei jedoch nicht wagen - auf der neuen Platte arbeitet Bitlocker unverändert.
Mit Drive Snapshot kann man ebenso gebitlockte Partitionen roh (raw) in ein Image überführen und zurückspielen und somit Partitionen 1 zu 1 auch auf eine andere Platte klonen und Bitlocker bleibt erhalten. Dazu müsstest Du sicherstellen, dass Du Drive Snapshot nicht etwa unter Windows startest, wo die Partitionen gemountet sind, sondern unter WinPE bzw. von Windows Setup aus (Shift F10 ->Kommandozeile->Start von DriveSnapshot vom Setup-Stick)
Mit Drive Snapshot kann man ebenso gebitlockte Partitionen roh (raw) in ein Image überführen und zurückspielen und somit Partitionen 1 zu 1 auch auf eine andere Platte klonen und Bitlocker bleibt erhalten. Dazu müsstest Du sicherstellen, dass Du Drive Snapshot nicht etwa unter Windows startest, wo die Partitionen gemountet sind, sondern unter WinPE bzw. von Windows Setup aus (Shift F10 ->Kommandozeile->Start von DriveSnapshot vom Setup-Stick)
...doch wenn der böse Hacker mit schwarzen Kapuzenpulli nun die Platte einfach klont, hat er theoretisch Zugriff auf alles
Das lese ich ja jetzt erst. Ich bitte Dich... Das Klonen nimmt nur das mit, was es lesen kann. Entweder Rohdaten, dann bleibt es verschlüsselt, oder, wenn der Hacker schon Admin ist und auf der Kiste arbeitet, natürlich alles, aber da ist das Kind ja bereits im Brunnen.
Zur "Not" vorher ein "manage-bde c: -off"
Moin @DerWoWusste,
das Kind ist bei TO bereits schon in den Brunnen gefallen, da er keine BL-Boot-Passwort verwendet. 😔
Denn so muss der Angreifer/Dieb bei einem BL (ohne PW) geschützten Notebook/Laptop oder was auch immer, lediglich beim lokalen Administrator das Kennwort zurücksetzten, was für einen richtigen Hacker eigentlich ein Kinderspiel ist und schon liegen die Daten auf dem Präsentierteller.
Daher, wenn BL verwendet wird und man damit auch sicherstellen möchte, dass bei einem Diebstahl die Daten des entsprechenden Gerätes nicht so einfach entschlüsselt werden können, dann muss auf dem entsprechenden Gerät auch unbedingt ein BL-Boot-Passwort gesetzt werden!
Übrigens, wenn man SED's "self-encrypting drive" verwendet und diese auch richtig eingerichtet hat, sprich auch ein Boot Passwort benutzt, dann kann man sich den ganzen performancefressenden Bitlocker Mist auch sparen. 😉
Zu dem Hauptanliegen.
Wenn der TO eine Sicherung aus dem Verschlüsselten OS aus startet, dann werden die Daten, wenn ich BL richtig verstanden habe, unverschlüsselt gesichert und zwar auch dann, wenn er diese Blockweise abkratzt.
Wenn der TO das Laufwerk incl. Verschlüsselung sichern möchte, dann muss er den entsprechenden Rechner mit einem USB Stick Booten und dann von diesem aus, das BL verschlüsselte Laufwerk, welches in dem Fall aber dann nicht entschlüsselt ist, sichern.
Ähm ja, by the Way, ich finde Verschlüsselung ja nicht unwichtig, zumindest wenn diese an der richtigen Stelle auch Sinnvoll umgesetzt ist.
Aber, diesen jüngst immer mehr aufkommenden "ich verschlüssele sicherheitshalber irgendwie mal Alles, nur damit mir der DSBler nicht mehr ans Bein pinkeln kann, Wahn", kann ich nicht wirklich nachvollziehen, weil sich mit dem Einsatz einer Verschlüsselung nicht nur Vorteile, sondern zum Teil auch gravierende Nachteile, wie z.B. ein deutlich höherer Ressourcenverbrauch und meist auch sehr gravierende Leistungseinbussen ergeben!
Und auch die Gefahr, die Daten z.B. durch einen Fehler in der Verschlüsselung vollständig zu verlieren, sollte man bei den Thema auch nicht unter den Tisch kehren, vor allem beim Bitlocker!
Gruss Alex
Das lese ich ja jetzt erst. Ich bitte Dich... Das Klonen nimmt nur das mit, was es lesen kann. Entweder Rohdaten, dann bleibt es verschlüsselt, oder, wenn der Hacker schon Admin ist und auf der Kiste arbeitet, natürlich alles, aber da ist das Kind ja bereits im Brunnen.
das Kind ist bei TO bereits schon in den Brunnen gefallen, da er keine BL-Boot-Passwort verwendet. 😔
Denn so muss der Angreifer/Dieb bei einem BL (ohne PW) geschützten Notebook/Laptop oder was auch immer, lediglich beim lokalen Administrator das Kennwort zurücksetzten, was für einen richtigen Hacker eigentlich ein Kinderspiel ist und schon liegen die Daten auf dem Präsentierteller.
Daher, wenn BL verwendet wird und man damit auch sicherstellen möchte, dass bei einem Diebstahl die Daten des entsprechenden Gerätes nicht so einfach entschlüsselt werden können, dann muss auf dem entsprechenden Gerät auch unbedingt ein BL-Boot-Passwort gesetzt werden!
Übrigens, wenn man SED's "self-encrypting drive" verwendet und diese auch richtig eingerichtet hat, sprich auch ein Boot Passwort benutzt, dann kann man sich den ganzen performancefressenden Bitlocker Mist auch sparen. 😉
Zu dem Hauptanliegen.
Wenn der TO eine Sicherung aus dem Verschlüsselten OS aus startet, dann werden die Daten, wenn ich BL richtig verstanden habe, unverschlüsselt gesichert und zwar auch dann, wenn er diese Blockweise abkratzt.
Wenn der TO das Laufwerk incl. Verschlüsselung sichern möchte, dann muss er den entsprechenden Rechner mit einem USB Stick Booten und dann von diesem aus, das BL verschlüsselte Laufwerk, welches in dem Fall aber dann nicht entschlüsselt ist, sichern.
Ähm ja, by the Way, ich finde Verschlüsselung ja nicht unwichtig, zumindest wenn diese an der richtigen Stelle auch Sinnvoll umgesetzt ist.
Aber, diesen jüngst immer mehr aufkommenden "ich verschlüssele sicherheitshalber irgendwie mal Alles, nur damit mir der DSBler nicht mehr ans Bein pinkeln kann, Wahn", kann ich nicht wirklich nachvollziehen, weil sich mit dem Einsatz einer Verschlüsselung nicht nur Vorteile, sondern zum Teil auch gravierende Nachteile, wie z.B. ein deutlich höherer Ressourcenverbrauch und meist auch sehr gravierende Leistungseinbussen ergeben!
Und auch die Gefahr, die Daten z.B. durch einen Fehler in der Verschlüsselung vollständig zu verlieren, sollte man bei den Thema auch nicht unter den Tisch kehren, vor allem beim Bitlocker!
Gruss Alex
Denn so muss der Angreifer/Dieb bei einem BL (ohne PW) geschützten Notebook/Laptop oder was auch immer, lediglich beim lokalen Administrator das Kennwort zurücksetzten, was für einen richtigen Hacker eigentlich ein Kinderspiel ist
Eben nicht. Genau gegen dieses Kennwort ändern offline schützt Bitlocker auch ohne preboot-Authentifizierung.
Moin @DerWoWusste,
das ist eben nicht so, denn auch bei einem Windows gibt es diverseste Wege wie man ohne externe Mittel die Authentifizierung umgehen kann, respektive, z.B. das Administrator Kennwort zurücksetzen kann, selbst bei DC's. 😔 Deshalb sollte man wenn man schon BitLocker oder auch eine andere Vollverschlüsselung verwendet, das auch ordentlich machen, sprich, unbedingt mit einer Pre-Boot-Authentifizierung implementieren.
Denn ohne ist das meiner Ansicht nach so, also ob eine Bank ihre EC Karten mit einer aufgedruckter PIN ausliefern würde. 🙃
Gruss Alex
Eben nicht. Genau gegen dieses Kennwort ändern offline schützt Bitlocker auch ohne preboot-Authentifizierung.
das ist eben nicht so, denn auch bei einem Windows gibt es diverseste Wege wie man ohne externe Mittel die Authentifizierung umgehen kann, respektive, z.B. das Administrator Kennwort zurücksetzen kann, selbst bei DC's. 😔 Deshalb sollte man wenn man schon BitLocker oder auch eine andere Vollverschlüsselung verwendet, das auch ordentlich machen, sprich, unbedingt mit einer Pre-Boot-Authentifizierung implementieren.
Denn ohne ist das meiner Ansicht nach so, also ob eine Bank ihre EC Karten mit einer aufgedruckter PIN ausliefern würde. 🙃
Gruss Alex
@MysticFoxDE: Wie kann ich die SAM-Datei in einem Bitlocker-Windows mit vertretbaren Aufwand ändern?
Moin @150631,
der schwierigste Part ist eine Konsole mit SYSTEM Berechtigung zwischen den Booten und der Authentifizierung zu öffnen. Der Rest ist dann relativ einfach.
By the way, wir kommen mit dieser Unterhaltung ...
..., so langsam in ein etwas gefährliches/grenzwertiges Fahrwasser.
Gruss Alex
@MysticFoxDE: Wie kann ich die SAM-Datei in einem Bitlocker-Windows mit vertretbaren Aufwand ändern?
der schwierigste Part ist eine Konsole mit SYSTEM Berechtigung zwischen den Booten und der Authentifizierung zu öffnen. Der Rest ist dann relativ einfach.
net user Benutzername NeuesPasswort
By the way, wir kommen mit dieser Unterhaltung ...
Regel Nr. 5: Verbotene Inhalte
Aufrufe oder Anleitungen zu Straftaten (z.B. Wie knacke ich eine Software oder ein Benutzerkonto).
Aufrufe oder Anleitungen zu Straftaten (z.B. Wie knacke ich eine Software oder ein Benutzerkonto).
..., so langsam in ein etwas gefährliches/grenzwertiges Fahrwasser.
Gruss Alex
die Konsole bringt einem gar nichts da die festplatte und damit auch die userdatenbank nicht zugänglich ist solange bitlocker nicht entschlüsselt ist.
Ja, es gibt Sidechannel angriffe gegen das TPM um den Verschlüsselungskey abzugreifen, das erfordert allerdings spezialiserte Hardware und ne menge Wissen. Es gab auch ne Sicherheitslücke bei der man mithilfe der Recovery-Partition Bitlocker umgehen konnte, diese ist allerdings behoben worden.
Ja, es gibt Sidechannel angriffe gegen das TPM um den Verschlüsselungskey abzugreifen, das erfordert allerdings spezialiserte Hardware und ne menge Wissen. Es gab auch ne Sicherheitslücke bei der man mithilfe der Recovery-Partition Bitlocker umgehen konnte, diese ist allerdings behoben worden.
Moin @pebcak7123,
ich fürchte, du hast die Funktionalität von BitLocker nicht ganz verstanden.
Denn sobald das Betriebssystem selbst bootet, ist die Bootpartition bereits schon vollständig entschlüsselt, sprich, lange bevor die Benutzeranmeldung des Windows kommt, denn sonnst könnte das Windows selbst ja auch nicht hochfahren.
Das ist eine ganz andere Baustelle ... ausserdem funktioniert dieser TPM-Sidechannel-Angriff nur auf bestimmter und bereits sehr veralteter Hardware.
Gruss Alex
die Konsole bringt einem gar nichts da die festplatte und damit auch die userdatenbank nicht zugänglich ist solange bitlocker nicht entschlüsselt ist.
ich fürchte, du hast die Funktionalität von BitLocker nicht ganz verstanden.
Denn sobald das Betriebssystem selbst bootet, ist die Bootpartition bereits schon vollständig entschlüsselt, sprich, lange bevor die Benutzeranmeldung des Windows kommt, denn sonnst könnte das Windows selbst ja auch nicht hochfahren.
Ja, es gibt Sidechannel angriffe gegen das TPM um den Verschlüsselungskey abzugreifen, das erfordert allerdings spezialiserte Hardware und ne menge Wissen.
Das ist eine ganz andere Baustelle ... ausserdem funktioniert dieser TPM-Sidechannel-Angriff nur auf bestimmter und bereits sehr veralteter Hardware.
Gruss Alex
Moin @MrHeisenberg,
na ja, ganz so trivial ist das Thema auch nicht wirklich.
Weil er das Backup quasi Innerhalb der durch BitLocker geschützten Windows erstellt hat und in diesem Fall ist das ganz normal.
👍👍👍
OK, dann prüf bitte unbedingt ob die Wiederherstellungsschlüssel auch sauber ins AD geschrieben werden, denn hier gab es in der Vergangenheit auch schon einige Probleme.
https://www.borncity.com/blog/2018/06/29/windows-10-v1893-kein-backup-fr ...
BitLocker - Wiederherstellungsschlüssel werden nicht im AD gespeichert
https://www.reddit.com/r/MDT/comments/nx1eh3/help_needed_pls_bitlocker_r ...
😔
Wie gesagt, ist ganz normal, kannst es am einfachsten mit einer VM ausprobieren.
Sprich, wenn du bei einer BL verschlüsselten VM, die VHDX über den HV-Node quasi von "aussen" sicherst/kopierst, bleibt der BL-Schutz intakt. Wenn du diese VM jedoch über z.B. einen Backup Agent von "innen" sicherst, wird das entsprechende Backup ohne BL-Schutz erstellt.
Daher kann man z.B. durch BL auch nicht wirklich vermeiden, dass die Daten bei einem hochgefahrenen System, z.B. über das Netzwerk abgezogen werden. 😔
Sprich, BL schützt eigentlich nur dann wirklich effektiv, wenn der entsprechende Rechner sich entweder im StandBy befindet oder ausgeschaltet ist und auch ein Boot-Passwort hinterlegt ist. 🙃
Gruss Alex
also dass ich hier so eine Baustelle öffne hätt ich jetzt nicht gedacht, also zum Ursprung:
na ja, ganz so trivial ist das Thema auch nicht wirklich.
Mein Supportler hat eine HDD mit BitLocker geklont, und hier war dann der BitLocker nicht auf die neue HDD übertragen worden
Weil er das Backup quasi Innerhalb der durch BitLocker geschützten Windows erstellt hat und in diesem Fall ist das ganz normal.
jetzt testen wir noch die Konstellation mit WinPXE und Linux von einem Stick ob wir auf die Platte theoretisch kommen, bei den MobileUsern sind wir bereits bei eruieren zwecks Pre-Boot-Pin.
👍👍👍
BitLocker ist unsere Wahl da wir es via GPO sowie AD fein aussteuern und verwalten können
OK, dann prüf bitte unbedingt ob die Wiederherstellungsschlüssel auch sauber ins AD geschrieben werden, denn hier gab es in der Vergangenheit auch schon einige Probleme.
https://www.borncity.com/blog/2018/06/29/windows-10-v1893-kein-backup-fr ...
BitLocker - Wiederherstellungsschlüssel werden nicht im AD gespeichert
https://www.reddit.com/r/MDT/comments/nx1eh3/help_needed_pls_bitlocker_r ...
😔
nur der erste Schreck ist groß wenn du eine HDD/SSD mit BitLocker kopierst und die ist plötzlich unverschlüsselt, muss ich sagen hatte ich in meiner Karriere bis dato noch nicht.
Wie gesagt, ist ganz normal, kannst es am einfachsten mit einer VM ausprobieren.
Sprich, wenn du bei einer BL verschlüsselten VM, die VHDX über den HV-Node quasi von "aussen" sicherst/kopierst, bleibt der BL-Schutz intakt. Wenn du diese VM jedoch über z.B. einen Backup Agent von "innen" sicherst, wird das entsprechende Backup ohne BL-Schutz erstellt.
Daher kann man z.B. durch BL auch nicht wirklich vermeiden, dass die Daten bei einem hochgefahrenen System, z.B. über das Netzwerk abgezogen werden. 😔
Sprich, BL schützt eigentlich nur dann wirklich effektiv, wenn der entsprechende Rechner sich entweder im StandBy befindet oder ausgeschaltet ist und auch ein Boot-Passwort hinterlegt ist. 🙃
Gruss Alex
ich fürchte, du hast die Funktionalität von BitLocker nicht ganz verstanden.
Hm...Denn sobald das Betriebssystem selbst bootet, ist die Bootpartition bereits schon vollständig entschlüsselt,
Schon richtig. Aber dann kommt die Anmeldemaske. Um die SAM zu bearbeiten, führen Angreifer einen Offlineangriff durch und booten ein Linux oder WinPE und da Schließt Bitlocker die Platte nicht auf. Teste es und überzeuge dich. Das muss man nicht weiter kommentieren.
Moin @DerWoWusste,
nicht so ganz, denn bis die Anmeldemaske erscheint, muss erstmal das Windows selbst booten und zwar auf einer bereits entschlüsselten Partition.
Ja, bei dieser Angriffsmethode greift der BL Schutz schon, das ist jedoch bei weitem nicht die Einzige. 😔
By the way, wie oft hast du in den letzten Jahren gehört, dass irgendwelche Unternehmensdaten von einem gestohlenen Endgerät entwendet wurden?
Und wie oft hast du in den letzten Jahren gelesen, dass irgendwelche Unternehmensdaten über dessen Netzwerk und oder z.B. der bei MS gehosteten Klaut ... pardon ... ich meine natürlich Cloud, abgezogen wurden?
Ich selbst habe von dem Ersteren, sprich. dass Daten von einem entwendeten Endgerät geklaut wurden, bisher noch nichts gehört, zumindest was unseren Kundenkreis angeht.
Von den anderen Vorfällen, sprich, da wo die Daten über das interne Netz dank eines Schädlings/Backdoors abgefischt wurden, kann ich selber mehr als genug Geschichten erzählen. 😔
Sprich, ja, der Bitlocker bring bei gewissen Szenarien schon einen Mehrwert, zumindest wenn dieser richtig eingerichtet ist, aber er birgt wie ich schon mehrfach geschrieben habe auch gefahren mit sich und ist im Hinblick auf den erhöhten Ressourcenverbrauch, auch nicht wirklich "umsonst". Daher sollte man BL meiner Ansicht nach auch gezielt verwenden und nicht einfach pauschal überall ausrollen, nur damit man die DSBler vom Hals hat.
Gruss Alex
Schon richtig. Aber dann kommt die Anmeldemaske.
nicht so ganz, denn bis die Anmeldemaske erscheint, muss erstmal das Windows selbst booten und zwar auf einer bereits entschlüsselten Partition.
Um die SAM zu bearbeiten, führen Angreifer einen Offlineangriff durch und booten ein Linux oder WinPE und da Schließt Bitlocker die Platte nicht auf.
Ja, bei dieser Angriffsmethode greift der BL Schutz schon, das ist jedoch bei weitem nicht die Einzige. 😔
By the way, wie oft hast du in den letzten Jahren gehört, dass irgendwelche Unternehmensdaten von einem gestohlenen Endgerät entwendet wurden?
Und wie oft hast du in den letzten Jahren gelesen, dass irgendwelche Unternehmensdaten über dessen Netzwerk und oder z.B. der bei MS gehosteten Klaut ... pardon ... ich meine natürlich Cloud, abgezogen wurden?
Ich selbst habe von dem Ersteren, sprich. dass Daten von einem entwendeten Endgerät geklaut wurden, bisher noch nichts gehört, zumindest was unseren Kundenkreis angeht.
Von den anderen Vorfällen, sprich, da wo die Daten über das interne Netz dank eines Schädlings/Backdoors abgefischt wurden, kann ich selber mehr als genug Geschichten erzählen. 😔
Sprich, ja, der Bitlocker bring bei gewissen Szenarien schon einen Mehrwert, zumindest wenn dieser richtig eingerichtet ist, aber er birgt wie ich schon mehrfach geschrieben habe auch gefahren mit sich und ist im Hinblick auf den erhöhten Ressourcenverbrauch, auch nicht wirklich "umsonst". Daher sollte man BL meiner Ansicht nach auch gezielt verwenden und nicht einfach pauschal überall ausrollen, nur damit man die DSBler vom Hals hat.
Gruss Alex
Zitat von @MysticFoxDE:
Sprich, ja, der Bitlocker bring bei gewissen Szenarien schon einen Mehrwert, zumindest wenn dieser richtig eingerichtet ist, aber er birgt wie ich schon mehrfach geschrieben habe auch gefahren mit sich und ist im Hinblick auf den erhöhten Ressourcenverbrauch, auch nicht wirklich "umsonst". Daher sollte man BL meiner Ansicht nach auch gezielt verwenden und nicht einfach pauschal überall ausrollen, nur damit man die DSBler vom Hals hat.
Sprich, ja, der Bitlocker bring bei gewissen Szenarien schon einen Mehrwert, zumindest wenn dieser richtig eingerichtet ist, aber er birgt wie ich schon mehrfach geschrieben habe auch gefahren mit sich und ist im Hinblick auf den erhöhten Ressourcenverbrauch, auch nicht wirklich "umsonst". Daher sollte man BL meiner Ansicht nach auch gezielt verwenden und nicht einfach pauschal überall ausrollen, nur damit man die DSBler vom Hals hat.
Ganz einfach ausgedrückt: Bitlocker schützt vor "Hardwareklau", nicht vor Malware. Um da mehr zu tun, mußte man à la linux die Benutzerdaten extra verschlüsseln (Stichwort cryptfs). Allerdings hat man hier auch das Problem, daß solange der User angemeldet ist, die Daten auch "sichtbar" sind.
lks
Die SAM Datei liegt nicht auf der Boot Partition.
@150631, @MysticFoxDE
vielleicht habt ihr beide recht und meint das selbe, nur die Wortwahl/definition ist anders.
Es gibt ja bei Windows diese kleine „Start-Partition“, und dann eben das, was man als Laufwerk C: bezeichnet. Die SAM Daten liegen auf C:.
Richtig?
Kreuzberger
vielleicht habt ihr beide recht und meint das selbe, nur die Wortwahl/definition ist anders.
Es gibt ja bei Windows diese kleine „Start-Partition“, und dann eben das, was man als Laufwerk C: bezeichnet. Die SAM Daten liegen auf C:.
Richtig?
Kreuzberger
Zitat von @MysticFoxDE:
Moin @150631,
also, bei mir liegt die SAM immer unter "C:\Windows\System32\Config" und das ist nun mal für gewöhnlich die Windows Boot-Partition.
Gruss Alex
Moin @150631,
Die SAM Datei liegt nicht auf der Boot Partition.
also, bei mir liegt die SAM immer unter "C:\Windows\System32\Config" und das ist nun mal für gewöhnlich die Windows Boot-Partition.
Gruss Alex
Nein, das ist die OS-Partition. Diese wird von der Boot-Partition geladen und dann vom BL entschlüsselt.
Zitat von @150631:
Nein, das ist die OS-Partition. Diese wird von der Boot-Partition geladen und dann vom BL entschlüsselt.
Zitat von @MysticFoxDE:
Moin @150631,
also, bei mir liegt die SAM immer unter "C:\Windows\System32\Config" und das ist nun mal für gewöhnlich die Windows Boot-Partition.
Moin @150631,
Die SAM Datei liegt nicht auf der Boot Partition.
also, bei mir liegt die SAM immer unter "C:\Windows\System32\Config" und das ist nun mal für gewöhnlich die Windows Boot-Partition.
Nein, das ist die OS-Partition. Diese wird von der Boot-Partition geladen und dann vom BL entschlüsselt.
Es ist zwar inzwischen eine eigene Partit### für den Bootlader hat, dasß ist aber nicht immer zwingend so. Sowohl im legacy-Modus als auch unter UEFI (falls das BIOS NTFS lesen kann), ist es möglich die Boot- und die Systemdaten in derselben Partition im selben Filesystem abzulegen.
Abgesehen davon bezeichnen viele aus historischen Gründen "C:" immer noch als Bootpartition, obwohl sie das inzwischen kaum noch ist, sondern nur noch die Systempartition.
Wnn man nun Bitlocker einsetzen will, müsen Boot- und Systempartition getrennt sein.
Und ja, man kann ab dem zeitpunkt, an dem Bitlocker die Systempartition entschlüsselt den Schmu mit dieser Partition treibern.
lks
ja alles richtig, aber BL schützt die SAM Datei. Ohne die Möglichkeiten einer Behörde kommt man da nicht vorbei.
Wir können uns jetzt hier weiterhin der Wortklauberei hingeben, oder einfach die Sam Datei im Klartext sehen?
Zitat von @150631:
Wir können uns jetzt hier weiterhin der Wortklauberei hingeben, oder einfach die Sam Datei im Klartext sehen?
Wir können uns jetzt hier weiterhin der Wortklauberei hingeben, oder einfach die Sam Datei im Klartext sehen?
Zum einlesen.
https://blog.compass-security.com/2024/02/microsoft-bitlocker-bypasses-a ...
Das ändert was an der Kernthese?
Wenn BL aus oder überwunden ist, dann komme ich sehr einfach an das Dateisystem.
Wenn BL aus oder überwunden ist, dann komme ich sehr einfach an das Dateisystem.
Moin @150631,
nö, das müssen wir nicht.
Denn das eine ist die System (Boot) Partition und das andere ist die Windows (Boot) Partition und genau so definiert es auch Microsoft selbst. 😉
https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/c ...
Und was genau möchtest du mit dieser Frage bezwecken?
Gruss Alex
Wir können uns jetzt hier weiterhin der Wortklauberei hingeben
nö, das müssen wir nicht.
Denn das eine ist die System (Boot) Partition und das andere ist die Windows (Boot) Partition und genau so definiert es auch Microsoft selbst. 😉
https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/c ...
oder einfach die Sam Datei im Klartext sehen?
Und was genau möchtest du mit dieser Frage bezwecken?
Gruss Alex
Moin @Lochkartenstanzer,
dieser Angriff funktioniert nur bei alten Geräten (Workstation/Notebooks), die noch über einen separaten TPM Chip verfügen, sprich, bei Intel Systemen sind das die Geräte mit eine <= 7. Generation CPU. Den ab der 8. Generation, ist die TMP Funktionalität bereits schon in der CPU integriert und kann daher extern auch nicht mehr belauscht werden.
Gruss Alex
dieser Angriff funktioniert nur bei alten Geräten (Workstation/Notebooks), die noch über einen separaten TPM Chip verfügen, sprich, bei Intel Systemen sind das die Geräte mit eine <= 7. Generation CPU. Den ab der 8. Generation, ist die TMP Funktionalität bereits schon in der CPU integriert und kann daher extern auch nicht mehr belauscht werden.
Gruss Alex
Moin @Lochkartenstanzer,
Die kochen auch nur mit Wasser.
👍👍👍
so ist das, zudem ist das Wasser mit dem die Behörden kochen, oft noch viel gammliger als bei der Privatwirtschaft. 🙃
Gruss Alex
ja alles richtig, aber BL schützt die SAM Datei. Ohne die Möglichkeiten einer Behörde kommt man da nicht vorbei.
Die kochen auch nur mit Wasser.
👍👍👍
so ist das, zudem ist das Wasser mit dem die Behörden kochen, oft noch viel gammliger als bei der Privatwirtschaft. 🙃
Gruss Alex
Zitat von @MysticFoxDE:
Moin @150631,
nö, das müssen wir nicht.
Denn das eine ist die System (Boot) Partition und das andere ist die Windows (Boot) Partition und genau so definiert es auch Microsoft selbst. 😉
https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/c ...
Und was genau möchtest du mit dieser Frage bezwecken?
Gruss Alex
Moin @150631,
Wir können uns jetzt hier weiterhin der Wortklauberei hingeben
nö, das müssen wir nicht.
Denn das eine ist die System (Boot) Partition und das andere ist die Windows (Boot) Partition und genau so definiert es auch Microsoft selbst. 😉
https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/c ...
oder einfach die Sam Datei im Klartext sehen?
Und was genau möchtest du mit dieser Frage bezwecken?
Gruss Alex
Es ging doch um die Behauptung, dass man den Logon (häufig über SAM) spoofen kann. Dann hast Du dich immer tiefer ins Loch navigiert und den Hack nicht geliefert.
Moin @150631,
was heiss hier denn bitte Behauptung, wo hast du den genau gelesen, dass BitLocker den Rechner im eingeschalteten Zustand vor "Spoofing" überhaupt schützen kann?
Denn soweit mir das bekannt ist, behauptet auch Microsoft selbst, dass der Schutz des BitLockers, nur im Ausgeschalteten- oder Ruhe-Zustand gegeben ist.
Lieber @150631, da du ja erst seit ein paar Wochen hier bist, wiederhole ich gerne meinen weiter oben bereits schon erwähnten Hinweis.
Diskussionsrichtlinien - die Regeln zu unseren Inhalten
Trotz dessen, habe ich hier schon einige Hinweise gegeben, wie man sowas bewerkstelligen kann und diejenigen, die sich mit diesem Thema auch etwas tiefer auskennen, wissen glaube ich auch genau, wohin ich mit dem Ball gezielt habe.
Und jetzt nochmals durch die Blume ... im 21 Jahrhundert klaut so gut wie kein Angreifer einen Rechner um an deren Daten zu kommen, sondern platziert wie auch immer einen Backdoor und saugt sich diese über das Netz ab und in diesem Fall hilft dir der BitLocker überhaupt gar nicht.
Aber ja, lasst euch ruhig von euren DSBler pauschal mit der Vollverschlüsselung verrückt machen nur weil in Spanien bei einem auf Rechtsberatung spezialisiertem Unternehmen, ein USB-Stick mit sensiblen Daten abhanden gekommen ist und noch nicht mal bewiesen wurde, das die Daten darauf wirklich "abgeflossen" sind. 😔
https://www.datenschutz-nordost.de/dsgvo-bussgeld-datenpanne
Persönliche Meinung:
Dieser ganze DSGVO und NIS-2 Bürokratieschwachsinn ist was den praktischen Sinn und Nutzen angeht, überwiegend nur zum 🤮, weil die Menschen die diese Regeln/Gesetzte erstellen, von der theoretischen, geschweige den der praktischen IT, meistens überhaupt keinen Plan haben. 😔😭
Gruss Alex
Es ging doch um die Behauptung, dass man den Logon (häufig über SAM) spoofen kann.
was heiss hier denn bitte Behauptung, wo hast du den genau gelesen, dass BitLocker den Rechner im eingeschalteten Zustand vor "Spoofing" überhaupt schützen kann?
Denn soweit mir das bekannt ist, behauptet auch Microsoft selbst, dass der Schutz des BitLockers, nur im Ausgeschalteten- oder Ruhe-Zustand gegeben ist.
Dann hast Du dich immer tiefer ins Loch navigiert und den Hack nicht geliefert.
Lieber @150631, da du ja erst seit ein paar Wochen hier bist, wiederhole ich gerne meinen weiter oben bereits schon erwähnten Hinweis.
Diskussionsrichtlinien - die Regeln zu unseren Inhalten
Regel Nr. 5: Verbotene Inhalte
Aufrufe oder Anleitungen zu Straftaten (z.B. Wie knacke ich eine Software oder ein Benutzerkonto).
Aufrufe oder Anleitungen zu Straftaten (z.B. Wie knacke ich eine Software oder ein Benutzerkonto).
Trotz dessen, habe ich hier schon einige Hinweise gegeben, wie man sowas bewerkstelligen kann und diejenigen, die sich mit diesem Thema auch etwas tiefer auskennen, wissen glaube ich auch genau, wohin ich mit dem Ball gezielt habe.
Und jetzt nochmals durch die Blume ... im 21 Jahrhundert klaut so gut wie kein Angreifer einen Rechner um an deren Daten zu kommen, sondern platziert wie auch immer einen Backdoor und saugt sich diese über das Netz ab und in diesem Fall hilft dir der BitLocker überhaupt gar nicht.
Aber ja, lasst euch ruhig von euren DSBler pauschal mit der Vollverschlüsselung verrückt machen nur weil in Spanien bei einem auf Rechtsberatung spezialisiertem Unternehmen, ein USB-Stick mit sensiblen Daten abhanden gekommen ist und noch nicht mal bewiesen wurde, das die Daten darauf wirklich "abgeflossen" sind. 😔
https://www.datenschutz-nordost.de/dsgvo-bussgeld-datenpanne
Persönliche Meinung:
Dieser ganze DSGVO und NIS-2 Bürokratieschwachsinn ist was den praktischen Sinn und Nutzen angeht, überwiegend nur zum 🤮, weil die Menschen die diese Regeln/Gesetzte erstellen, von der theoretischen, geschweige den der praktischen IT, meistens überhaupt keinen Plan haben. 😔😭
Gruss Alex
Moin Zusammen,
ganz aktuell zum Thema Verschlüsselung ...
https://www.security-insider.de/hashicorp-vault-schwachstelle-cve-2024-8 ...
... betrifft zwar nicht BL, ist aber dennoch denke ich interessant. 😔
Gruss Alex
ganz aktuell zum Thema Verschlüsselung ...
https://www.security-insider.de/hashicorp-vault-schwachstelle-cve-2024-8 ...
... betrifft zwar nicht BL, ist aber dennoch denke ich interessant. 😔
Gruss Alex
Ja, schon klar. Schaumschläger.
Und dann noch das Trollargument: Ich bin länger hier.
Und dann noch das Trollargument: Ich bin länger hier.
Moin @150631,
ja, ich sehe schon, wir müssen viel weiter vorne mit den Regeln anfangen.
...
So und nun denk mal bitte in Ruhe darüber nach, was du hier genau forderst und vor allem wie. 😔
Gruss Alex
Ja, schon klar. Schaumschläger.
Und dann noch das Trollargument: Ich bin länger hier.
Und dann noch das Trollargument: Ich bin länger hier.
ja, ich sehe schon, wir müssen viel weiter vorne mit den Regeln anfangen.
Regel Nr. 1: Netiquette
Für viele, aber leider nicht für alle eine Selbstverständlichkeit: es sollte wenigstens die Zeit für eine Begrüßung vorhanden sein (z.B. "Hallo" oder "Hi" usw.), bevor die eigenen ach so wichtigen ach so dringenden Anliegen auf den Forumsboden gekippt werden. Dies ist ein Zeichen von Respekt.
Es soll eine angemessene Sprache verwendet werden. Obszönitäten, Anzüglichkeiten oder andere Inhalte, die als anstößig empfunden werden können, sind untersagt.
Drohungen, Beleidigungen, persönliche Angriffe, Trolling (nutzlose oder abfällige Bemerkungen, die nichts mit dem Zweck dieser Plattform zu tun haben) und Flame-Wars etc. sind verboten. Wer selbst in dieser Weise angegriffen wird, sollte darauf nicht reagieren, sondern den betroffenen Beitrag bei einem Moderator oder Administrator melden.
Für viele, aber leider nicht für alle eine Selbstverständlichkeit: es sollte wenigstens die Zeit für eine Begrüßung vorhanden sein (z.B. "Hallo" oder "Hi" usw.), bevor die eigenen ach so wichtigen ach so dringenden Anliegen auf den Forumsboden gekippt werden. Dies ist ein Zeichen von Respekt.
Es soll eine angemessene Sprache verwendet werden. Obszönitäten, Anzüglichkeiten oder andere Inhalte, die als anstößig empfunden werden können, sind untersagt.
Drohungen, Beleidigungen, persönliche Angriffe, Trolling (nutzlose oder abfällige Bemerkungen, die nichts mit dem Zweck dieser Plattform zu tun haben) und Flame-Wars etc. sind verboten. Wer selbst in dieser Weise angegriffen wird, sollte darauf nicht reagieren, sondern den betroffenen Beitrag bei einem Moderator oder Administrator melden.
Regel Nr. 2: Beiträge und Kommentare
Veröffentliche keine verbotenen Inhalte.
Veröffentliche keine verbotenen Inhalte.
So und nun denk mal bitte in Ruhe darüber nach, was du hier genau forderst und vor allem wie. 😔
Gruss Alex
Zitat von @pcpanik:
Bei uns wurde kürzlich eingebrochen und nur die Festplatten aus Rechnern ausgebaut und entwendet. Also der Versuch ist in jedem Fall gegeben.
By the way, wie oft hast du in den letzten Jahren gehört, dass irgendwelche Unternehmensdaten von einem gestohlenen Endgerät entwendet wurden?
Bei uns wurde kürzlich eingebrochen und nur die Festplatten aus Rechnern ausgebaut und entwendet. Also der Versuch ist in jedem Fall gegeben.
Moin,
Dann geht jemand davon aus daß ihr da lohnenswerte daten drauf habt. Ich hoffe, ihr habt Vorkehrungen getroffen, daß die keine Daten runterziehen können. (verschüsselte Daten/Partitionen). Ansonsten könnt soltel ihr eure gesammte Infrastruktur mal überdenken, weil euer netz sonst auch kompromittiert ist mit den daten von den festplatten.
lks
Moin @pcpanik,
OK, in dem Fall hat jedoch schlichtweg die physikalische Gelände/Gebäude Einbruchssicherung/Allarmierung/Abschreckung versagt.
Denn wenn ein Einbrecher an die entsprechenden Rechner so leicht ran kommt und aufgrund einer fehlenden Alarmanlage auch noch die Zeit hat bei jedem Rechner die Platte auszubauen, dann hilft auch BitLocker nicht wirklich weiter. Den genau so gut kann der Einbrecher auch nur einen Backdoor im Netzwerk platzieren und die Daten darüber von den BL verschlüsselten Rechner abziehen, sobald diese wieder am Netz hängen.
Gruss Alex
Bei uns wurde kürzlich eingebrochen und nur die Festplatten aus Rechnern ausgebaut und entwendet. Also der Versuch ist in jedem Fall gegeben.
OK, in dem Fall hat jedoch schlichtweg die physikalische Gelände/Gebäude Einbruchssicherung/Allarmierung/Abschreckung versagt.
Denn wenn ein Einbrecher an die entsprechenden Rechner so leicht ran kommt und aufgrund einer fehlenden Alarmanlage auch noch die Zeit hat bei jedem Rechner die Platte auszubauen, dann hilft auch BitLocker nicht wirklich weiter. Den genau so gut kann der Einbrecher auch nur einen Backdoor im Netzwerk platzieren und die Daten darüber von den BL verschlüsselten Rechner abziehen, sobald diese wieder am Netz hängen.
Gruss Alex
OK, in dem Fall hat jedoch schlichtweg die physikalische Gelände/Gebäude Einbruchssicherung/Allarmierung/Abschreckung versagt.
Das ist bei Einbrüchen die Regel und nicht die Ausnahme. Mehr als die Hälfte aller Einbruchsversuche ist erfolgreich.
Quelle: Polizeiliche Kriminalstatistik 2022/BKA
Es sollte einfach bedacht werden, dass auch das schlicht noch passieren kann und entsprechend ist eine Verschlüsselung von Endegeräten mMn. als obligatorisch zu betrachten.