Verständnisfrage zu Bitlocker
Hi,
Mein Laptop enthält keine super-sensitiven Daten, daher möchte ich gerne eine gute Balance zwischen Sicherheit und Komfort haben. Daher habe ich momentan Bitlocker ohne pre-boot PIN oder key eingerichtet, so dass man es im Alltag nicht bemerkt.
Frage 1: Dieser 'einfache' Modus schützt dagegen, dass die SSD ausgebaut wird und einfach in einem anderen Computer gelesen werden kann. Auch schützt es dagegen, den Computer z.B. mit einem Live-Windows/Linux/etc zu booten. Im vorhandenen Computer schützt der normale Windows-Login die Daten. Wer sich einloggen kann, kommt an die Daten, wer sich nicht einloggen kann, der eben nicht.
Nun kann man ja noch eine zusätzliche pre-boot PIN einrichten, die bei Neutstart oder bei Rückkehr aus Hibernation abgefragt wird. Ich nutze aber fast ausschliesslich den 'sleep' Modus, wo die pre-boot PIN nicht abgefragt wird (Hibernation dauert merklich länger, wäre also ein deutlicher Komfort-Verlust im Alltag).
Frage 2: Würde die pre-boot PIN bei Nutzung des sleep-Modes überhaupt einen Vorteil bringen?
[Edit] Frage 3: Sperrbildschirm bei Windows (z.B. per Win+L oder Screensaver) ist bzgl. Login/Bitlocker-Sicherheit gleichzusetzen mit Aufwachen aus sleep, oder?
Das Szenario gegen welches ich mich schützen möchte ist eher sowas wie Laptop wird geklaut, ich lasse ihn irgendwo liegen,... und jemand unbedarftes will an die Daten. Sieht dass es verschlüsselt ist, und würde dann wohl einfach die SSD extern neu formatieren. Evtl. noch Abwehr gegen einfache 'Laien'-Attacken mit frei und einfach verfügbaren Tools.
Ich brauche keinen Schutz gegen gezielte Spionage, oder dass sich jemand dediziert hinsetzt und Stunden investiert um die Verschlüsselung zu knacken.
Reicht da der 'einfache' Bitlocker Schutz, oder sollte ich zusätzlich noch pre-boot PIN aktivieren und/oder zusätlich auch noch sleep durch hibernate ersetzen?
Mein Laptop enthält keine super-sensitiven Daten, daher möchte ich gerne eine gute Balance zwischen Sicherheit und Komfort haben. Daher habe ich momentan Bitlocker ohne pre-boot PIN oder key eingerichtet, so dass man es im Alltag nicht bemerkt.
Frage 1: Dieser 'einfache' Modus schützt dagegen, dass die SSD ausgebaut wird und einfach in einem anderen Computer gelesen werden kann. Auch schützt es dagegen, den Computer z.B. mit einem Live-Windows/Linux/etc zu booten. Im vorhandenen Computer schützt der normale Windows-Login die Daten. Wer sich einloggen kann, kommt an die Daten, wer sich nicht einloggen kann, der eben nicht.
Nun kann man ja noch eine zusätzliche pre-boot PIN einrichten, die bei Neutstart oder bei Rückkehr aus Hibernation abgefragt wird. Ich nutze aber fast ausschliesslich den 'sleep' Modus, wo die pre-boot PIN nicht abgefragt wird (Hibernation dauert merklich länger, wäre also ein deutlicher Komfort-Verlust im Alltag).
Frage 2: Würde die pre-boot PIN bei Nutzung des sleep-Modes überhaupt einen Vorteil bringen?
[Edit] Frage 3: Sperrbildschirm bei Windows (z.B. per Win+L oder Screensaver) ist bzgl. Login/Bitlocker-Sicherheit gleichzusetzen mit Aufwachen aus sleep, oder?
Das Szenario gegen welches ich mich schützen möchte ist eher sowas wie Laptop wird geklaut, ich lasse ihn irgendwo liegen,... und jemand unbedarftes will an die Daten. Sieht dass es verschlüsselt ist, und würde dann wohl einfach die SSD extern neu formatieren. Evtl. noch Abwehr gegen einfache 'Laien'-Attacken mit frei und einfach verfügbaren Tools.
Ich brauche keinen Schutz gegen gezielte Spionage, oder dass sich jemand dediziert hinsetzt und Stunden investiert um die Verschlüsselung zu knacken.
Reicht da der 'einfache' Bitlocker Schutz, oder sollte ich zusätzlich noch pre-boot PIN aktivieren und/oder zusätlich auch noch sleep durch hibernate ersetzen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 647669
Url: https://administrator.de/contentid/647669
Ausgedruckt am: 24.11.2024 um 22:11 Uhr
5 Kommentare
Neuester Kommentar
Hi.
Frage 1 lautet...?
Frage 2: Nein, nur bei Hibernation.
Frage 3: Ja, richtig.
Wenn Du es nicht gegen Insidern absichern willst, lass es so, wie es ist, wenn Dich die PIN-Eingabe gar so sehr stört. Andernfalls, nimm die PIN.
Frage 1 lautet...?
Frage 2: Nein, nur bei Hibernation.
Frage 3: Ja, richtig.
...sollte ich zusätzlich noch pre-boot PIN aktivieren und/oder zusätlich auch noch sleep durch hibernate ersetzen?
Stell Dir vor, es gibt eine Sicherheitslücke, die es Insidern erlaubt, den Logonscreen auch ohne Kennwort zu überwinden - würdest Du das riskieren wollen? Oder aber schlimmer, das Notebook kommt weg, du fühlst Dich noch ausreichend sicher, und dann wird später so eine Lücke allgemein bekannt. Dann fühlt man sich nicht mehr so gut. Das hat es schon gegeben, 2x mindestens in den letzten 5 Jahren.Wenn Du es nicht gegen Insidern absichern willst, lass es so, wie es ist, wenn Dich die PIN-Eingabe gar so sehr stört. Andernfalls, nimm die PIN.
N'Abend.
Wenn dein Device nen Fingerprint-Reader hat, kannst du auch erst die PIN einrichten (Pflicht!) und dann die biometrischen Anmeldeverfahren aktivieren. Auf jeden Fall würde ich für ein Pre-Boot-Authentication sorgen.
Cheers,
jsysde
Zitat von @andre-xs:
[...]Wer sich einloggen kann, kommt an die Daten, wer sich nicht einloggen kann, der eben nicht.
Nope. Sobald der Rechner gebootet hat, kommt man auch via Netzwerk an die Daten. Ein lokaler Login ist dafür nicht nötig.[...]Wer sich einloggen kann, kommt an die Daten, wer sich nicht einloggen kann, der eben nicht.
Wenn dein Device nen Fingerprint-Reader hat, kannst du auch erst die PIN einrichten (Pflicht!) und dann die biometrischen Anmeldeverfahren aktivieren. Auf jeden Fall würde ich für ein Pre-Boot-Authentication sorgen.
Cheers,
jsysde
N'Abend.
Wenn es sich um ein domain-joined Rechner handelt, auf dem diverse Einstellungen per GPO/von zentraler Stelle aus verwaltet werden, kann der User im Zweifel einfachste Sicherheitsmaßnahmen gar nicht erfolgreich aktivieren/umsetzen. Ich habe leider schon zu viele "fähige" Admins gesehen, die Firewalls per GPO deaktivieren etc. Da es sich beim TO augenscheinlich um einen privaten Rechner/ein Einzelplatzsystem handelt, sei das hier nur der Vollständigkeit halber erwähnt.
Cheers,
jsysde
Zitat von @DerWoWusste:
Zu jsysdes Einwand: wer Netzwerkzugang hat, kommt per ran, sofern die Firewall das zulässt und er ein Kennwort und Konto für den Rechner hat. Normal ist beides nicht gegeben und die Firewall kann man nicht von remote deaktivieren.
Je nach Patchlevel des OS und ohne zu wissen, welche Lücken in den nächsten Tagen/Wochen/Monaten so ans Licht kommen, könnte man sich anhand der Aussage in trügerischer Sicherheit wiegen. Ich verweise auf gängige und frei im Netz erhältliche Tools, mit denen man genau diesen Punkten relativ einfach "auf den Zahn fühlen" kann. Sicherlich ein theoretisches Szenario, aber eben auch nicht ausgeschlossen.Zu jsysdes Einwand: wer Netzwerkzugang hat, kommt per ran, sofern die Firewall das zulässt und er ein Kennwort und Konto für den Rechner hat. Normal ist beides nicht gegeben und die Firewall kann man nicht von remote deaktivieren.
Wenn es sich um ein domain-joined Rechner handelt, auf dem diverse Einstellungen per GPO/von zentraler Stelle aus verwaltet werden, kann der User im Zweifel einfachste Sicherheitsmaßnahmen gar nicht erfolgreich aktivieren/umsetzen. Ich habe leider schon zu viele "fähige" Admins gesehen, die Firewalls per GPO deaktivieren etc. Da es sich beim TO augenscheinlich um einen privaten Rechner/ein Einzelplatzsystem handelt, sei das hier nur der Vollständigkeit halber erwähnt.
Cheers,
jsysde