Permanente TPM Sperrung per Windows PIN-Fehleingabe?
Hallo zusammen,
Ich steige mal ganz plump ein:
Folgende Umgebung:
DC: Windows Server 2016 als DC
Clients: meist Lenovo Laptops, BJ 2016+, Win 10 1803+ Enterprise
Bitlocker: Einstellungen per GPO, Keybackup im AD, Systemlaufwerk zwingend verschlüsselt, einfaches TPM-unlock ohne PIN.
Die Password Policy reicht in diesem Fall aus, um ein Gerät mit reinen Domänenkonten als "geschützt genug" anzusehen, da ohne Windows Login kein Datenzugriff erfolgen kann. DMA-Thema und zugehörige GPO-Settings sind bekannt.
Leider ist eine Anmeldung per PIN ("Windows Hello" oder wie das hieß) erstmal grundsätzlich erlaubt. Heißt: mit einem sechsstelligen Zahlencode kann ich mich, sofern eingerichtet, mit einem Benutzerkonto anmelden. Windows ist leider recht großzügig was die Falscheingabe betrifft, d.h. über 10 Versuche sind in kurzer Zeit möglich. Bei den ersten Fehlversuchen reicht ein einfacher Reboot, ansonsten reicht es, das Gerät ca. 48h am Strom laufen zu lassen und zu warten, bis der Zähler zurückgesetzt wurde. Selbst von Hand wäre daher Bruteforce in einer Woche (also "ab und an mal eine PIN eingeben") nicht wirklich schwierig, immerhin werden ja meist gewisse Eingabemuster verwendet.
Wie ich das verstanden habe, beeinflusst Windows das Sperrverhalten maßgeblich, um die tatsächliche Sperrung des TPMs zu verhindern. Mir wäre allerdings ganz recht, wenn ich durch Falscheingabe das TPM sperren lassen könnte und dadurch das System beim nächsten Reboot ohne Bitlocker Recovery Key nicht mehr startet.
GPO-seitig ist im TPM-Bereich leider nichts passendes einzustellen. Zwar gibt es ein paar PowerShell-Kommandos, mit denen sich Schwellwerte einstellen lassen, eine vollständige TPM-Sperrung konnte ich in meinen Tests jedoch nie erreichen. Nach maximal 48 Stunden Wartezeit war alles wieder auf Null.
Die Infos bei Microsoft beschränken sich auch eher auf die Windows-Funktionen, die die angestrebte TPM-Sperrung verhindern sollen.
Langsam glaube ich, das ist gar nicht so umsetzbar, wie gedacht.
Hat vielleicht einer von euch noch einen Tipp?
Vielen Dank für jeden Hinweis!
Ich steige mal ganz plump ein:
Folgende Umgebung:
DC: Windows Server 2016 als DC
Clients: meist Lenovo Laptops, BJ 2016+, Win 10 1803+ Enterprise
Bitlocker: Einstellungen per GPO, Keybackup im AD, Systemlaufwerk zwingend verschlüsselt, einfaches TPM-unlock ohne PIN.
Die Password Policy reicht in diesem Fall aus, um ein Gerät mit reinen Domänenkonten als "geschützt genug" anzusehen, da ohne Windows Login kein Datenzugriff erfolgen kann. DMA-Thema und zugehörige GPO-Settings sind bekannt.
Leider ist eine Anmeldung per PIN ("Windows Hello" oder wie das hieß) erstmal grundsätzlich erlaubt. Heißt: mit einem sechsstelligen Zahlencode kann ich mich, sofern eingerichtet, mit einem Benutzerkonto anmelden. Windows ist leider recht großzügig was die Falscheingabe betrifft, d.h. über 10 Versuche sind in kurzer Zeit möglich. Bei den ersten Fehlversuchen reicht ein einfacher Reboot, ansonsten reicht es, das Gerät ca. 48h am Strom laufen zu lassen und zu warten, bis der Zähler zurückgesetzt wurde. Selbst von Hand wäre daher Bruteforce in einer Woche (also "ab und an mal eine PIN eingeben") nicht wirklich schwierig, immerhin werden ja meist gewisse Eingabemuster verwendet.
Wie ich das verstanden habe, beeinflusst Windows das Sperrverhalten maßgeblich, um die tatsächliche Sperrung des TPMs zu verhindern. Mir wäre allerdings ganz recht, wenn ich durch Falscheingabe das TPM sperren lassen könnte und dadurch das System beim nächsten Reboot ohne Bitlocker Recovery Key nicht mehr startet.
GPO-seitig ist im TPM-Bereich leider nichts passendes einzustellen. Zwar gibt es ein paar PowerShell-Kommandos, mit denen sich Schwellwerte einstellen lassen, eine vollständige TPM-Sperrung konnte ich in meinen Tests jedoch nie erreichen. Nach maximal 48 Stunden Wartezeit war alles wieder auf Null.
Die Infos bei Microsoft beschränken sich auch eher auf die Windows-Funktionen, die die angestrebte TPM-Sperrung verhindern sollen.
Langsam glaube ich, das ist gar nicht so umsetzbar, wie gedacht.
Hat vielleicht einer von euch noch einen Tipp?
Vielen Dank für jeden Hinweis!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 519038
Url: https://administrator.de/forum/permanente-tpm-sperrung-per-windows-pin-fehleingabe-519038.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
8 Kommentare
Neuester Kommentar
Eine PIN mit sechs Ziffern (aus 10) ist sehr sicher. Es gibt 1.000.000 (10 hoch 6) Möglichkeiten. Es ist äußerst unwahrscheinlich, dass Du eine solche PIN erraten kannst. Und innerhalb einer Woche ist das im Grunde sogar ausgeschlossen. Dazu kommt, dass ein zweiter Faktor benötigt wird - das Gerät. Ein Angreifer braucht also nicht nur fast uenndlich viel Zeit, sondern auch das Gerät.
Die genauen Sperrmechasnimsen für TP Moduls sind nach meinem Verständnis übrigens nicht klar öffentlich dokumentiert. Die "Messung", die das TPM durchführt, ist nicht im Detail prüffähig und mit Sicherheit auch nicht manipulierbar (es wäre ja ein Witz, wenn ein GPO das Messverhalten des TPM beeinflussen könnte).
Mein Tipp: Sechs stellige PINs sind sicher. Wenn Du mehr Sicherheit willst, dann kombiniere BitLocker z.B. mit einem zusätzlich erforderlichen USB Flash Drive.
Die genauen Sperrmechasnimsen für TP Moduls sind nach meinem Verständnis übrigens nicht klar öffentlich dokumentiert. Die "Messung", die das TPM durchführt, ist nicht im Detail prüffähig und mit Sicherheit auch nicht manipulierbar (es wäre ja ein Witz, wenn ein GPO das Messverhalten des TPM beeinflussen könnte).
Mein Tipp: Sechs stellige PINs sind sicher. Wenn Du mehr Sicherheit willst, dann kombiniere BitLocker z.B. mit einem zusätzlich erforderlichen USB Flash Drive.
GPO-seitig ist im TPM-Bereich leider nichts passendes einzustellen
Da wäre dies: https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...The security setting allows you to set a threshold for the number of failed logon attempts that causes the device to be locked by using BitLocker. This means, if the specified maximum number of failed logon attempts is exceeded, the device will invalidate the Trusted Platform Module (TPM) protector and any other protector except the 48-digit recovery password, and then reboot.
EFS und Bitlocker Zugang der Laufwerke 15 stelliges PW und Anmeldung auch. TPM ist out in Sicherheitskreisen, da unkontrollierbar mit Intels ME verbunden.
Im Übrigen ist es händisch nicht möglich, die PIN zu knacken, da sitze in 10 Jahren noch dran … Und wer PIN 1234 nimmt, nimmt auch PW Liebling … Einfach harte Vorgaben und gut ist.
Sind Eure Daten so sensibel, TC oder VC Container hinter Bitlocker und EFS, da ist auch die NSA draußen …
Im Übrigen ist es händisch nicht möglich, die PIN zu knacken, da sitze in 10 Jahren noch dran … Und wer PIN 1234 nimmt, nimmt auch PW Liebling … Einfach harte Vorgaben und gut ist.
Sind Eure Daten so sensibel, TC oder VC Container hinter Bitlocker und EFS, da ist auch die NSA draußen …