mrheisenberg
Goto Top

BitLocker und HDDClone

Moin Leute,

ich habe eine Verständnisfrage, mein Supportler ist gerade auf mich zugekommen mit folgender Frage:

Wenn er eine SSD/HDD mit aktiven BitLocker clont , (HDCloneX) dann wird der BitLocker abgedreht.... sprich ein Sicherheitsfeature wird abgedreht.

Er kann zwar den BitLocker mit kopieren, aber es ändert so nichts am Problem.


BitLocker verschlüsselt bei uns die gesamte HDD/SSD , TPM2 & 1.2 sind im Einsatz, es ist aber kein StartUp-Pin vergeben (denke hier ansetzen?)

Hat hier jemand schon erfahrung gemacht mit BitLocker und HDDClone bzw. ein allgemeines kopieren von verschlüsselten Laufwerken?
Aus meiner Sicht kann ich unter Win11 entweder BitLocker aufdrehen oder eben nicht.
Schlüssel werden ins AD gesynct, und der Verschlüsselungsfaktor wird über GPO gesteuert, BitLocker via Endpoint über Powershell aktiviert.

param (
    [string]$Test = "no"  
)

# Funktion zur Erstellung des Logfiles
function Initialize-LogFile {
    $logPath = "C:\temp\**INTERNE-INFO**Log.txt"  
    
    # Prüfen, ob der Ordner existiert, andernfalls erstellen
    if (-not (Test-Path "C:\temp")) {  
        New-Item -Path "C:\temp" -ItemType Directory  
    }
    
    # Logfile erstellen oder leeren
    if (-not (Test-Path $logPath)) {
        New-Item -Path $logPath -ItemType File
    } else {
        Clear-Content -Path $logPath
    }

    # Log-Einträge hinzufügen
    Add-Content -Path $logPath -Value "$(Get-Date) - Logfile initialisiert."  
}

# Funktion zum Schreiben von Logeinträgen
function Write-Log {
    param (
        [string]$Message
    )
    $logPath = "C:\temp\**INTERNE-INFO**Log.txt"  
    Add-Content -Path $logPath -Value "$(Get-Date) - $Message"  
}

# Funktion zur Testausführung
function Test-Script {
    Write-Log "Testmodus aktiviert. Keine BitLocker-Verschlüsselung wird durchgeführt."  
    Write-Host "Testmodus aktiviert. Keine BitLocker-Verschlüsselung wird durchgeführt."  
}

# Funktion zum Überprüfen von Wechseldatenträgern
function Check-RemovableDrives {
    $removableDrives = Get-WmiObject -Query "SELECT * FROM Win32_DiskDrive WHERE MediaType='Removable Media'"   
    foreach ($drive in $removableDrives) {
        $driveLetter = (Get-WmiObject -Query "ASSOCIATORS OF {Win32_DiskDrive.DeviceID='$($drive.DeviceID)'} WHERE AssocClass=Win32_LogicalDiskToPartition").DeviceID  
        Write-Log "Wechseldatenträger gefunden: $driveLetter"  
        Write-Host "Wechseldatenträger gefunden: $driveLetter"  
    }
}

# BitLocker aktivieren oder Testmodus ausführen
function Main {
    param (
        [string]$Test
    )

    # Logfile initialisieren
    Initialize-LogFile
    
    if ($Test -eq "yes") {  
        Test-Script
        return
    }

    Write-Log "BitLocker-Aktivierung gestartet."  

    # Sicherstellen, dass das BitLocker-Modul installiert ist
    Import-Module BitLocker
    
    # Überprüfen, ob das Laufwerk bereits BitLocker-verschlüsselt ist
    $osDrive = Get-BitLockerVolume -MountPoint "C:"  
    if ($osDrive.ProtectionStatus -eq "On") {  
        Write-Log "BitLocker ist bereits aktiviert auf Laufwerk C:."  
        Write-Host "BitLocker ist bereits aktiviert auf Laufwerk C:."  
    } else {
        # BitLocker auf dem Betriebssystemlaufwerk aktivieren
        try {
            Enable-BitLocker -MountPoint "C:" -RecoveryPasswordProtector -UsedSpaceOnly  
            Write-Log "BitLocker wird auf Laufwerk C: aktiviert. Dies kann einige Zeit dauern."  
            Write-Host "BitLocker wird auf Laufwerk C: aktiviert. Dies kann einige Zeit dauern."  
            
            # Status der Verschlüsselung überwachen
            while ($osDrive.ProtectionStatus -eq "On" -and $osDrive.VolumeStatus -eq "FullyDecrypted") {  
                Start-Sleep -Seconds 60
                $osDrive = Get-BitLockerVolume -MountPoint "C:"  
                Write-Log "Verschlüsselungsstatus: $($osDrive.VolumeStatus)"  
                Write-Host "Verschlüsselungsstatus: $($osDrive.VolumeStatus)"  
            }
            
            Write-Log "Verschlüsselung abgeschlossen oder andere Aktion erforderlich."  
            Write-Host "Verschlüsselung abgeschlossen oder andere Aktion erforderlich."  
        } catch {
            Write-Log "Fehler beim Aktivieren von BitLocker: $_"  
            Write-Host "Fehler beim Aktivieren von BitLocker: $_"  
        }
    }

    # Wechseldatenträger überprüfen
    Check-RemovableDrives
}

# Hauptfunktion aufrufen und Testmodus-Parameter verarbeiten
Main -Test:$Test

Soweit funktioniert alles, Skript macht was es soll, aber eben dass mit dem Clone schmeckt mir "janz und janischt", ich gehe mal davon aus ich habe hier irgendwo einen Fehler?

Für Sachdienliche Hinweise wäre ich dankbar.

Win11 pro aktuelle Version


Grüße

Content-ID: 668275

Url: https://administrator.de/contentid/668275

Printed on: December 13, 2024 at 03:12 o'clock

StefanKittel
StefanKittel Sep 20, 2024 at 08:36:51 (UTC)
Goto Top
Moin,

ich glaube das ist eher eine Prinzipfrage.

Natürlich ist es auch möglich verschlüsselte Laufwerke zu kopieren.
Dann aber nur als 1:1 Sektor-Kopie aller Sektoren mit z.B. DD und ohne Anpassungen an die neue größe oder Treiber. Denn andere Zugriffsmöglichkeiten oder Informationen stehen nicht zur Verfügung.

Die "Idee" ein Laufwerk vorher zu entschlüsseln, zu kopieren und dann neu zu verschlüsseln ist vermutlich sehr effektiv. Man kopiert nur die genutzen Sektoren, was den Vorgang deutlich beschleunig, und kann die Partitionen an die neue Größe des Laufwerkes (kleiner oder größer) anpassen. Auch das Windows-Booten an einen neuen Controller kann man aktivieren.

Aber es schafft eine Sicherheitslücke im Prozess.
Your call face-smile

Stefan
MrHeisenberg
MrHeisenberg Sep 20, 2024 at 08:48:11 (UTC)
Goto Top
Hi Stefan,

mein "Problemchen" ist eher dass wenn er eine verschlüsselte Platte klont oder kopiert, dann wird der BitLocker per se deaktiviert, sprich die kopierte Version der verschlüsselten Platte ist nun Unverschlüsselt, und hier bin ich nun am überlegen wenn dies "nur" unsere IT macht, ok "null probleme" wie Alf schon sagte, doch wenn der böse Hacker mit schwarzen Kapuzenpulli nun die Platte einfach klont, hat er theoretisch Zugriff auf alles, und hier würde ich gerne eine Blockade einbauen, nur die Frage wie.

Grüße
pebcak7123
pebcak7123 Sep 20, 2024 at 08:49:50 (UTC)
Goto Top
Wie wird denn da geklont , aus dem auf der quellplatte laufenden windows? Natürlich ist dann bitlocker entsperrt und der clone ist nicht verschlüsselt. Wie Stefan schon geschrieben hat müsste man ne Sektor-Kopie machen und zwar nicht aus dem Quell-Windows heraus sondern an nem anderen PC oder zb von nem usb-stick nen live-system booten und daraus klonen.
pebcak7123
pebcak7123 Sep 20, 2024 at 08:51:25 (UTC)
Goto Top
Wenn der "hacker" die platte ausbaut und klont wird dadurch natürlich bitlocker nicht entfernt.
MrHeisenberg
MrHeisenberg Sep 20, 2024 at 08:55:41 (UTC)
Goto Top
Zitat von @pebcak7123:

Quell-Windows heraus sondern an nem anderen PC oder zb von nem usb-stick nen live-system booten und daraus klonen.

missing Link, jetzt bin ich auf Kurs, hatte ich nen Denkfehler... werden mal mit nen USB Stick probieren

Grüße
Looser27
Looser27 Sep 20, 2024 at 09:14:58 (UTC)
Goto Top
Moin,

wir verschlüsseln unsere Notebooks mit Trellix. Hab für einen Kollegen mal seine Festplatte wg. Umbau auf größere geclont. Das geht problemlos mit den gängigen Linux-Tools. Die Verschlüsselung blieb erhalten.

Gruß

Looser
killtec
killtec Sep 20, 2024 at 09:23:53 (UTC)
Goto Top
Hi,
Ich Clone auch mit HDCLoneX. Ich deaktiviere vorher den Bitlocker, CLone und aktiviere ihn dann wieder.
Bei mir geht es aber i.d.R. auch darum dann später die Platte zu vergrößern.

Gruß
kreuzberger
kreuzberger Sep 20, 2024 at 09:49:28 (UTC)
Goto Top
Moin @MrHeisenberg

die Sicherheitslücke besteht eigentlich nicht, wenn man den BitLocker Schlüssel nicht herausgibt.

Jedoch würde ich das Klonen von Laufwerken (HDD, SSD) inzwischen nur noch mit entsprechenden USB-Live-Sticks machen, welche es ja inzwischen kostenlos diverse gibt. (Ggf. macht ja mal jemand eine Liste mit download-Links).
Diese USB-Live-Sticks funktionieren i.gd.R. gut und einfach, auch bei BitLocker-Verschlüsselten Laufwerken.

Kreuzberger
DerWoWusste
DerWoWusste Sep 20, 2024 updated at 12:12:59 (UTC)
Goto Top
Du kannst mit Clonezilla BL-verschlüsselte Laufwerke klonen. Partitionsvergrößerungen, wie Clonezilla es anbietet, würde ich dabei jedoch nicht wagen - auf der neuen Platte arbeitet Bitlocker unverändert.

Mit Drive Snapshot kann man ebenso gebitlockte Partitionen roh (raw) in ein Image überführen und zurückspielen und somit Partitionen 1 zu 1 auch auf eine andere Platte klonen und Bitlocker bleibt erhalten. Dazu müsstest Du sicherstellen, dass Du Drive Snapshot nicht etwa unter Windows startest, wo die Partitionen gemountet sind, sondern unter WinPE bzw. von Windows Setup aus (Shift F10 ->Kommandozeile->Start von DriveSnapshot vom Setup-Stick)
DerWoWusste
DerWoWusste Sep 20, 2024 at 14:23:39 (UTC)
Goto Top
...doch wenn der böse Hacker mit schwarzen Kapuzenpulli nun die Platte einfach klont, hat er theoretisch Zugriff auf alles
Das lese ich ja jetzt erst. Ich bitte Dich... Das Klonen nimmt nur das mit, was es lesen kann. Entweder Rohdaten, dann bleibt es verschlüsselt, oder, wenn der Hacker schon Admin ist und auf der Kiste arbeitet, natürlich alles, aber da ist das Kind ja bereits im Brunnen.
150631
150631 Sep 20, 2024 at 17:35:18 (UTC)
Goto Top
Zur "Not" vorher ein "manage-bde c: -off"
DerWoWusste
DerWoWusste Sep 20, 2024 at 20:56:32 (UTC)
Goto Top
Das wäre nicht zielführend.
MysticFoxDE
MysticFoxDE Sep 22, 2024 at 08:41:58 (UTC)
Goto Top
Moin @DerWoWusste,

Das lese ich ja jetzt erst. Ich bitte Dich... Das Klonen nimmt nur das mit, was es lesen kann. Entweder Rohdaten, dann bleibt es verschlüsselt, oder, wenn der Hacker schon Admin ist und auf der Kiste arbeitet, natürlich alles, aber da ist das Kind ja bereits im Brunnen.

das Kind ist bei TO bereits schon in den Brunnen gefallen, da er keine BL-Boot-Passwort verwendet. ๐Ÿ˜”
Denn so muss der Angreifer/Dieb bei einem BL (ohne PW) geschützten Notebook/Laptop oder was auch immer, lediglich beim lokalen Administrator das Kennwort zurücksetzten, was für einen richtigen Hacker eigentlich ein Kinderspiel ist und schon liegen die Daten auf dem Präsentierteller.

Daher, wenn BL verwendet wird und man damit auch sicherstellen möchte, dass bei einem Diebstahl die Daten des entsprechenden Gerätes nicht so einfach entschlüsselt werden können, dann muss auf dem entsprechenden Gerät auch unbedingt ein BL-Boot-Passwort gesetzt werden!

Übrigens, wenn man SED's "self-encrypting drive" verwendet und diese auch richtig eingerichtet hat, sprich auch ein Boot Passwort benutzt, dann kann man sich den ganzen performancefressenden Bitlocker Mist auch sparen. ๐Ÿ˜‰

Zu dem Hauptanliegen.

Wenn der TO eine Sicherung aus dem Verschlüsselten OS aus startet, dann werden die Daten, wenn ich BL richtig verstanden habe, unverschlüsselt gesichert und zwar auch dann, wenn er diese Blockweise abkratzt.
Wenn der TO das Laufwerk incl. Verschlüsselung sichern möchte, dann muss er den entsprechenden Rechner mit einem USB Stick Booten und dann von diesem aus, das BL verschlüsselte Laufwerk, welches in dem Fall aber dann nicht entschlüsselt ist, sichern.

Ähm ja, by the Way, ich finde Verschlüsselung ja nicht unwichtig, zumindest wenn diese an der richtigen Stelle auch Sinnvoll umgesetzt ist.

Aber, diesen jüngst immer mehr aufkommenden "ich verschlüssele sicherheitshalber irgendwie mal Alles, nur damit mir der DSBler nicht mehr ans Bein pinkeln kann, Wahn", kann ich nicht wirklich nachvollziehen, weil sich mit dem Einsatz einer Verschlüsselung nicht nur Vorteile, sondern zum Teil auch gravierende Nachteile, wie z.B. ein deutlich höherer Ressourcenverbrauch und meist auch sehr gravierende Leistungseinbussen ergeben!

Und auch die Gefahr, die Daten z.B. durch einen Fehler in der Verschlüsselung vollständig zu verlieren, sollte man bei den Thema auch nicht unter den Tisch kehren, vor allem beim Bitlocker!

Gruss Alex
DerWoWusste
DerWoWusste Sep 22, 2024 at 18:34:18 (UTC)
Goto Top
Denn so muss der Angreifer/Dieb bei einem BL (ohne PW) geschützten Notebook/Laptop oder was auch immer, lediglich beim lokalen Administrator das Kennwort zurücksetzten, was für einen richtigen Hacker eigentlich ein Kinderspiel ist
Eben nicht. Genau gegen dieses Kennwort ändern offline schützt Bitlocker auch ohne preboot-Authentifizierung.
MysticFoxDE
MysticFoxDE Sep 22, 2024 at 19:59:30 (UTC)
Goto Top
Moin @DerWoWusste,

Eben nicht. Genau gegen dieses Kennwort ändern offline schützt Bitlocker auch ohne preboot-Authentifizierung.

das ist eben nicht so, denn auch bei einem Windows gibt es diverseste Wege wie man ohne externe Mittel die Authentifizierung umgehen kann, respektive, z.B. das Administrator Kennwort zurücksetzen kann, selbst bei DC's. ๐Ÿ˜” Deshalb sollte man wenn man schon BitLocker oder auch eine andere Vollverschlüsselung verwendet, das auch ordentlich machen, sprich, unbedingt mit einer Pre-Boot-Authentifizierung implementieren.

Denn ohne ist das meiner Ansicht nach so, also ob eine Bank ihre EC Karten mit einer aufgedruckter PIN ausliefern würde. ๐Ÿ™ƒ

Gruss Alex
150631
150631 Sep 23, 2024 at 04:37:18 (UTC)
Goto Top
@MysticFoxDE: Wie kann ich die SAM-Datei in einem Bitlocker-Windows mit vertretbaren Aufwand ändern?
MysticFoxDE
MysticFoxDE Sep 23, 2024 at 06:14:31 (UTC)
Goto Top
Moin @150631,

@MysticFoxDE: Wie kann ich die SAM-Datei in einem Bitlocker-Windows mit vertretbaren Aufwand ändern?

der schwierigste Part ist eine Konsole mit SYSTEM Berechtigung zwischen den Booten und der Authentifizierung zu öffnen. Der Rest ist dann relativ einfach.

net user Benutzername NeuesPasswort

By the way, wir kommen mit dieser Unterhaltung ...

Regel Nr. 5: Verbotene Inhalte
Aufrufe oder Anleitungen zu Straftaten (z.B. Wie knacke ich eine Software oder ein Benutzerkonto).

..., so langsam in ein etwas gefährliches/grenzwertiges Fahrwasser.

Gruss Alex
pebcak7123
pebcak7123 Sep 23, 2024 at 06:32:04 (UTC)
Goto Top
die Konsole bringt einem gar nichts da die festplatte und damit auch die userdatenbank nicht zugänglich ist solange bitlocker nicht entschlüsselt ist.
Ja, es gibt Sidechannel angriffe gegen das TPM um den Verschlüsselungskey abzugreifen, das erfordert allerdings spezialiserte Hardware und ne menge Wissen. Es gab auch ne Sicherheitslücke bei der man mithilfe der Recovery-Partition Bitlocker umgehen konnte, diese ist allerdings behoben worden.
MysticFoxDE
MysticFoxDE Sep 23, 2024 at 06:45:34 (UTC)
Goto Top
Moin @pebcak7123,

die Konsole bringt einem gar nichts da die festplatte und damit auch die userdatenbank nicht zugänglich ist solange bitlocker nicht entschlüsselt ist.

ich fürchte, du hast die Funktionalität von BitLocker nicht ganz verstanden.
Denn sobald das Betriebssystem selbst bootet, ist die Bootpartition bereits schon vollständig entschlüsselt, sprich, lange bevor die Benutzeranmeldung des Windows kommt, denn sonnst könnte das Windows selbst ja auch nicht hochfahren.

Ja, es gibt Sidechannel angriffe gegen das TPM um den Verschlüsselungskey abzugreifen, das erfordert allerdings spezialiserte Hardware und ne menge Wissen.

Das ist eine ganz andere Baustelle ... ausserdem funktioniert dieser TPM-Sidechannel-Angriff nur auf bestimmter und bereits sehr veralteter Hardware.

Gruss Alex
MrHeisenberg
MrHeisenberg Sep 23, 2024 at 07:08:18 (UTC)
Goto Top
Moinsen,

also dass ich hier so eine Baustelle öffne hätt ich jetzt nicht gedacht, also zum Ursprung:

Mein Supportler hat eine HDD mit BitLocker geklont, und hier war dann der BitLocker nicht auf die neue HDD übertragen worden, den Hintergrund kenne ich bereits, dies hat mir @pebcak7123 erklärt, jetzt testen wir noch die Konstellation mit WinPXE und Linux von einem Stick ob wir auf die Platte theoretisch kommen, bei den MobileUsern sind wir bereits bei eruieren zwecks Pre-Boot-Pin.

BitLocker ist unsere Wahl da wir es via GPO sowie AD fein aussteuern und verwalten können, ich möchte ungern ein weiteres Tool ins Spiel bringen, wenn es eigentlich mit "Windows Board Mitteln" funktioniert, nur der erste Schreck ist groß wenn du eine HDD/SSD mit BitLocker kopierst und die ist plötzlich unverschlüsselt, muss ich sagen hatte ich in meiner Karriere bis dato noch nicht.

grüße
MysticFoxDE
MysticFoxDE Sep 23, 2024 updated at 07:48:17 (UTC)
Goto Top
Moin @MrHeisenberg,

also dass ich hier so eine Baustelle öffne hätt ich jetzt nicht gedacht, also zum Ursprung:

na ja, ganz so trivial ist das Thema auch nicht wirklich.

Mein Supportler hat eine HDD mit BitLocker geklont, und hier war dann der BitLocker nicht auf die neue HDD übertragen worden

Weil er das Backup quasi Innerhalb der durch BitLocker geschützten Windows erstellt hat und in diesem Fall ist das ganz normal.

jetzt testen wir noch die Konstellation mit WinPXE und Linux von einem Stick ob wir auf die Platte theoretisch kommen, bei den MobileUsern sind wir bereits bei eruieren zwecks Pre-Boot-Pin.

๐Ÿ‘๐Ÿ‘๐Ÿ‘

BitLocker ist unsere Wahl da wir es via GPO sowie AD fein aussteuern und verwalten können

OK, dann prüf bitte unbedingt ob die Wiederherstellungsschlüssel auch sauber ins AD geschrieben werden, denn hier gab es in der Vergangenheit auch schon einige Probleme.

https://www.borncity.com/blog/2018/06/29/windows-10-v1893-kein-backup-fr ...
BitLocker - Wiederherstellungsschlรผssel werden nicht im AD gespeichert
https://www.reddit.com/r/MDT/comments/nx1eh3/help_needed_pls_bitlocker_r ...
๐Ÿ˜”

nur der erste Schreck ist groß wenn du eine HDD/SSD mit BitLocker kopierst und die ist plötzlich unverschlüsselt, muss ich sagen hatte ich in meiner Karriere bis dato noch nicht.

Wie gesagt, ist ganz normal, kannst es am einfachsten mit einer VM ausprobieren.
Sprich, wenn du bei einer BL verschlüsselten VM, die VHDX über den HV-Node quasi von "aussen" sicherst/kopierst, bleibt der BL-Schutz intakt. Wenn du diese VM jedoch über z.B. einen Backup Agent von "innen" sicherst, wird das entsprechende Backup ohne BL-Schutz erstellt.
Daher kann man z.B. durch BL auch nicht wirklich vermeiden, dass die Daten bei einem hochgefahrenen System, z.B. über das Netzwerk abgezogen werden. ๐Ÿ˜”
Sprich, BL schützt eigentlich nur dann wirklich effektiv, wenn der entsprechende Rechner sich entweder im StandBy befindet oder ausgeschaltet ist und auch ein Boot-Passwort hinterlegt ist. ๐Ÿ™ƒ

Gruss Alex
DerWoWusste
DerWoWusste Sep 23, 2024 at 07:48:24 (UTC)
Goto Top
ich fürchte, du hast die Funktionalität von BitLocker nicht ganz verstanden.
Hm...
Denn sobald das Betriebssystem selbst bootet, ist die Bootpartition bereits schon vollständig entschlüsselt,
Schon richtig. Aber dann kommt die Anmeldemaske. Um die SAM zu bearbeiten, führen Angreifer einen Offlineangriff durch und booten ein Linux oder WinPE und da Schließt Bitlocker die Platte nicht auf. Teste es und überzeuge dich. Das muss man nicht weiter kommentieren.
MrHeisenberg
MrHeisenberg Sep 23, 2024 at 07:56:07 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Moin @MrHeisenberg,

Moin


also dass ich hier so eine Baustelle öffne hätt ich jetzt nicht gedacht, also zum Ursprung:

na ja, ganz so trivial ist das Thema auch nicht wirklich.

hab ich gemerkt, aber so kommt man in einen Austausch face-big-smile


Mein Supportler hat eine HDD mit BitLocker geklont, und hier war dann der BitLocker nicht auf die neue HDD übertragen worden

Weil er das Backup quasi Innerhalb der durch BitLocker geschützten Windows erstellt hat und in diesem Fall ist das ganz normal.


und hier war mein "Denkfehler" welcher aus schlichter Unwissenheit entstand face-sad


BitLocker ist unsere Wahl da wir es via GPO sowie AD fein aussteuern und verwalten können

OK, dann prüf bitte unbedingt ob die Wiederherstellungsschlüssel auch sauber ins AD geschrieben werden, denn hier gab es in der Vergangenheit auch schon einige Probleme.

https://www.borncity.com/blog/2018/06/29/windows-10-v1893-kein-backup-fr ...
BitLocker - Wiederherstellungsschlรผssel werden nicht im AD gespeichert
https://www.reddit.com/r/MDT/comments/nx1eh3/help_needed_pls_bitlocker_r ...
๐Ÿ˜”

Ich muss sagen nachdem wir unser Level auf 2016 gehoben haben im AD läuft es soweit einwandfrei, die Schlüssel werden korrekt ins AD gezogen, und wenn nicht helfe ich mit einem entsprechenden Script nach, teilw. hab ich bereits Geräte mit aktiver Verschlüsselung, aber die Keys nicht im AD da die vor der Umstellung bereits verschlüsselt wurden.

Param(
    [Parameter(Mandatory=$false, Position=0)]
    [string]$locale = $((Get-WinSystemLocale).Name),
    [switch]$adcheck
)

$ErrorActionPreference = "Stop"  

function Write-Log {
    param(
        [string]$Message,
        [string]$Level = "INFO"  
    )
    
    $logDir = "PFAD-ZUR-LOGDATEI"  
    if (-not (Test-Path $logDir)) {
        New-Item -Path $logDir -ItemType Directory -Force | Out-Null
    }
    
    $timestamp = (Get-Date).ToString("yyyy-MM-dd HH:mm:ss")  
    "$timestamp [$Level] - $Message" | Out-File -FilePath "$logDir\Update-BitLockerRecovery.log" -Append  
}

# Adminberechtigungsprüfung
If (-NOT ([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)) {   
    Start-Process powershell -Verb runAs -ArgumentList "& '$($myinvocation.MyCommand.Path)'"  
    exit
}

# Einstellungen setzen
switch($locale){
    "de-DE" { $procstate = "Schutzstatus"; $procstatepat = "Der Schutz ist aktiviert" }  
    "en-EN" { $procstate = "Protection"; $procstatepat = "Protection On" }  
    Default {
        Write-Error "Locale not defined! Use procstate and procstatepat parameters."  
        Write-Log -Message "Locale not defined" -Level "ERROR"  
        exit
    }
}

Try {
    # REG-Einstellungen setzen
    $regPath = "HKLM:\SOFTWARE\Policies\Microsoft\FVE"  
    if (-not (Test-Path $regPath)) { New-Item -Path $regPath -Force | Out-Null }
    
    $regValues = @{
        OSRecovery = 1
        OSManageDRA = 1
        OSRequireActiveDirectoryBackup = 0
        OSActiveDirectoryInfoToStore = 1
        OSActiveDirectoryBackup = 1
        OSHideRecoveryPage = 0
    }
    $regValues.GetEnumerator() | ForEach-Object {
        Set-ItemProperty -Path $regPath -Name $_.Key -Value $_.Value -Type DWord -Force
    }

    Get-PSDrive -PSProvider FileSystem | Where-Object { $_.Root -ne "\" } | ForEach-Object {  
        $root = $_.Root.TrimEnd('\')  
        $status = (manage-bde -status $root) | Select-String -Pattern $procstate
        Write-Log -Message "Status: $status"  
        if ($status -match $procstatepat) {
            $id = (manage-bde -protectors -get $root -Type recoverypassword) | Select-String -Pattern ID | ForEach-Object { $_.ToString().Replace("ID: ", "").Trim() }  
            Write-Log -Message "ID: $id"  
            manage-bde -protectors -adbackup $root -id $id
            Start-Sleep -Seconds 10
        }
    }

    # REG-Einstellungen zurücksetzen
    $regValues.Keys | ForEach-Object {
        Remove-ItemProperty -Path $regPath -Name $_ -Force
    }
    Write-Log -Message "GPO-Einstellungen zurückgesetzt"  
    GPupdate.exe /Target:Computer /Force

    if ($adcheck) {
        try {
            Import-Module ActiveDirectory
        } catch {
            Write-Warning "ActiveDirectory module missing. Please install it for local checking."  
            Write-Log -Message "ActiveDirectory module missing" -Level "ERROR"  
            exit
        }

        Write-Log -Message "Waiting for AD synchronization"  
        Start-Sleep -Seconds 30

        # Domain eintra8en
        $searchBase = "DC=EINTRAGEN,DC=EINTRAGEN"    
        $recoveryPass = Get-ADObject -Filter { objectclass -eq 'msFVE-RecoveryInformation' } -SearchBase $searchBase -Properties msFVE-RecoveryPassword | Where-Object { $_.DistinguishedName -like "*$id*" }  
        
        if ($recoveryPass) {
            Write-Log -Message "Stored recovery password in AD: $($recoveryPass.Properties['msFVE-RecoveryPassword'])"  
        } else {
            Write-Log -Message "No recovery password found in AD." -Level "ERROR"  
        }
    }
} Catch {
    Write-Log -Message "Error occurred: $_" -Level "ERROR"  
}

Gruss Alex

Grüsse
MysticFoxDE
MysticFoxDE Sep 23, 2024 updated at 08:33:06 (UTC)
Goto Top
Moin @DerWoWusste,

Schon richtig. Aber dann kommt die Anmeldemaske.

nicht so ganz, denn bis die Anmeldemaske erscheint, muss erstmal das Windows selbst booten und zwar auf einer bereits entschlüsselten Partition.

Um die SAM zu bearbeiten, führen Angreifer einen Offlineangriff durch und booten ein Linux oder WinPE und da Schließt Bitlocker die Platte nicht auf.

Ja, bei dieser Angriffsmethode greift der BL Schutz schon, das ist jedoch bei weitem nicht die Einzige. ๐Ÿ˜”

By the way, wie oft hast du in den letzten Jahren gehört, dass irgendwelche Unternehmensdaten von einem gestohlenen Endgerät entwendet wurden?
Und wie oft hast du in den letzten Jahren gelesen, dass irgendwelche Unternehmensdaten über dessen Netzwerk und oder z.B. der bei MS gehosteten Klaut ... pardon ... ich meine natürlich Cloud, abgezogen wurden?

Ich selbst habe von dem Ersteren, sprich. dass Daten von einem entwendeten Endgerät geklaut wurden, bisher noch nichts gehört, zumindest was unseren Kundenkreis angeht.
Von den anderen Vorfällen, sprich, da wo die Daten über das interne Netz dank eines Schädlings/Backdoors abgefischt wurden, kann ich selber mehr als genug Geschichten erzählen. ๐Ÿ˜”

Sprich, ja, der Bitlocker bring bei gewissen Szenarien schon einen Mehrwert, zumindest wenn dieser richtig eingerichtet ist, aber er birgt wie ich schon mehrfach geschrieben habe auch gefahren mit sich und ist im Hinblick auf den erhöhten Ressourcenverbrauch, auch nicht wirklich "umsonst". Daher sollte man BL meiner Ansicht nach auch gezielt verwenden und nicht einfach pauschal überall ausrollen, nur damit man die DSBler vom Hals hat.

Gruss Alex
Lochkartenstanzer
Lochkartenstanzer Sep 23, 2024 updated at 08:37:30 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Sprich, ja, der Bitlocker bring bei gewissen Szenarien schon einen Mehrwert, zumindest wenn dieser richtig eingerichtet ist, aber er birgt wie ich schon mehrfach geschrieben habe auch gefahren mit sich und ist im Hinblick auf den erhöhten Ressourcenverbrauch, auch nicht wirklich "umsonst". Daher sollte man BL meiner Ansicht nach auch gezielt verwenden und nicht einfach pauschal überall ausrollen, nur damit man die DSBler vom Hals hat.


Ganz einfach ausgedrückt: Bitlocker schützt vor "Hardwareklau", nicht vor Malware. Um da mehr zu tun, mußte man à la linux die Benutzerdaten extra verschlüsseln (Stichwort cryptfs). Allerdings hat man hier auch das Problem, daß solange der User angemeldet ist, die Daten auch "sichtbar" sind.

lks
150631
150631 Sep 23, 2024 at 09:43:03 (UTC)
Goto Top
Die SAM Datei liegt nicht auf der Boot Partition.
MysticFoxDE
MysticFoxDE Sep 23, 2024 at 11:11:16 (UTC)
Goto Top
Moin @150631,

Die SAM Datei liegt nicht auf der Boot Partition.

also, bei mir liegt die SAM immer unter "C:\Windows\System32\Config" und das ist nun mal für gewöhnlich die Windows Boot-Partition.

Gruss Alex
DerWoWusste
DerWoWusste Sep 23, 2024 at 11:16:42 (UTC)
Goto Top
Boot-Partition, Systempartition, egal, Hauptsache Windows startet noch (frei nach Andy Brehme RIP)
kreuzberger
kreuzberger Sep 23, 2024 at 11:17:12 (UTC)
Goto Top
@150631, @MysticFoxDE

vielleicht habt ihr beide recht und meint das selbe, nur die Wortwahl/definition ist anders.

Es gibt ja bei Windows diese kleine „Start-Partition“, und dann eben das, was man als Laufwerk C: bezeichnet. Die SAM Daten liegen auf C:.

Richtig?


Kreuzberger
150631
150631 Sep 23, 2024 at 11:51:30 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Moin @150631,

Die SAM Datei liegt nicht auf der Boot Partition.

also, bei mir liegt die SAM immer unter "C:\Windows\System32\Config" und das ist nun mal für gewöhnlich die Windows Boot-Partition.

Gruss Alex

Nein, das ist die OS-Partition. Diese wird von der Boot-Partition geladen und dann vom BL entschlüsselt.
Lochkartenstanzer
Lochkartenstanzer Sep 23, 2024 at 12:22:05 (UTC)
Goto Top
Zitat von @150631:

Zitat von @MysticFoxDE:

Moin @150631,

Die SAM Datei liegt nicht auf der Boot Partition.

also, bei mir liegt die SAM immer unter "C:\Windows\System32\Config" und das ist nun mal für gewöhnlich die Windows Boot-Partition.


Nein, das ist die OS-Partition. Diese wird von der Boot-Partition geladen und dann vom BL entschlüsselt.

Es ist zwar inzwischen eine eigene Partit### für den Bootlader hat, dasß ist aber nicht immer zwingend so. Sowohl im legacy-Modus als auch unter UEFI (falls das BIOS NTFS lesen kann), ist es möglich die Boot- und die Systemdaten in derselben Partition im selben Filesystem abzulegen.

Abgesehen davon bezeichnen viele aus historischen Gründen "C:" immer noch als Bootpartition, obwohl sie das inzwischen kaum noch ist, sondern nur noch die Systempartition.

Wnn man nun Bitlocker einsetzen will, müsen Boot- und Systempartition getrennt sein.

Und ja, man kann ab dem zeitpunkt, an dem Bitlocker die Systempartition entschlüsselt den Schmu mit dieser Partition treibern. face-smile

lks
150631
150631 Sep 23, 2024 at 13:02:37 (UTC)
Goto Top
ja alles richtig, aber BL schützt die SAM Datei. Ohne die Möglichkeiten einer Behörde kommt man da nicht vorbei.
Lochkartenstanzer
Lochkartenstanzer Sep 23, 2024 at 13:18:36 (UTC)
Goto Top
Zitat von @150631:

ja alles richtig, aber BL schützt die SAM Datei. Ohne die Möglichkeiten einer Behörde kommt man da nicht vorbei.

Die kochen auch nur mit Wasser. face-smile

lks
MysticFoxDE
MysticFoxDE Sep 24, 2024 at 07:05:00 (UTC)
Goto Top
Moin @150631,

Nein, das ist die OS-Partition. Diese wird von der Boot-Partition geladen und dann vom BL entschlüsselt.

ja, es ist die OS, respektive, die "Windows Partition" und genau diese, wird alltäglichen Sprachgebrauch schon seit Jahrzehnten auch als Windows-Boot-Partition bezeichnet.

Gruss Alex
150631
150631 Sep 24, 2024 at 07:19:06 (UTC)
Goto Top
Wir können uns jetzt hier weiterhin der Wortklauberei hingeben, oder einfach die Sam Datei im Klartext sehen?
Lochkartenstanzer
Lochkartenstanzer Sep 24, 2024 at 08:00:08 (UTC)
Goto Top
Zitat von @150631:

Wir können uns jetzt hier weiterhin der Wortklauberei hingeben, oder einfach die Sam Datei im Klartext sehen?

Zum einlesen.

https://blog.compass-security.com/2024/02/microsoft-bitlocker-bypasses-a ...
150631
150631 Sep 24, 2024 at 09:34:29 (UTC)
Goto Top
Das ändert was an der Kernthese?
Wenn BL aus oder überwunden ist, dann komme ich sehr einfach an das Dateisystem.
MysticFoxDE
MysticFoxDE Sep 24, 2024 at 15:34:21 (UTC)
Goto Top
Moin @150631,

Wir können uns jetzt hier weiterhin der Wortklauberei hingeben

nö, das müssen wir nicht.
Denn das eine ist die System (Boot) Partition und das andere ist die Windows (Boot) Partition und genau so definiert es auch Microsoft selbst. ๐Ÿ˜‰

https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/c ...

oder einfach die Sam Datei im Klartext sehen?

Und was genau möchtest du mit dieser Frage bezwecken?

Gruss Alex
MysticFoxDE
MysticFoxDE Sep 24, 2024 at 16:19:08 (UTC)
Goto Top
Moin @Lochkartenstanzer,


dieser Angriff funktioniert nur bei alten Geräten (Workstation/Notebooks), die noch über einen separaten TPM Chip verfügen, sprich, bei Intel Systemen sind das die Geräte mit eine <= 7. Generation CPU. Den ab der 8. Generation, ist die TMP Funktionalität bereits schon in der CPU integriert und kann daher extern auch nicht mehr belauscht werden.

Gruss Alex
MysticFoxDE
MysticFoxDE Sep 24, 2024 at 16:23:16 (UTC)
Goto Top
Moin @Lochkartenstanzer,

ja alles richtig, aber BL schützt die SAM Datei. Ohne die Möglichkeiten einer Behörde kommt man da nicht vorbei.

Die kochen auch nur mit Wasser. face-smile

๐Ÿ‘๐Ÿ‘๐Ÿ‘

so ist das, zudem ist das Wasser mit dem die Behörden kochen, oft noch viel gammliger als bei der Privatwirtschaft. ๐Ÿ™ƒ

Gruss Alex
150631
150631 Sep 25, 2024 at 06:54:08 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Moin @150631,

Wir können uns jetzt hier weiterhin der Wortklauberei hingeben

nö, das müssen wir nicht.
Denn das eine ist die System (Boot) Partition und das andere ist die Windows (Boot) Partition und genau so definiert es auch Microsoft selbst. ๐Ÿ˜‰

https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/c ...

oder einfach die Sam Datei im Klartext sehen?

Und was genau möchtest du mit dieser Frage bezwecken?

Gruss Alex

Es ging doch um die Behauptung, dass man den Logon (häufig über SAM) spoofen kann. Dann hast Du dich immer tiefer ins Loch navigiert und den Hack nicht geliefert.
MysticFoxDE
MysticFoxDE Sep 25, 2024 updated at 08:00:36 (UTC)
Goto Top
Moin @150631,

Es ging doch um die Behauptung, dass man den Logon (häufig über SAM) spoofen kann.

was heiss hier denn bitte Behauptung, wo hast du den genau gelesen, dass BitLocker den Rechner im eingeschalteten Zustand vor "Spoofing" überhaupt schützen kann?
Denn soweit mir das bekannt ist, behauptet auch Microsoft selbst, dass der Schutz des BitLockers, nur im Ausgeschalteten- oder Ruhe-Zustand gegeben ist.

Dann hast Du dich immer tiefer ins Loch navigiert und den Hack nicht geliefert.

Lieber @150631, da du ja erst seit ein paar Wochen hier bist, wiederhole ich gerne meinen weiter oben bereits schon erwähnten Hinweis.

Discussion guidelines - The rules for our content

Regel Nr. 5: Verbotene Inhalte
Aufrufe oder Anleitungen zu Straftaten (z.B. Wie knacke ich eine Software oder ein Benutzerkonto).

Trotz dessen, habe ich hier schon einige Hinweise gegeben, wie man sowas bewerkstelligen kann und diejenigen, die sich mit diesem Thema auch etwas tiefer auskennen, wissen glaube ich auch genau, wohin ich mit dem Ball gezielt habe.

Und jetzt nochmals durch die Blume ... im 21 Jahrhundert klaut so gut wie kein Angreifer einen Rechner um an deren Daten zu kommen, sondern platziert wie auch immer einen Backdoor und saugt sich diese über das Netz ab und in diesem Fall hilft dir der BitLocker überhaupt gar nicht.

Aber ja, lasst euch ruhig von euren DSBler pauschal mit der Vollverschlüsselung verrückt machen nur weil in Spanien bei einem auf Rechtsberatung spezialisiertem Unternehmen, ein USB-Stick mit sensiblen Daten abhanden gekommen ist und noch nicht mal bewiesen wurde, das die Daten darauf wirklich "abgeflossen" sind. ๐Ÿ˜”

https://www.datenschutz-nordost.de/dsgvo-bussgeld-datenpanne

Persönliche Meinung:
Dieser ganze DSGVO und NIS-2 Bürokratieschwachsinn ist was den praktischen Sinn und Nutzen angeht, überwiegend nur zum ๐Ÿคฎ, weil die Menschen die diese Regeln/Gesetzte erstellen, von der theoretischen, geschweige den der praktischen IT, meistens überhaupt keinen Plan haben. ๐Ÿ˜”๐Ÿ˜ญ

Gruss Alex
MysticFoxDE
MysticFoxDE Sep 25, 2024 at 08:07:48 (UTC)
Goto Top
Moin Zusammen,

ganz aktuell zum Thema Verschlüsselung ...

https://www.security-insider.de/hashicorp-vault-schwachstelle-cve-2024-8 ...

... betrifft zwar nicht BL, ist aber dennoch denke ich interessant. ๐Ÿ˜”

Gruss Alex
150631
150631 Sep 25, 2024 at 12:08:54 (UTC)
Goto Top
Ja, schon klar. Schaumschläger.
Und dann noch das Trollargument: Ich bin länger hier.
MysticFoxDE
MysticFoxDE Sep 25, 2024 updated at 14:18:54 (UTC)
Goto Top
Moin @150631,

Ja, schon klar. Schaumschläger.
Und dann noch das Trollargument: Ich bin länger hier.

ja, ich sehe schon, wir müssen viel weiter vorne mit den Regeln anfangen.

Regel Nr. 1: Netiquette
Für viele, aber leider nicht für alle eine Selbstverständlichkeit: es sollte wenigstens die Zeit für eine Begrüßung vorhanden sein (z.B. "Hallo" oder "Hi" usw.), bevor die eigenen ach so wichtigen ach so dringenden Anliegen auf den Forumsboden gekippt werden. Dies ist ein Zeichen von Respekt.

Es soll eine angemessene Sprache verwendet werden. Obszönitäten, Anzüglichkeiten oder andere Inhalte, die als anstößig empfunden werden können, sind untersagt.

Drohungen, Beleidigungen, persönliche Angriffe, Trolling (nutzlose oder abfällige Bemerkungen, die nichts mit dem Zweck dieser Plattform zu tun haben) und Flame-Wars etc. sind verboten. Wer selbst in dieser Weise angegriffen wird, sollte darauf nicht reagieren, sondern den betroffenen Beitrag bei einem Moderator oder Administrator melden.
...
Regel Nr. 2: Beiträge und Kommentare

Veröffentliche keine verbotenen Inhalte.

So und nun denk mal bitte in Ruhe darüber nach, was du hier genau forderst und vor allem wie. ๐Ÿ˜”

Gruss Alex
MrHeisenberg
MrHeisenberg Sep 25, 2024 at 15:54:26 (UTC)
Goto Top
Moinsen ๐Ÿซจ

Hab mir nicht gedacht, dass die Wogen nun doch so hoch gehen. Trotzdem danke für eure Beiträge. Um kurz zu sagen, warum wir nun BitLocker verwenden: Nein, es geht nicht um die NIS2, sondern einfach darum, es einem "Dieb" oder "Angreifer" schwerer zu machen.

Ja, BitLocker ist nicht das Wundermittel, bei weitem nicht, aber es hat etwas für sich und ist ein kleines Puzzleteil, um unser Umfeld doch ein Stück sicherer zu machen (zum gewissen Teil).

Wir sind noch nicht am Ende der Fahnenstange, sprich, unser Endpoint muss/soll besser werden, mehr Nutzerkontrolle, Schulungen für die Nutzer und so weiter. Hier ist eben ein Fundament wichtig, und ein Teil davon ist BitLocker. Da war ich doch etwas verunsichert, dass das Klonen der SSD möglich war und BitLocker danach inaktiv war. ๐Ÿ˜

Der Input mit dem Startup sowie der Versuch, von einem "portablen" OS zu booten, hat unter anderem dafür gesorgt, dass ich die Konfiguration verifizieren konnte und sie als "sicher" gilt, mehr oder weniger – kommt halt auf den Angriff an.

Grüsse
pcpanik
pcpanik Sep 26, 2024 updated at 08:49:22 (UTC)
Goto Top
By the way, wie oft hast du in den letzten Jahren gehört, dass irgendwelche Unternehmensdaten von einem gestohlenen Endgerät entwendet wurden?

Bei uns wurde kürzlich eingebrochen und nur die Festplatten aus Rechnern ausgebaut und entwendet. Also der Versuch ist in jedem Fall gegeben.
Lochkartenstanzer
Lochkartenstanzer Sep 26, 2024 at 08:52:24 (UTC)
Goto Top
Zitat von @pcpanik:

By the way, wie oft hast du in den letzten Jahren gehört, dass irgendwelche Unternehmensdaten von einem gestohlenen Endgerät entwendet wurden?

Bei uns wurde kürzlich eingebrochen und nur die Festplatten aus Rechnern ausgebaut und entwendet. Also der Versuch ist in jedem Fall gegeben.

Moin,

Dann geht jemand davon aus daß ihr da lohnenswerte daten drauf habt. Ich hoffe, ihr habt Vorkehrungen getroffen, daß die keine Daten runterziehen können. (verschüsselte Daten/Partitionen). Ansonsten könnt soltel ihr eure gesammte Infrastruktur mal überdenken, weil euer netz sonst auch kompromittiert ist mit den daten von den festplatten.

lks
MysticFoxDE
MysticFoxDE Sep 26, 2024 at 11:31:29 (UTC)
Goto Top
Moin @pcpanik,

Bei uns wurde kürzlich eingebrochen und nur die Festplatten aus Rechnern ausgebaut und entwendet. Also der Versuch ist in jedem Fall gegeben.

OK, in dem Fall hat jedoch schlichtweg die physikalische Gelände/Gebäude Einbruchssicherung/Allarmierung/Abschreckung versagt.

Denn wenn ein Einbrecher an die entsprechenden Rechner so leicht ran kommt und aufgrund einer fehlenden Alarmanlage auch noch die Zeit hat bei jedem Rechner die Platte auszubauen, dann hilft auch BitLocker nicht wirklich weiter. Den genau so gut kann der Einbrecher auch nur einen Backdoor im Netzwerk platzieren und die Daten darüber von den BL verschlüsselten Rechner abziehen, sobald diese wieder am Netz hängen.

Gruss Alex
pcpanik
pcpanik Sep 26, 2024 updated at 11:42:58 (UTC)
Goto Top
OK, in dem Fall hat jedoch schlichtweg die physikalische Gelände/Gebäude Einbruchssicherung/Allarmierung/Abschreckung versagt.

Das ist bei Einbrüchen die Regel und nicht die Ausnahme. Mehr als die Hälfte aller Einbruchsversuche ist erfolgreich.
Quelle: Polizeiliche Kriminalstatistik 2022/BKA

Es sollte einfach bedacht werden, dass auch das schlicht noch passieren kann und entsprechend ist eine Verschlüsselung von Endegeräten mMn. als obligatorisch zu betrachten.