stefankittel
Goto Top

Gibt es eine Möglichkeit Bitlocker bei PCs oder VMs ohne TPM automatisch anzumelden mit einem Netzwerklaufwerk

Hallo,

wenn man einen PC/eine VM ohne TPM hat die in einem Netzwerk ist.
Gibt es eine Möglichkeit Bitlocker automatisch zu entschlüsseln über ein Netzwerklaufwerk?

Stefan

Content-Key: 3610778659

Url: https://administrator.de/contentid/3610778659

Ausgedruckt am: 04.10.2022 um 03:10 Uhr

Mitglied: killtec
killtec 10.08.2022 um 18:01:29 Uhr
Goto Top
Hi Stefan,
wie meinst du automatisch über ein Netzlaufwerk entschlüsseln?
Du brauchst ja entweder ein gebootetes System oder den Schlüssel.
Beim gebooteten System kannst du das mit manage-bde machen.

Gruß
Mitglied: StefanKittel
StefanKittel 10.08.2022 um 19:14:58 Uhr
Goto Top
Zitat von @killtec:
wie meinst du automatisch über ein Netzlaufwerk entschlüsseln?
Windows VM ohne TPM, USB Stick oder Kennwort Eingabe automatisch entschlüsseln, so dass man per RPD auf das System zugreifen kann.

Du brauchst ja entweder ein gebootetes System oder den Schlüssel.
Beim gebooteten System kannst du das mit manage-bde machen.
Ich kann man manage-bde einen Netzwerkpfad eingeben.
Aber woher weiß Windows beim Booten mit welchen Zugangsdaten er diese Schlüssel holen kann?

Stefan
Mitglied: killtec
killtec 10.08.2022 um 19:54:22 Uhr
Goto Top
Hi Stefan,
nee, manage-bde geht nur bei gebootetem System und dient zum ver / entschlüsseln mit Bitlocker.
Bei mir sind die Schlüssel im AD abgelegt, da funktioniert das recht gut.
Eine VM habe ich damit aktuell nicht laufen.
Wüsste gerade auch noch nicht, wie das funktionieren soll was du vor hast. Evtl. weil ich es aktuell noch nicht geschnallt habe... ace-sad"
Wie willst du denn per RDP auf eine VM kommen, die noch nicht gebootet ist? Oder geht es dir um die Anmeldungen an sich die sicherer zu machen? Wäre hier evtl. eine Smartcard sinnvoll?

Killtec
Mitglied: StefanKittel
StefanKittel 10.08.2022 um 21:40:41 Uhr
Goto Top
Hallo,

das ist ja die Frage.
Wenn ich einen PC/VM ohne TPM in einem Netzwerk habe, gibt es eine Möglichkeit ein BL-Verschlüsseltes-Systemlaufwerk zu booten ohne TPM, USB Stick oder Kennwort einzugeben?

Irgendwas mit PreBoot mit Netzwerk oder so.
Zusammen mit einem VPN oder SSH wäre technisch eigentlich kein großes Problem.

Stefan
Mitglied: DerSchorsch
DerSchorsch 10.08.2022 um 22:05:35 Uhr
Goto Top
Hallo,

Es gibt zwar tatsächlich ein Entsperrung übers Netzwerk,
https://docs.microsoft.com/de-de/windows/security/information-protection ...
aber das setzt ein TPM voraus. Hier geht es eher darum dass man keine zusätzliche PIN eingeben muss, wenn man im LAN ist.

Ohne TPM gibt es meines Wissens keine offizielle Lösung.

Bei einer VM könnte man man eventuell versuchen über den Hypervisor der VM einen "USB-Stick" zu geben, auf dem der Key gespeichert ist.

Es gibt aber auch Hypervisor die ein vTPM zur Verfügung stellen können. Vielleicht mal in diese Richtung schauen.

Gruß
Schorsch
Mitglied: StefanKittel
StefanKittel 10.08.2022 um 22:09:37 Uhr
Goto Top
Zitat von @DerSchorsch:
Es gibt zwar tatsächlich ein Entsperrung übers Netzwerk,
https://docs.microsoft.com/de-de/windows/security/information-protection ...
aber das setzt ein TPM voraus. Hier geht es eher darum dass man keine zusätzliche PIN eingeben muss, wenn man im LAN ist.
Si

Ohne TPM gibt es meines Wissens keine offizielle Lösung.
Ich wüsste auch keine, mag das aber nicht wirklich glauben weil der Bedarf dafür vermutlich groß ist.

Bei einer VM könnte man man eventuell versuchen über den Hypervisor der VM einen "USB-Stick" zu geben, auf dem der Key gespeichert ist.
Dann ist dieser USB Stick aber unsicher gespeichert.

Es gibt aber auch Hypervisor die ein vTPM zur Verfügung stellen können. Vielleicht mal in diese Richtung schauen.
Ja, ESX, Hyper-V und Proxmox können das.
Aber ohne Hardware-TPM speichern die den Schlüssel auch nur lokal und unsicher.

Die Einzige Möglichkeit wäre ein eine Pre-Boot-Umgebung welche den Schlüssel über eine verschlüsselte Verbindung von einem anderen Host holt.