0x32f1
Goto Top

Permanente TPM Sperrung per Windows PIN-Fehleingabe?

Hallo zusammen,

Ich steige mal ganz plump ein:

Folgende Umgebung:

DC: Windows Server 2016 als DC
Clients: meist Lenovo Laptops, BJ 2016+, Win 10 1803+ Enterprise
Bitlocker: Einstellungen per GPO, Keybackup im AD, Systemlaufwerk zwingend verschlüsselt, einfaches TPM-unlock ohne PIN.

Die Password Policy reicht in diesem Fall aus, um ein Gerät mit reinen Domänenkonten als "geschützt genug" anzusehen, da ohne Windows Login kein Datenzugriff erfolgen kann. DMA-Thema und zugehörige GPO-Settings sind bekannt.

Leider ist eine Anmeldung per PIN ("Windows Hello" oder wie das hieß) erstmal grundsätzlich erlaubt. Heißt: mit einem sechsstelligen Zahlencode kann ich mich, sofern eingerichtet, mit einem Benutzerkonto anmelden. Windows ist leider recht großzügig was die Falscheingabe betrifft, d.h. über 10 Versuche sind in kurzer Zeit möglich. Bei den ersten Fehlversuchen reicht ein einfacher Reboot, ansonsten reicht es, das Gerät ca. 48h am Strom laufen zu lassen und zu warten, bis der Zähler zurückgesetzt wurde. Selbst von Hand wäre daher Bruteforce in einer Woche (also "ab und an mal eine PIN eingeben") nicht wirklich schwierig, immerhin werden ja meist gewisse Eingabemuster verwendet.

Wie ich das verstanden habe, beeinflusst Windows das Sperrverhalten maßgeblich, um die tatsächliche Sperrung des TPMs zu verhindern. Mir wäre allerdings ganz recht, wenn ich durch Falscheingabe das TPM sperren lassen könnte und dadurch das System beim nächsten Reboot ohne Bitlocker Recovery Key nicht mehr startet.

GPO-seitig ist im TPM-Bereich leider nichts passendes einzustellen. Zwar gibt es ein paar PowerShell-Kommandos, mit denen sich Schwellwerte einstellen lassen, eine vollständige TPM-Sperrung konnte ich in meinen Tests jedoch nie erreichen. Nach maximal 48 Stunden Wartezeit war alles wieder auf Null.

Die Infos bei Microsoft beschränken sich auch eher auf die Windows-Funktionen, die die angestrebte TPM-Sperrung verhindern sollen.

Langsam glaube ich, das ist gar nicht so umsetzbar, wie gedacht.

Hat vielleicht einer von euch noch einen Tipp?

Vielen Dank für jeden Hinweis!

Content-Key: 519038

Url: https://administrator.de/contentid/519038

Printed on: July 24, 2024 at 20:07 o'clock

Member: Matsushita
Matsushita Nov 26, 2019 updated at 18:19:37 (UTC)
Goto Top
Eine PIN mit sechs Ziffern (aus 10) ist sehr sicher. Es gibt 1.000.000 (10 hoch 6) Möglichkeiten. Es ist äußerst unwahrscheinlich, dass Du eine solche PIN erraten kannst. Und innerhalb einer Woche ist das im Grunde sogar ausgeschlossen. Dazu kommt, dass ein zweiter Faktor benötigt wird - das Gerät. Ein Angreifer braucht also nicht nur fast uenndlich viel Zeit, sondern auch das Gerät.

Die genauen Sperrmechasnimsen für TP Moduls sind nach meinem Verständnis übrigens nicht klar öffentlich dokumentiert. Die "Messung", die das TPM durchführt, ist nicht im Detail prüffähig und mit Sicherheit auch nicht manipulierbar (es wäre ja ein Witz, wenn ein GPO das Messverhalten des TPM beeinflussen könnte).

Mein Tipp: Sechs stellige PINs sind sicher. Wenn Du mehr Sicherheit willst, dann kombiniere BitLocker z.B. mit einem zusätzlich erforderlichen USB Flash Drive.
Member: 0x32f1
0x32f1 Nov 26, 2019 at 18:34:56 (UTC)
Goto Top
Ich unterstelle mal, dass 90% aller Benutzer ein Zahlenmuster wählen, um es sich einfacher merken zu können. Beispiele am NUM-Block wären da 014789, 1236898 usw. Müsste ich also Bruteforce betreiben, würde ich sicher nicht bei 000001, 000002, usw. anfangen. Schon minimieren sich der Aufwand gewaltig.

Zudem ist es auch in 2019 immer noch nicht unüblich, Geburtsdaten als PIN verwenden. Wenn man jetzt das eigene nimmt, lässt sich das ggf. mit einer schnellen Google-Suche über dem Namen des zuletzt eingeloggten Accounts herausfinden. Das des Kindes findet sich dann nebenan im vorletzten Facebook-Post oder Tweet.

Und eins hatte ich natürlich komplett vergessen: Grund bzw. Hintergrund des Vorhabens ist eben Geräteverlust oder Diebstahl.

Zusätzliche Merkmale wie USB-Drive waren schon im Gespräch, in der Realität beliben diese aber meist im oder am Gerät (Thema Laptoptasche), stellen also keine nennenswerte Hürde dar.

GPO: vielleicht etwas missverständlich formuliert. Es ging um Einstellungen bzgl.

This setting helps administrators prevent the TPM hardware from entering a lockout mode by slowing the speed at which standard users can send commands that require authorization to the TPM.
https://docs.microsoft.com/en-us/windows/security/information-protection ...

...und dort liest es sich ja so, als gäbe es diesen ominösen Lockout, der das TPM stilllegt, bis es per Owner-Password wieder entsperrt wird. Hab das im einzelnen jetzt aber auch nicht mehr im Kopf, ist ja schon abend face-smile
Member: Matsushita
Matsushita Nov 26, 2019 at 18:51:01 (UTC)
Goto Top
Du hast ein User-Problem, kein Technik-Problem face-sad
Member: 0x32f1
0x32f1 Nov 26, 2019 at 19:02:12 (UTC)
Goto Top
Schon erkannt, aber wegwünschen hat bisher noch nicht geklappt. Kann die PINs nicht einzeln kontrollieren und "genehmigen". Und unter hunderten von Benutzern sind halt nicht alle so vernünftig wie wir beide.

Die Windows-Methode wäre "komplexe PINs" einführen, was bedeutet: Buchstaben und Zahlen (und ggf. Sonderzeichen). Musst ich auch erstmal lachen...

Wenn sich nur das verflixte TPM dauerhaft sperren würde, wären die Auswirkungen des Userproblems mit Technik eingedämmt und vertretbar(er).

Ich lass das mal so stehen - vielleicht weiß noch jemand was.

Trotzdem danke, @Matsushita.
Member: DerWoWusste
Solution DerWoWusste Nov 26, 2019 updated at 20:07:52 (UTC)
Goto Top
GPO-seitig ist im TPM-Bereich leider nichts passendes einzustellen
Da wäre dies: https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...
The security setting allows you to set a threshold for the number of failed logon attempts that causes the device to be locked by using BitLocker. This means, if the specified maximum number of failed logon attempts is exceeded, the device will invalidate the Trusted Platform Module (TPM) protector and any other protector except the 48-digit recovery password, and then reboot.
Member: 0x32f1
0x32f1 Nov 26, 2019 at 20:13:27 (UTC)
Goto Top
Da hab' ich an der falschen Stelle gesucht. Und googlen kann ich wohl auch nicht mehr.

Vielen Dank, die Funktion erfüllt's voll und ganz!
Member: UweGri
UweGri Nov 26, 2019 at 23:16:38 (UTC)
Goto Top
EFS und Bitlocker Zugang der Laufwerke 15 stelliges PW und Anmeldung auch. TPM ist out in Sicherheitskreisen, da unkontrollierbar mit Intels ME verbunden.

Im Übrigen ist es händisch nicht möglich, die PIN zu knacken, da sitze in 10 Jahren noch dran … Und wer PIN 1234 nimmt, nimmt auch PW Liebling … Einfach harte Vorgaben und gut ist.

Sind Eure Daten so sensibel, TC oder VC Container hinter Bitlocker und EFS, da ist auch die NSA draußen …
Member: 0x32f1
0x32f1 Nov 27, 2019 at 18:46:25 (UTC)
Goto Top
Naja, die "harte Vorgaben"-Regelung für PINs hab ich ja oben schon angeführt... da kann man's auch gleich beim kryptischen Passwort belassen.

Zitat von @UweGri:
Im Übrigen ist es händisch nicht möglich, die PIN zu knacken, da sitze in 10 Jahren noch dran … Und wer PIN 1234 nimmt, nimmt auch PW Liebling … Einfach harte Vorgaben und gut ist.

Solange eine PIN aus nur Zahlen erlaubt ist, lässt sich nicht vermeiden, dass gewisse Muster und "die üblichen Daten" verwendet werden. Wer meint, dass dem nicht so ist und dass zudem die mögliche Sicherheitsbeeinträchtigung für den Durchschnittsbenutzer nachvollziehbar ist, der sollte ab und an mal wieder an die frische Luft. Wirklich nicht persönlich gemeint.

Zitat von @UweGri:
TPM ist out in Sicherheitskreisen, da unkontrollierbar mit Intels ME verbunden.

Bis die ME weiter zerlegt und nachvollziehbar für unsicher erklärt wurde, halte ich das TPM für Bitlocker noch für einen annehmbaren Kompromiss aus Sicherheit und Alltagstauglichkeit. Den durchschnittlichen (und sogar den überdurchschnittlichen) Laptopdieb sollte das schon vor eine unüberwindbare Hürde stellen. In der Regel werden Geräte wegen der Hardware geklaut und die Daten sind ein Beifang. Ergo ist die Priorität erstmal, das mögliche Erraten trivialer PINs nach wenigen Versuchen effektiv zu unterbinden.

Zitat von @UweGri:
Sind Eure Daten so sensibel, TC oder VC Container hinter Bitlocker und EFS, da ist auch die NSA draußen …
security
(Schönen Gruß von von xkcd.com)