TPM-Modul mit Bitlocker
Hallo Leute,
hätte eine kleine Frage zur Verschlüsselung von Notebook-Festplatten mit TPM-Modul.
Wir möchten zur Verschlüsselung unserer Notebooks MS Bitlocker verwenden. Die Notebooks sind alle mit einem TPM-Modul ausgestattet.
Die kryptografischen Schlüssel zur Ver-/Entschlüsselung sind in dem TPM gespeichert. Das TPM-Modul verhält sich also quasi wie eine integrierte Smartcard (Eindeutige Identifizierung der Hardware).
- Ich stelle mir jetzt die Frage, ob eine zusätzliche Authentifizierung mittels USB-Stick oder PIN nötig ist.
- Wenn die Platte ausgebaut und in einem anderen Rechner gestartet wird, ist der Zugriff auf die Daten nicht möglich...da andere Hardware...
Typischerweise wird allerdings ein komplettes Notebook geklaut bzw. geht verloren.
Ohne PIN-Abfrage fährt das Notebook also auch beim Dieb bis zur Windows-Anmeldung hoch.
- Könnte ein Dieb durch eine Live-CD auf die Partitionen zugreifen und Änderungen Vornehmen?
- Oder die "Geschichte" mit dem Ersetzen der utilman.exe mit CMD.exe...
hätte eine kleine Frage zur Verschlüsselung von Notebook-Festplatten mit TPM-Modul.
Wir möchten zur Verschlüsselung unserer Notebooks MS Bitlocker verwenden. Die Notebooks sind alle mit einem TPM-Modul ausgestattet.
Die kryptografischen Schlüssel zur Ver-/Entschlüsselung sind in dem TPM gespeichert. Das TPM-Modul verhält sich also quasi wie eine integrierte Smartcard (Eindeutige Identifizierung der Hardware).
- Ich stelle mir jetzt die Frage, ob eine zusätzliche Authentifizierung mittels USB-Stick oder PIN nötig ist.
- Wenn die Platte ausgebaut und in einem anderen Rechner gestartet wird, ist der Zugriff auf die Daten nicht möglich...da andere Hardware...
Typischerweise wird allerdings ein komplettes Notebook geklaut bzw. geht verloren.
Ohne PIN-Abfrage fährt das Notebook also auch beim Dieb bis zur Windows-Anmeldung hoch.
- Könnte ein Dieb durch eine Live-CD auf die Partitionen zugreifen und Änderungen Vornehmen?
- Oder die "Geschichte" mit dem Ersetzen der utilman.exe mit CMD.exe...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 324338
Url: https://administrator.de/forum/tpm-modul-mit-bitlocker-324338.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
schaden kann es auch nicht, nur zusätzliche Kosten verursachen kann es.
dann eben nicht mehr!
sichere doch einfach so viel wie Dir die Daten wert sind, oder lasse diese eben alle auf einem Server
in der DMZ in der Firma und dann eben nur Zugriff via VPN!
und klauen es Euch dann erst, oder..........
Fakt ist doch folgendes, wenn jemand jemandem anderes 1 Millionen cash zahlt um Eure HDD/SSD zu klauen und zu knacken
dann sollte Dir auch klar sein dass das Notebook irgend wann weg ist, oder der MA nimmt es sogar mit unter die Dusche oder
mit auf die Toilette!
Sichere so viel wie Du musst und die Daten Euch wert sind und die Datensicherung wäre mir dazu noch fast viel wichtiger
denn das Daten einmal in andere Hände gelangen ist das Eine aber das Eure Firma sie nicht mehr hat und nur noch andere
Leute darüber verfügen ist doch viel schlimmer. Was kostet denn ein externes USB 3.0 RDX Laufwerk plus Medium?
Gruß
Dobby
- Könnte ein Dieb durch eine Live-CD auf die Partitionen zugreifen und Änderungen Vornehmen?
- Oder die "Geschichte" mit dem Ersetzen der utilman.exe mit CMD.exe...
Kennen wir dem seine Möglichkeiten und/oder Budget?- Oder die "Geschichte" mit dem Ersetzen der utilman.exe mit CMD.exe...
- Ich stelle mir jetzt die Frage, ob eine zusätzliche Authentifizierung mittels USB-Stick oder PIN nötig ist.
Wäre eine signifikante Erhöhung der Sicherheit, ob es nötig ist sollte jeder mit sich selber abmachen, aberschaden kann es auch nicht, nur zusätzliche Kosten verursachen kann es.
- Wenn die Platte ausgebaut und in einem anderen Rechner gestartet wird, ist der Zugriff auf die Daten nicht möglich...
da andere Hardware...
Was sind denn dort für Daten drauf? Und wie wichtig sind denn die Daten? Und wie wird ein Backup gemacht?da andere Hardware...
Typischerweise wird allerdings ein komplettes Notebook geklaut bzw. geht verloren.
Ohne PIN-Abfrage fährt das Notebook also auch beim Dieb bis zur Windows-Anmeldung hoch.
Jo das ist nun einmal so. Und wenn man nun ein Boot Password setzt und ein USB Token benötigtOhne PIN-Abfrage fährt das Notebook also auch beim Dieb bis zur Windows-Anmeldung hoch.
dann eben nicht mehr!
- Könnte ein Dieb durch eine Live-CD auf die Partitionen zugreifen und Änderungen Vornehmen?
Kommt drauf an wer Ihn mit wie viel bezahlt und/oder ob das nicht die NSA ist!? Spaß beiseite,sichere doch einfach so viel wie Dir die Daten wert sind, oder lasse diese eben alle auf einem Server
in der DMZ in der Firma und dann eben nur Zugriff via VPN!
- Oder die "Geschichte" mit dem Ersetzen der utilman.exe mit CMD.exe...
Oder ein Virus während eines Geschäftsessens und alle lesen nachher bei der Eingabe das Passwort schön mitund klauen es Euch dann erst, oder..........
Fakt ist doch folgendes, wenn jemand jemandem anderes 1 Millionen cash zahlt um Eure HDD/SSD zu klauen und zu knacken
dann sollte Dir auch klar sein dass das Notebook irgend wann weg ist, oder der MA nimmt es sogar mit unter die Dusche oder
mit auf die Toilette!
Sichere so viel wie Du musst und die Daten Euch wert sind und die Datensicherung wäre mir dazu noch fast viel wichtiger
denn das Daten einmal in andere Hände gelangen ist das Eine aber das Eure Firma sie nicht mehr hat und nur noch andere
Leute darüber verfügen ist doch viel schlimmer. Was kostet denn ein externes USB 3.0 RDX Laufwerk plus Medium?
Gruß
Dobby
Hi.
Ganz simpel:
Einen Vorteil bietet eine PIN (="preboot authentication") genau dann, wenn man Angst hat, dass die Angreifer evtl.
A Per Angriff auf Netzwerkebene (ungepatchte Dienste und/oder derzeit noch unbekannte Sicherheitslücken) Systemrechte erlangen
B Per "Cold boot attack" Zugriff auf den RAM bekommen
C per DMA-Attack einfach an Winlogon vorbeispazieren
Es gibt gegen alles probate Mittel:
A nach Möglichkeit keine offenen Ports anbieten, außer im Domänenprofil - ein Angreifer wird das Notebook nicht ins Domänenprofil bringen können
B soldered (festgelöteten) RAM verwenden (ja, das schränkt auf einige wenige Modelle ein)
C (Win10 only): Policy setzen, die DMA-Zugriff erst nach Logon zulässt oder Schnittstellen komplett abschalten
--
Gerade B bringt einen zum Nachdenken. Hier scheiden sich die Geister: viele halten das für James-Bond-Paranoia und haben eh viel dringendere Sicherheitsprobleme, somit fällt für die die Bedeutung von B flach.
Zu deinen beiden Spiegelstrichen: natürlich gehen diese beiden Attacken nicht. Dafür ist Verschlüsselung doch gerade da. Genau dagegen schützt sie doch, auch mit TPM-only.
Ganz simpel:
Einen Vorteil bietet eine PIN (="preboot authentication") genau dann, wenn man Angst hat, dass die Angreifer evtl.
A Per Angriff auf Netzwerkebene (ungepatchte Dienste und/oder derzeit noch unbekannte Sicherheitslücken) Systemrechte erlangen
B Per "Cold boot attack" Zugriff auf den RAM bekommen
C per DMA-Attack einfach an Winlogon vorbeispazieren
Es gibt gegen alles probate Mittel:
A nach Möglichkeit keine offenen Ports anbieten, außer im Domänenprofil - ein Angreifer wird das Notebook nicht ins Domänenprofil bringen können
B soldered (festgelöteten) RAM verwenden (ja, das schränkt auf einige wenige Modelle ein)
C (Win10 only): Policy setzen, die DMA-Zugriff erst nach Logon zulässt oder Schnittstellen komplett abschalten
--
Gerade B bringt einen zum Nachdenken. Hier scheiden sich die Geister: viele halten das für James-Bond-Paranoia und haben eh viel dringendere Sicherheitsprobleme, somit fällt für die die Bedeutung von B flach.
Zu deinen beiden Spiegelstrichen: natürlich gehen diese beiden Attacken nicht. Dafür ist Verschlüsselung doch gerade da. Genau dagegen schützt sie doch, auch mit TPM-only.