ithg13
Goto Top

TPM-Modul mit Bitlocker

Hallo Leute,

hätte eine kleine Frage zur Verschlüsselung von Notebook-Festplatten mit TPM-Modul.

Wir möchten zur Verschlüsselung unserer Notebooks MS Bitlocker verwenden. Die Notebooks sind alle mit einem TPM-Modul ausgestattet.
Die kryptografischen Schlüssel zur Ver-/Entschlüsselung sind in dem TPM gespeichert. Das TPM-Modul verhält sich also quasi wie eine integrierte Smartcard (Eindeutige Identifizierung der Hardware).

- Ich stelle mir jetzt die Frage, ob eine zusätzliche Authentifizierung mittels USB-Stick oder PIN nötig ist.

- Wenn die Platte ausgebaut und in einem anderen Rechner gestartet wird, ist der Zugriff auf die Daten nicht möglich...da andere Hardware...

Typischerweise wird allerdings ein komplettes Notebook geklaut bzw. geht verloren.
Ohne PIN-Abfrage fährt das Notebook also auch beim Dieb bis zur Windows-Anmeldung hoch.

- Könnte ein Dieb durch eine Live-CD auf die Partitionen zugreifen und Änderungen Vornehmen?
- Oder die "Geschichte" mit dem Ersetzen der utilman.exe mit CMD.exe...

Content-ID: 324338

Url: https://administrator.de/forum/tpm-modul-mit-bitlocker-324338.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

108012
Lösung 108012 20.12.2016 um 16:23:27 Uhr
Goto Top
Hallo,

- Könnte ein Dieb durch eine Live-CD auf die Partitionen zugreifen und Änderungen Vornehmen?
- Oder die "Geschichte" mit dem Ersetzen der utilman.exe mit CMD.exe...
Kennen wir dem seine Möglichkeiten und/oder Budget?

- Ich stelle mir jetzt die Frage, ob eine zusätzliche Authentifizierung mittels USB-Stick oder PIN nötig ist.
Wäre eine signifikante Erhöhung der Sicherheit, ob es nötig ist sollte jeder mit sich selber abmachen, aber
schaden kann es auch nicht, nur zusätzliche Kosten verursachen kann es.

- Wenn die Platte ausgebaut und in einem anderen Rechner gestartet wird, ist der Zugriff auf die Daten nicht möglich...
da andere Hardware...
Was sind denn dort für Daten drauf? Und wie wichtig sind denn die Daten? Und wie wird ein Backup gemacht?

Typischerweise wird allerdings ein komplettes Notebook geklaut bzw. geht verloren.
Ohne PIN-Abfrage fährt das Notebook also auch beim Dieb bis zur Windows-Anmeldung hoch.
Jo das ist nun einmal so. Und wenn man nun ein Boot Password setzt und ein USB Token benötigt
dann eben nicht mehr!

- Könnte ein Dieb durch eine Live-CD auf die Partitionen zugreifen und Änderungen Vornehmen?
Kommt drauf an wer Ihn mit wie viel bezahlt und/oder ob das nicht die NSA ist!? Spaß beiseite,
sichere doch einfach so viel wie Dir die Daten wert sind, oder lasse diese eben alle auf einem Server
in der DMZ in der Firma und dann eben nur Zugriff via VPN!

- Oder die "Geschichte" mit dem Ersetzen der utilman.exe mit CMD.exe...
Oder ein Virus während eines Geschäftsessens und alle lesen nachher bei der Eingabe das Passwort schön mit
und klauen es Euch dann erst, oder..........

Fakt ist doch folgendes, wenn jemand jemandem anderes 1 Millionen cash zahlt um Eure HDD/SSD zu klauen und zu knacken
dann sollte Dir auch klar sein dass das Notebook irgend wann weg ist, oder der MA nimmt es sogar mit unter die Dusche oder
mit auf die Toilette!

Sichere so viel wie Du musst und die Daten Euch wert sind und die Datensicherung wäre mir dazu noch fast viel wichtiger
denn das Daten einmal in andere Hände gelangen ist das Eine aber das Eure Firma sie nicht mehr hat und nur noch andere
Leute darüber verfügen ist doch viel schlimmer. Was kostet denn ein externes USB 3.0 RDX Laufwerk plus Medium?

Gruß
Dobby
User1000
Lösung User1000 20.12.2016 um 17:29:14 Uhr
Goto Top
Bei Bitlocker mit TPM ohne PIN gilt:
- Zugriff auf die Daten erhält man nur, wenn man sich am Windows anmelden kann. Ohne Windows-Anmeldung kommt man nicht an die Daten.
- Bitlocker/TPM erkennt, ob über eine Live-CD versucht wird, auf die Daten zuzugreifen und unterbindet dies
DerWoWusste
Lösung DerWoWusste 20.12.2016 aktualisiert um 19:29:54 Uhr
Goto Top
Hi.

Ganz simpel:
Einen Vorteil bietet eine PIN (="preboot authentication") genau dann, wenn man Angst hat, dass die Angreifer evtl.

A Per Angriff auf Netzwerkebene (ungepatchte Dienste und/oder derzeit noch unbekannte Sicherheitslücken) Systemrechte erlangen
B Per "Cold boot attack" Zugriff auf den RAM bekommen
C per DMA-Attack einfach an Winlogon vorbeispazieren

Es gibt gegen alles probate Mittel:
A nach Möglichkeit keine offenen Ports anbieten, außer im Domänenprofil - ein Angreifer wird das Notebook nicht ins Domänenprofil bringen können
B soldered (festgelöteten) RAM verwenden (ja, das schränkt auf einige wenige Modelle ein)
C (Win10 only): Policy setzen, die DMA-Zugriff erst nach Logon zulässt oder Schnittstellen komplett abschalten
--
Gerade B bringt einen zum Nachdenken. Hier scheiden sich die Geister: viele halten das für James-Bond-Paranoia und haben eh viel dringendere Sicherheitsprobleme, somit fällt für die die Bedeutung von B flach.

Zu deinen beiden Spiegelstrichen: natürlich gehen diese beiden Attacken nicht. Dafür ist Verschlüsselung doch gerade da. Genau dagegen schützt sie doch, auch mit TPM-only.
ITHG13
ITHG13 21.12.2016 aktualisiert um 08:28:53 Uhr
Goto Top
Zitat von @108012:
Kennen wir dem seine Möglichkeiten und/oder Budget?

Nö natürlich nicht...

Was sind denn dort für Daten drauf? Und wie wichtig sind denn die Daten? Und wie wird ein Backup gemacht?

Naja das reicht von einfachen Präsentationen (Pool-Laptops) bis hin zu Laptops der Führungsetage - dort sind, auf den ersten Blick, sicherlich geschäftskritische Daten vorhanden. Zu den reinen Benutzerdaten kommen natürlich auch noch weitere interne Informationen wie z.B. die als Hash gespeicherten Windows-Passwörter. Gerade bei den Pool-Laptops sind dann schnell mal einige Passwörter in Form einen Hashs abhanden gekommen. Deshalb mein Gedanke...wenn es jemand schafft die Verschlüsselung durch ne Live-CD oder diesen "Billig-Trick" mit dem Tausch der Utilman.exe zu umgehen und sich dann halt die Hashs kopiert...aber den anderen Antworten entnehme ich das dass nicht funktioniert...

- Könnte ein Dieb durch eine Live-CD auf die Partitionen zugreifen und Änderungen Vornehmen?
Kommt drauf an wer Ihn mit wie viel bezahlt und/oder ob das nicht die NSA ist!? Spaß beiseite,
sichere doch einfach so viel wie Dir die Daten wert sind,

Ja natürlich...aber dazu muss ich doch auch erst mal wissen was so möglich ist wenn die Kiste abhanden kommt...
ITHG13
ITHG13 21.12.2016 aktualisiert um 08:32:33 Uhr
Goto Top
Bei Bitlocker mit TPM ohne PIN gilt:
- Zugriff auf die Daten erhält man nur, wenn man sich am Windows anmelden kann. Ohne Windows-Anmeldung kommt man nicht an die Daten.
- Bitlocker/TPM erkennt, ob über eine Live-CD versucht wird, auf die Daten zuzugreifen und unterbindet dies

Vielen Dank für die Antwort! Ich werde einfach mal das nächste Notebook als Versuchsstück hernehmen. Learning by doing...
ITHG13
ITHG13 21.12.2016 um 08:33:55 Uhr
Goto Top
Zitat von @DerWoWusste:

Hi.

Ganz simpel:
Einen Vorteil bietet eine PIN (="preboot authentication") genau dann, wenn man Angst hat, dass die Angreifer evtl.

A Per Angriff auf Netzwerkebene (ungepatchte Dienste und/oder derzeit noch unbekannte Sicherheitslücken) Systemrechte erlangen
B Per "Cold boot attack" Zugriff auf den RAM bekommen
C per DMA-Attack einfach an Winlogon vorbeispazieren

Es gibt gegen alles probate Mittel:
A nach Möglichkeit keine offenen Ports anbieten, außer im Domänenprofil - ein Angreifer wird das Notebook nicht ins Domänenprofil bringen können
B soldered (festgelöteten) RAM verwenden (ja, das schränkt auf einige wenige Modelle ein)
C (Win10 only): Policy setzen, die DMA-Zugriff erst nach Logon zulässt oder Schnittstellen komplett abschalten
--
Gerade B bringt einen zum Nachdenken. Hier scheiden sich die Geister: viele halten das für James-Bond-Paranoia und haben eh viel dringendere Sicherheitsprobleme, somit fällt für die die Bedeutung von B flach.

Zu deinen beiden Spiegelstrichen: natürlich gehen diese beiden Attacken nicht. Dafür ist Verschlüsselung doch gerade da. Genau dagegen schützt sie doch, auch mit TPM-only.

Vielen Dank für die interessante Antwort!