6
Bitlocker unter w2k8 auf Systempartition
wer kennt sich aus?
Hallo,
gegeben ist ein W2k8-Server der ohne Console betrieben wird. BEi diesem Server sollen alle LW verschlüsselt werden. Die Datenpartitionen sind nicht das Problem. Dort ist TrueCrypt im Einsatz. Problematisch ist das System-LW. Wenn ich dieses mit TC verschlüsseln würde, müste ich beim Booten logischerweise ein Password eingeben. Das geht aber ohne Monitor/Maus/Tastatur schlecht. Nun habe ich überlegt,den Bitlocker einzusetzen und habe mich versucht schlau zu lesen.
Fragen die ich für mich leider nicht beantworten konnte:
1. Wenn ich das System mit BL verschlüssele, wird dann nur wie bei EFS der Inhalt der Dateien verschlüsselt, oder wirklich die Partition?
2. Bootet ein mit BL Verschlüsseltes System bis zu dem Punkt wo ich mit RDP auf das System komme ohne Benutzerinteraktion?
3. Was passiert, wenn ich diese Platte an einen anderen PC hänge und die dort einbinde, auf welche Art ist dann ein Zugriff möglich? Wie bei TC mit einen entsprechenden Passwort? Oder gar nicht mehr?
4. Hat sonst wer Erfahrung damit? Gute wie schlechte?
Kann das ganz leider nicht in einer VM selber testen, Bitlocker auf eine TPM-Chip setzt, der in einer VM nicht durchgereicht wird.
Thx!
gegeben ist ein W2k8-Server der ohne Console betrieben wird. BEi diesem Server sollen alle LW verschlüsselt werden. Die Datenpartitionen sind nicht das Problem. Dort ist TrueCrypt im Einsatz. Problematisch ist das System-LW. Wenn ich dieses mit TC verschlüsseln würde, müste ich beim Booten logischerweise ein Password eingeben. Das geht aber ohne Monitor/Maus/Tastatur schlecht. Nun habe ich überlegt,den Bitlocker einzusetzen und habe mich versucht schlau zu lesen.
Fragen die ich für mich leider nicht beantworten konnte:
1. Wenn ich das System mit BL verschlüssele, wird dann nur wie bei EFS der Inhalt der Dateien verschlüsselt, oder wirklich die Partition?
2. Bootet ein mit BL Verschlüsseltes System bis zu dem Punkt wo ich mit RDP auf das System komme ohne Benutzerinteraktion?
3. Was passiert, wenn ich diese Platte an einen anderen PC hänge und die dort einbinde, auf welche Art ist dann ein Zugriff möglich? Wie bei TC mit einen entsprechenden Passwort? Oder gar nicht mehr?
4. Hat sonst wer Erfahrung damit? Gute wie schlechte?
Kann das ganz leider nicht in einer VM selber testen, Bitlocker auf eine TPM-Chip setzt, der in einer VM nicht durchgereicht wird.
Thx!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 128748
Url: https://administrator.de/contentid/128748
Printed on: April 25, 2024 at 04:04 o'clock
6 Comments
Latest comment
Doch, Du kannst das (theoretisch) in einer VM testen. TPM wird nicht zwingend benötigt, kann man per GPO auf TPM ODER USB ändern.
Zu den Fragen: alles wird verschlüsselt und der Rechner bootet ohne Kennworteingabe durch und Du kannst selbstv. auch per RDP ran.
An einem anderen PC kannst Du die Daten mit dem Wiederherstellungsschlüssel lesen, sonst nicht.
Erfahrungen: nur gute.
Es bleibt zu Bedenken, dass man ein hochgefahrenes System kancken kann, sollten bestimmte Schnittstellen vorhanden sein - da hilft dann keine Verschlüsselung.
Außerdem ist das nicht James-Bond-Proof - eine Uni hat festgestellt, dass alle Verschlüsselungen, wenn auch mit einigem Knowhow, durch Coldbootattacks ausgehebelt werden können SOFERN das Kennwort im Speicher ist. Dies ist in Deinem Fall zwangsläufig gegeben.
Zu den Fragen: alles wird verschlüsselt und der Rechner bootet ohne Kennworteingabe durch und Du kannst selbstv. auch per RDP ran.
An einem anderen PC kannst Du die Daten mit dem Wiederherstellungsschlüssel lesen, sonst nicht.
Erfahrungen: nur gute.
Es bleibt zu Bedenken, dass man ein hochgefahrenes System kancken kann, sollten bestimmte Schnittstellen vorhanden sein - da hilft dann keine Verschlüsselung.
Außerdem ist das nicht James-Bond-Proof - eine Uni hat festgestellt, dass alle Verschlüsselungen, wenn auch mit einigem Knowhow, durch Coldbootattacks ausgehebelt werden können SOFERN das Kennwort im Speicher ist. Dies ist in Deinem Fall zwangsläufig gegeben.
Moin!
das man das TPM "umgehen" kann hatte ich inzwischen auch noch gelesen, nur das das über ein GPO geht nicht, denn selbst bei MS gezieht sich die Doku immer auf Vista.
Dann werde ich mich mal an die GPOs setzen, eine Tipp wo ungefähr das druntersteht?
Was die Sicherheit angeht, muß ich dazusagen, dass es sich um einen privaten Server handelt. Also sind keine Staatsgemeimnisse in Gefahr
Dann habe ich noch gelesen, dass auf der gleichen Platte wie dem System noch eine zusätzliche Partition für die Bootumgebung vorhanden sein muß. Lt. MS sind das min. 1,5 GB. Wie sind denn deine Erfahrungen da, reicht das oder sollten es lieber mehr sein?
Danke!
das man das TPM "umgehen" kann hatte ich inzwischen auch noch gelesen, nur das das über ein GPO geht nicht, denn selbst bei MS gezieht sich die Doku immer auf Vista.
Dann werde ich mich mal an die GPOs setzen, eine Tipp wo ungefähr das druntersteht?
Was die Sicherheit angeht, muß ich dazusagen, dass es sich um einen privaten Server handelt. Also sind keine Staatsgemeimnisse in Gefahr
Dann habe ich noch gelesen, dass auf der gleichen Platte wie dem System noch eine zusätzliche Partition für die Bootumgebung vorhanden sein muß. Lt. MS sind das min. 1,5 GB. Wie sind denn deine Erfahrungen da, reicht das oder sollten es lieber mehr sein?
Danke!
Die GPO ist unter computerkonfig - adm. Vorlagen - Windowskomponenten - Bitlocker
Die Partition für Bitlocker legt das Drive Preparation Tool fest, mach Dir darum keine Sorgen.
Die Partition für Bitlocker legt das Drive Preparation Tool fest, mach Dir darum keine Sorgen.
Zitat von @DerWoWusste:
Die GPO ist unter computerkonfig - adm. Vorlagen - Windowskomponenten
- Bitlocker
Die GPO ist unter computerkonfig - adm. Vorlagen - Windowskomponenten
- Bitlocker
OK, dann werd ih gelich mal meine VM anwerfen!
Die Partition für Bitlocker legt das Drive Preparation Tool
fest, mach Dir darum keine Sorgen.
fest, mach Dir darum keine Sorgen.
Ok, das höre ich gerne!
Dann werde ich dem Server morgen mal zu Leibe rücken!
Vielen Dank!
Ach, nochwas:
Informier Dich noch etwas eingehender über Bitlocker. Sonst stehst Du ziemlich fragend da, wenn der plötzlich das Wiederherstellungskennwort sehen will, obwohl Du nur im Bios die Lüftersteuerung verändert hast - das Bios wird mit überwacht.
Informier Dich noch etwas eingehender über Bitlocker. Sonst stehst Du ziemlich fragend da, wenn der plötzlich das Wiederherstellungskennwort sehen will, obwohl Du nur im Bios die Lüftersteuerung verändert hast - das Bios wird mit überwacht.
Moin,
ja, mit dem Wiederherstellungskennwort habe ich in der Test-VM gleich bekanntschaft gemacht Aber da habe ich den Thread von Dir hier zu dem Thema gefunden und das "Problem" gefixt.
Bei dem Server, bin ich natürlich noch ein bisschen auf die Schnauz* gefallen, den habe ich mit SP2 installiert. Das Bitlocker-Festplattenvorbereitungs-Tool läuft aber nur unter SP1! Das manuelle Anlegen der Partition war mir aber zu kompliziert, deswegen Server plätten, Platte mit Tool einrichten und dann SP2 drüber, geht!
Aber nun löppt er!
Danke für die Hilfe!
ja, mit dem Wiederherstellungskennwort habe ich in der Test-VM gleich bekanntschaft gemacht
Aber da habe ich den Thread von Dir hier zu dem Thema gefunden und das "Problem" gefixt.Bei dem Server, bin ich natürlich noch ein bisschen auf die Schnauz* gefallen, den habe ich mit SP2 installiert. Das Bitlocker-Festplattenvorbereitungs-Tool läuft aber nur unter SP1! Das manuelle Anlegen der Partition war mir aber zu kompliziert
, deswegen Server plätten, Platte mit Tool einrichten und dann SP2 drüber, geht!Aber nun löppt er!
Danke für die Hilfe!
