derwowusste
Goto Top

Meine Wissenssammlung zu Bitlocker

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte dieses Thema hat und wie oft Funktionen von Bitlocker missverstanden wurden.

Ich habe nach fast 12 Jahren Bitlockernutzung im Unternehmen vor, in diesem Artikel alles aus meiner Sicht Wissenswerte zusammenzutragen inklusive FAQ, die ich gerne erweitere ,und später weitere Artikel zu spezielleren Unterthemen zu schreiben und hier zu verlinken. Wenn Ihr Interesse an Veränderungen des Beitrags haben solltet, dann setzt diesen Beitrag einfach in Eure Favoritenliste, dann bekommt Ihr bei Veränderung Nachrichten.

back-to-topVorüberlegungen

back-to-topWer braucht eine Verschlüsselung?

Jeder, der Grund zur Annahme hat, seine Daten könnten gegen seinen Willen und ohne sein Wissen eingesehen oder manipuliert werden, braucht eine Verschlüsselung dieser Daten, sicherheitshalber sogar des kompletten Betriebssystems. Alle in Windows integrierten Schutzmaßnahmen sind wirkungslos, wenn das Gerät unverschlüsselt ist und offline (z.B. von einer Bootdisk) manipuliert wird. Anmeldekennwörter und Firmwarekennwörter (Bios/UEFI) sind zum Schutz nicht geeignet. Jeder ernstzunehmende Penetrationstest wird schnell die Frage nach einer Festplattenverschlüsselung aufkommen lassen und ohne diese kein gutes Zeugnis ausstellen.

back-to-topWarum Bitlocker und nicht eine andere Verschlüsselung?


Andere Verschlüsselungen bieten andere Möglichkeiten, zum Beispiel stärkere Verschlüsselung/andere Algorithmen, Einsatz von Smartcards und umfangreichere Verwaltungskonsolen – man sollte prüfen, ob diese Dinge wichtig sind. Auch kann Bitlocker evtl. nicht gewisse Auflagen erfüllen, die an Euren Datenbestand gestellt werden (Geheimschutz zum Beispiel erfordert speziell zugelassene Verschlüsselungen).

Ich sehe für den Großteil der Anwender jedoch keinen Grund, eine andere Verschlüsselung zu wollen. Selbst in Firmen, die eine hohe Verwaltbarkeit wollen, bietet Bitlocker mit MBAM, welches kostenlos als Teil der Windows-Enterprise-Lizenz (bzw. als Teil von SA-Verträgen) erhältlich ist, einen Weg. Auch ohne MBAM kann man alles Erdenkliche über GPOs und Skripting regeln. Vorteil Nummer 1 aus meiner Sicht ist somit: hohe Verwaltbarkeit ohne Zusatzkosten.

Vorteil 2 ist eine hohe Kompatibilität sowohl zum Betriebssystem und dessen Updatingprozessen (logisch) als auch zu Drittanwendungen. Wir nutzen Bitlocker seit Ende 2006 auf Clients und (etwas später) auch auf Servern – noch ist mir keine Drittanwendung untergekommen, die damit ein Problem hatte. Backup/Restore funktioniert ebenso problemlos, ebenso beispielsweise sogar Größenänderung von verschlüsselten Partitionen.

Zum Dritten ist da die Möglichkeit, eine Hierarchie bei den Endnutzern zu gebrauchen: wir können als Admins in Firmen entscheiden, ob wir den Nutzern die volle Gewalt über die Maschine geben (Nutzern kann Gerät nicht nur starten, sondern bei Bedarf auch entschlüsseln und offline manipulieren), oder aber dem Nutzer lediglich das Recht zu geben, die Maschine zu booten. Schaut man bei anderen Verschlüsselungen genauer hin, stellt man manchmal fest: „ups, das kann die gar nicht“. Dieser Punkt darf nicht unterschätzt werden; er ist in gesicherten Umgebungen entscheidend und schließt viele Verschlüsselungen von vorn herein aus.

back-to-topWofür kann Bitlocker benutzt werden?


Bitlocker (im Folgenden: „BL“) kann für das Verschlüsseln einzelner Partitionen oder auch ganzer Festplatten genutzt werden. Dies umfasst MBR- und GPT-Platten und erlaubt das Verschlüsseln der OS-Partition. Es kann ebenso für Wechseldatenträger/USB-Sticks genutzt werden und unterstützt hierbei sowohl Fat32 als auch NTFS.

Welche Beschränkungen gibt es?
Es kann nicht genutzt werden, um Dateien oder Ordner zu verschlüsseln.
BL kann auch nicht auf dynamischen Datenträgern (Windows-Software-Raid) benutzt werden.
Bitlocker kann weder auf Windows 7 Professional benutzt werden, noch auf der Home Edition von Win7/8.x/10 (jedenfalls nicht ohne Weiteres, es gibt jedoch einen Weg, siehe Möglichkeiten für Bitlocker auf Windows 10 oder 11 Home ).

back-to-topErläuterung der Funktionen


Festplattenvollverschlüsselung sollte Teil jeder Security-Baseline sein. Will man, dass Nutzer/Putzpersonal/wer auch immer die Festplatte ausbaut und Daten ausliest? Nein! Will man zulassen, dass jemand Bootdisks nutzen kann und sich selbst zum Administrator macht oder ggf. vorhandene Passworthashes von Administratoren „erntet“ und nun knacken kann? Mit Sicherheit nicht. Bitlocker schützt hiervor, wenn es in der in der von Microsoft vorgeschlagenen Weise verwendet wird.

An Hardware wird ein TPM-Modul zwar nicht vorausgesetzt, jedoch sollte man sich im Klaren sein, was es bedeutet, Bitlocker ohne TPM zu betreiben: man übergibt dem Endnutzer ohne TPM die volle Kontrolle über seine Festplatte und er kann weiterhinmachen, was er möchte: Daten auslesen, Hashes knacken… ganz klar: ohne TPM sollte man es nur im persönlichen Betrieb nutzen und dann auch nur mit einem starken Kennwort (Länge ist hier Ermessenssache, aber sicher nicht unter 15 Zeichen) oder separat zu verwahrendem USB-Stick als Schutz.

Womit wir schon bei der Umsetzung sind: wie verschlüsselt man?
Der mit einem modernen Gerät ausgestattete Endanwender prüft zunächst, ob er ein einsatzbereites TPM zur Verfügung hat und öffnet das mmc-Snapin tpm.msc. Das Snapin teilt evtl. mit, dass kein TPM vorhanden ist – das ist schlecht, denn nun muss er sich die Frage stellen, ob er wirklich fortan mit einem Windows-Bitlocker-Bootkennwort hantieren will und ob er dieses allen Nutzern des Rechners (Mitbewohner/Kinder inklusive) auch mitteilen will, denn es erlaubt weiterhin volle Kontrolle über die Festplatte.
Ich gehe zunächst einmal davon aus, dass kein TPM vorhanden ist, aber man sich entschließt, dennoch BL zu nutzen und auch keine solchen Bedenken hat. Dazu verlinke ich mal Franks Artikel BitLocker Laufwerkverschlüsselung ohne TPM-Chip , wobei ich darum bitte, die anderen Hinweise hier, die bei Frank fehlen, ernst zu nehmen.

Hat man jedoch ein TPM, kommt in tpm.msc evtl. sogleich der Hinweis, dass dieses eine Sicherheitslücke aufweist, die man tunlichst schließe sollte. Das könnte erreicht werden durch das Installieren eines Firmwareupdates Hilfe beim Beschaffen von Infineon TPM-Updates für das Mainboard bzw. den Laptop. Wird kein solches Problem angezeigt, kann es losgehen und man prüfe, ob das TPM als einsatzbereit gilt. Ist es nicht einsatzbereit oder wider Erwarten gar nicht vorhanden, obwohl der Hersteller angibt, das Gerät hätte ein solches, muss man es in der Firmware (Bios/UEFI) ggf. erst einschalten und aktivieren. Die TPM-Betriebsmodi 1.2 oder 2.0 haben Unterschiede und man sollte 2.0 wählen sofern man ein UEFI Bios hat und auch Windows auf einer GPT-Festplatte installiert wurde. Auskunft darüber erteilt das Kommandozeilentool diskpart (diskpart →list disk →Sternchen unter GPT vorhanden? Alles klar, TPM kann auf 2.0 gestellt werden, falls es das nicht eh schon ist). Zu beachten ist hierbei, dass in mancher Firmware nicht von „TPM 2.0“, sondern von „Intel PTT“ die Rede ist, was aber für BL das Selbe bedeutet. Wichtig: hat man nur die Wahl TPM 2.0, MUSS man Windows in UEFI installieren. Hat man in diesem Fall Windows bereits im MBR-Stil installiert, und würde gerne dennoch das TPM auf 2.0 umstellen, muss man vorher eine Konvertierung von MBR auf GPT vornehmen. Das geht (nach Sicherheitsbackup) normalerweise schmerzlos und schnell mit dem eingebauten Tool mbr2gpt.exe.

Gut, wenn ein einsatzbereites TPM vorliegt, kann es bald losgehen (ein Backup der Daten setze ich voraus). Die einzige Entscheidung, die noch aussteht, ist, wie das Starten des Rechners denn fortan aussehen soll:

  • gibt es mehrere Nutzer des Gerätes, die vollstes Vertrauen genießen?
  • gibt es nur einen Nutzer, der vollstes Vertrauen genießt?
  • oder vertrauen wir mindestens einem Nutzer nicht vollständig?

Was heißt denn eigentlich „vertrauen“? Auch wenn ich es schon geschrieben habe, hier ein weiteres Mal: sobald wir nicht wollen, dass andere Nutzer volle Kontrolle über die Festplatte bekommen, kann man bereits von nicht vertrauenswürdigen Nutzern sprechen und muss dementsprechend handeln. Der Normalfall in Firmen sollte sein: wir vertrauen den Nutzern nicht.
Der Normalfall zu Hause kann hingegen sein: einige, die wir wissentlich an den Computer lassen (Kinder, Ehepartner, Freunde, Mitbewohner), sollen den Rechner zwar starten können, aber ihnen sollen einfache Wege genommen werden, Admin zu werden, oder gar an unsere Daten zu kommen. Evtl. wollen wir aber auch, dass das Gerät nicht einmal für andere als uns selbst startbar ist. Das lässt sich wie folgt umsetzen:

Mit einem TPM hat man die Wahl, eine transparente Authentifizierung zu wählen, das bedeutet, der TPM-Chip verwahrt den Schlüssel und wird vom Bootloader von Windows bei jedem Rechnerstart gebeten, diesen zu übergeben. Resultat: zum Starten drückt man den Einschalter – sonst nichts. Die Daten sind dennoch vor Manipulation weitgehend geschützt und nur Personen mit erheblichem Know-How werden dies zu umgehen wissen. Wer eine ungefähre Vorstellung von dem Aufwand bekommen will, lese https://pulsesecurity.co.nz/articles/TPM-sniffing oder hier, was erschreckend einfach aussieht auf Lenovo Laptops: https://www.youtube.com/watch?v=wTl4vEednkQ (das soll jedoch nicht heißen, dass dies die einzige Möglichkeit ist. Cold-Boot-Attacken werden im Abschnitt Angriffsmöglichkeiten beschrieben.

Zwischenfrage: Was steht bei transparenter Verschlüsselung noch zwischen einem Angreifer und den Daten?

Na, das Windows-Anmeldekennwort. Muss dieses für guten Schutz nun besonders kompliziert sein? Nein, muss es (zumindest für diesen Zweck) nicht, denn niemand wird willens und in der Lage sein, an der Anmeldemaske manuell einen Brute-Force-Angriff zu starten. Bereits ein 6-stelliges Kennwort, was nur aus Kleinbuchstaben besteht, wäre auf diese Weise manuell nahezu unmöglich zu brute-forcen - selbst mit programmierbaren Tastaturen würde das Jahrzehnte dauern, da Windows Anti-Hammering-Techniken an der Anmeldemaske einsetzt und Verzögerungen von mehreren Sekunden einbaut. Wer sich fragt, ob es nicht einen Zugang über den eingebauten Administrator gibt, der ja im abgesicherten Modus aktiviert wird, vergisst gleich zwei Dinge: Erstens ist dieser Modus nicht erreichbar, wenn ein TPM in dieser Weise verwendet wird und zweitens wird bei Domain-joined Geräten diese Möglichkeit (Administrator wird aktiviert im abgesicherten Modus) per se schon nicht erlaubt.

Noch sicherer als die transparente Authentifizierung ist ein für Domänennetzwerke gedachtes Verfahren, welches Microsoft Network Unlock getauft hat. Ich werde hier nur kurz darauf eingehen, da es diverse (Hardware-) Voraussetzungen benötigt und dadurch nur wenigen Nutzern zugänglich sein wird. Stellen wir es uns verkürzt so vor: Auch vor dem Booten kann der PC ja schon das Netzwerk nutzen. Der PC weist sich bei network unlock also bei einem Schlüsselserver aus, und wenn dieser ihn anerkennt, dann wird der Schlüssel via Netzwerk erhalten und das Gerät bootet ohne weitere Kennworteingabe. Das ist natürlich nett, denn Diebe, die das Gerät aus der Firma stehlen, werden es zu Hause (ohne "Schlüsselserver") nicht hochfahren können.

Ok, wenn wir von Umgebungen ausgehen, in denen höchstmöglicher Schutzbedarf besteht, wird man dennoch eine Preboot-Authentifizierung („PBA“) haben wollen, also setzt man einen weiteren sogenannten Protektor, eine PIN. Dazu muss man die Art, wie sich das Systemlaufwerk entsperren lässt, entsprechend ändern. Hierbei wird unterschieden zwischen PIN und „enhanced PIN“. Die „normale“ PIN ist der Default und besteht ausschließlich aus Ziffern und hat eine Mindestlänge von 6. Die Enhanced PIN kann hingegen auch Sonderzeichen und Buchstaben enthalten und darf weitaus länger sein, und kann sogar Komplexitätsanforderungen unterworfen werden.

Will man nun eine enhanced PIN oder reicht eine PIN? Man überlege sich: TPM-Chips lassen niemanden endlos lange durchprobieren, sondern werden bereits nach wenigen Versuchen einen Lockout verursachen. Dies sind bei den meisten TPMs nach meiner Erfahrung 32 Versuche, danach „aus die Maus“, ohne den Recoverykey, welchen nur Admins erhalten können, kommt man nicht weiter, hier endet das Bruteforcing. 32 Versuche also – wie groß ist die Chance, eine (mindestens) 6-stellige Zahlenkombination (mindestens 1 Million Möglichkeiten) in 32 Versuchen zu erraten? Die Chance ist (selbst für eine 6-stellige) rechnerisch kleiner als 1:30.000, also nicht gleich Null, aber hinreichend winzig, um sie guten Gewissens als Restrisiko hinzunehmen. Wem das noch riskant erscheint, dem steht es ja frei, eine längere PIN zu verwenden oder gar die enhanced PIN zu fordern.
Man bedenke: selbst wenn wir Gustav Gans an der Tastatur haben, der die PIN errät, so scheitert er danach noch an dem Windows-Anmeldekennwort. Man kann übrigens per GPO einstellen, dass bei x-facher Fehleingabe des Anmeldekennworts der Rechner runter gefahren wird UND Bitlocker in den Recoverymode geht. Dann müsste der Angreifer zum Rechnerstart schon den Recoverykey, eine 48-stellige Zahl, erraten – viel Glück dabei.

Welche weiteren Authentifizierungen sind für das Betriebssystemlaufwerk möglich?

Will man Preboot-Authentifizierung, möchte sich dafür aber keine PIN/kein Kennwort merken, stellt Windows einem frei, einen USB-Stick basierten Schlüssel zu nutzen; es wird also eine komplizierte im Sinne von „starke“ Schlüsseldatei auf einem Stick gespeichert, eine sogenannte .bek-Datei (Bitlocker Encryption Key). Achtung: Diese Datei kann sehr gefährlich werden:
1. kann man sie kopieren (sie ist nicht an den speziellen Stick gebunden)
2. kann sie wie jede andere Datei auch korrupt werden oder gar versehentlich gelöscht werden – letzteres wird natürlich nicht so leicht passieren, denn im Explorer ist sie vorsorglich als Systemdatei markiert und zudem ausgeblendet – will man sie Löschen, kommt eine Warnung.
3. Dadurch, dass sie unsichtbar ist, vergisst man schnell, dass sie überhaupt da ist… somit sollte man den USB-Key nicht mehr im normalen Betrieb als Wechseldatenträger einsetzen.

Was passiert nun, wenn man den USB-Schlüssel verliert oder ähnliches?
Man hat danach nur mehr die Möglichkeit, mittels des Recoverykeys Zugriff auf die Daten zu bekommen. Hat man diesen Key nicht und auch der Admin des Rechners hat diesen nicht, muss man das Backup nutzen.

Ohne direkt darauf hinzuweisen, ging bereits der letzte kleine Absatz auf eine wichtige Eigenschaft von Bitlocker ein: man kann mehrere Schlüssel nebeneinander benutzen.

Der Recoverykey sollte immer erstellt werden. Dies ist eine von Windows erzeugte, 48-stellige Zahl, die man entweder auf einen gesicherten, externen Datenträger speichert oder ausdruckt und sicher verwahrt. Wer diese meint in die Microsoft-Cloud (=OneDrive) laden zu müssen – auch möglich – wir vertrauen Microsoft ja eh schon unser digitales Schaffen an, sobald wir für direkten Internetzugang gesorgt haben, also: warum eigentlich nicht?

Es ist also möglich, sowohl eine PIN zu nutzen, als auch einen Recoverykey und sogar eine USB-basierten Schlüsseldatei und dann gibt es ja noch ggf. das Bitlocker-Passwort. Wie können diese Protektoren kombiniert werden? Ich liste auf:

1 transparent (nur TPM-Protektor)
2 TPM+PIN/enhanced PIN
3 TPM+PIN/enhanced PIN UND USB-Key (nur wer alle 3 hat, kann das Gerät starten!)
4 TPM+PIN oder USB Key (wer eines von beiden hat, kann das Gerät starten)
5 Kennwort
6 Kennwort oder USB-Key
7 Nur der USB-Key
8 Network-unlock
9 Nur der Recoverykey

Zu den Optionen 1-8 sollte man immer noch den Recoverykey zusätzlich erstellen. Dies geschieht unter der Verwendung der GUI eh automatisch und erzwungenermaßen.
Anmerkung zu Option 3: Wer ist bei klarem Verstand und fordert das? Wir hätten dann eine (enhanced) PIN, die quasi unüberwindbar ist und dahinter noch das Windows-Anmeldekennwort… es ist schwer, hier nicht von übertriebener Paranoia zu sprechen, wenn jemand dazu noch den USB-Key fordert. Beispiel: Enhanced PIN, 6 Zeichen mindestens, das wären bereits Abermilliarden (Zeichenanzahl ist dann pro Stelle ungefähr 100 und das noch hoch 6 macht ca. 10^12) von Möglichkeiten und nur 32 Versuche, diese PIN zu erraten…
Nebenbei: wie sieht es denn mit der Knackbarkeit des Recoverykeys aus, hier hat der Angreifer ja keinen Lockout zu befürchten… Der Recoverykey besteht aus den Ziffern 0-9, und ist 8x6=48 Stellen lang. Jedoch besteht die Anforderung, dass jeder Sechserblock kleiner ist, als 720896 und zudem durch 11 teilbar ist. Das ergibt einen Schlüsselraum von genau 2 hoch 128 (128 Bit), was dezimal 3,4 x 10 hoch 38 ergibt. (Cloud-Computing/Quantencomputer? Möge der Leser sich selbst ein Bild davon ergooglen, wie viele Kombinationen/Jahr realistisch sind: nur soviel: davon sind die Maschinen noch Lichtjahre entfernt). Es ist nicht quasi unmöglich, es IST unmöglich, auch mit Methoden der näheren Zukunft, einen TPM-Lockout per Bruteforcing zu umgehen.

Somit lautet meine Empfehlung für sichere Umgebungen je nach eigener Einschätzung PIN oder enhanced PIN. Länge ist bei der enhanced PIN quasi egal, bei der normalen wie gesagt: 6 Zeichen: die Chance ist kleiner als 1:30.000, 7 Zeichen nur noch ein 10tel davon, also kleiner als 1:300.000, usw.

Ok wir haben also c: verschlüsselt mit TPM+PIN, einen Recoverykey erstellt und gesichert und somit getan, was wir nur konnten, um das Laufwerk abzusichern, oder? Moment, wir haben noch ein paar Optionen außer Acht gelassen: die Wahl des Verschlüsselungsmodus‘.

Zunächst steht die Entscheidung an: wollen wir Software- oder Hardwareverschlüsselung nutzen? Festplatten, deren Controller bereits selbst Verschlüsselung unterstützt und diversen Standards genügt, können seit Windows 8 auch mit Hardwareverschlüsselung betrieben werden. Vorteil: höhere Performance des Storages und der Schlüssel wird nicht im RAM abgelegt. Nachteile: man vertraut nun nicht nur Microsoft, sondern auch noch dem Festplattenhersteller, sorgfältig zu arbeiten... und das hat sich gerade 2018 als Problem herausgestellt - kurzum: kann man machen, aber man sollte Vor- und Nachteile abwägen und sich informieren, ob das eigene Modell Probleme dabei hat. Hier ein externer Link zum Einrichten der Verschlüsselung auf beispielsweise Samsung SSDs:
https://helgeklein.com/blog/2015/01/how-to-enable-bitlocker-hardware-enc ...

Bei Softwareverschlüsselung muss man sich entscheiden, ob man used-space-only verschlüsselt, oder nicht. Die Wahl ist einfach: hatte man auf diesem PC einmal schützenswerte Daten, die jedoch zwischenzeitlich gelöscht wurden (Standardlöschung), dann bitte nicht used-space-only nutzen. Andernfalls kann man das guten Gewissens nutzen, um Zeit zu sparen. Des weiteren gehört zum Verschlüsselungsmodus der Algorithmus. Voreingestellt ist auf Windows 10: 128 Bit XTS_AES. Meint jemand, er bräuchte auch hier alles so sicher wie möglich, muss er entweder über die Kommandozeile (manage-bde -on c: -em -?) 256 Bit XTS AES nutzen, oder diesen Modus gleich per GPO systemweit erzwingen. Hat dies Nachteile für die Performance? Mit Sicherheit. Sind diese bemerkbar? Messbar mit Sicherheit, bemerkbar meiner Erfahrung nach nicht.

Ach ja, die liebe Performance: wie verhält es sich nun damit? Die Antwort ist einfach: das muss jeder selber praktisch messen und danach entscheiden. Eine Auskunft ist ebenso usecase-abhängig, wie unzuverlässig, da bei der Storageperformance einfach zu viele Faktoren eine Rolle spielen. Ich persönlich habe performancetechnisch keine Bedenken, BL irgendwo einzusetzen.

Ok, Strich drunter, kommen wir zu einem interessanteren Punkt, nämlich der zentralen Verwaltung in einer Domäne. Wer kein MBAM sein eigen nennt, wird schnell feststellen, dass das gut vorbereitet sein muss. Zentrale Zielsetzung ist neben Disaster-Recovery natürlich auch ganz simpel dafür Sorge zu tragen, dass der Admin den Rechner im Fall der Fälle starten kann und auch aus der Ferne updaten und dabei rebooten kann, ohne gleich in die Falle zu laufen, dass das Gerät an der Preboot-Authentifizierung hängen bleibt und von remote nicht mehr erreichbar ist. Daran ist selbstverständlich gedacht worden. Man kann per GPO erzwingen, dass ein Recoverykey erstellt und automatisch ins AD gespeichert wird (nicht einsehbar für den Nutzer), ja mehr noch, man kann (und sollte) sogar erzwingen, dass Bitlocker erst nach erfolgreicher Speicherung im AD überhaupt erst aktivierbar ist.
Der Recoverykey ist der letzte Strohhalm, an den sich der Admin klammern kann. Meiner Ansicht nach sollte man lieber einen weiteren dateibasierten Protektor automatisiert erstellen (siehe Erstellen eines dateibasierten Bitlockerprotektors zu Recovery- und Supportzwecken ) und diesen im Netzwerk gesichert wegspeichern. Diesen kann der Admin bei Bedarf auf einen USB-Stick kopieren und damit das Gerät bequem starten. Selbst wenn ein TPM-Lockout stattgefunden hat kommt man so noch an die Daten bzw. kann man so noch den Rechner booten!

Damit im Falle einer Wartung, die einen Reboot erfordert, auch aus der Ferne gearbeitet werden kann, lässt Microsoft zu, dass man Bitlocker für einen oder mehrere Reboots suspendiert
manage-bde  -protectors  -disable C: -rc x
(wobei x die Anzahl der gewünschten Reboots ist)
Das ist sehr praktisch. Zur Sicherheit wird nicht-Admins natürlich verwehrt, BL zu suspendieren. Im suspendierten Zustand kann die Platte ohne weitere Authentifizierung nicht nur gebootet, sondern auch offline gemountet und manipuliert werden, also Vorsicht damit!

Auch ist es fatal, mit den USB-basierten Keys liberal umzugehen, denn diese sind ebenso stark wie der Recoverykey! Nur die PIN kann guten Gewissens an Nutzer ausgegeben werden, keine Kennwörter, keine Recoverykeys und auch keine .bek-Files ausgeben. Mehr zu Do‘s and dont‘s kommt gleich und auch noch am Ende des Beitrags in der FAQ.

Die zentrale Verwaltung sollte dem Admin folgende Infos bieten:
  • sind alle Geräte (vollständig) verschlüsselt mit den gewünschten Parametern?
  • stehen (weiterhin) nur die erwarteten Protektoren zur Verfügung?
  • ist Bitlocker etwa suspendiert?
  • steht dem Admin ein Recoverykey und auch eine .bek-Datei für das Gerät zur Verfügung?

Wie man das macht, ist nicht weiter schwer. Über die Powershell gibt es cmdlets (siehe gcm | sls bitlocker), aber auch über Batch hat man einen mächtigen Befehl: manage-bde.exe, der keinen Wunsch offen lässt. Die Dokumentation bei Microsoft ist schnell gefunden und umfassend.

back-to-topDo‘s and Dont‘s


Im Laufe des Artikels ist vermutlich schon alles einmal angesprochen worden. Das Wichtigste sei hier zum x-ten Male wiederholt:

1. wer seinen Nutzern keinen Vollzugriff auf die Platte gewähren mag, der braucht ein TPM!
2. wer nicht verstanden hat, wie mächtig Recoverykeys und .bek files sind, der sollte dies tunlichst nachholen!
3. die Länge von PINs ist nicht wirklich kriegsentscheidend, solange denn überhaupt eine vorhanden ist, ist man hinreichend sicher!
4. Backups sind immer wichtig. Backup und Restore muss ausprobiert werden, bevor es zum Ernstfall kommt. Ob ihr es zulassen wollt, dass Bitlocker während des Backups suspendiert wird, müsst ihr wissen. "Gute" Backupsoftware wird das im Onlinemodus nicht benötigen und aus Sicherheitsgründen ist davon abzuraten, zu suspendieren. Beim Restore muss das Laufwerk, welches überschrieben wird, natürlich gemountet sein.

back-to-topAngriffsszenarien


Es ist wichtig, sich über vorhandene Möglichkeiten im Klaren zu sein, die ich kompakt umreißen werde:
unverschlüsselte Backups: wenn man nicht gerade eine Sektorkopie herstellt, sind die Datei- und Imagebackups natürlich unverschlüsselt. Wer das nicht versteht, macht mit leicht zugänglichen Backups natürlich den besten Schutz kaputt.
Nutzer fragt „für eine Dienstreise“ vorsorglich nach dem Recoverykey – warum sollte er den überhaupt haben wollen? Er hat sich eine PIN zu merken, 6 Stellen, das sollte doch machbar sein. Wenn er nun tatsächlich diese PIN vergisst und gerade in einer anderen Zeitzone steckt, so dass die Admins hier nicht erreichbar sind, dann fällt das unter „Shit happens“. Ein Recoverykey gehört nicht in Nutzerhand. Wenn man ihn rausgeben musste, weil „Order de Mufti“, gehört danach das Gerät neu installiert und evtl. vorhandene Hashes sind nicht mehr als sicher anzusehen.
Brute-force: Bei PBA-Verwendung ein unsinniger Gedanke. Kompletter Unsinn. Wer mit Kennwörtern arbeitet ist eh selbst Schuld; und wenn schon, dann bitte sehr lange Kennwörter.
Malware: natürlich kann Malware so einiges. Aber ohne dass sie Adminrechte erlangt, kann sie zumindest nicht entschlüsseln.
Cold Boot Attacken: ein interessanter Punkt für die diejenigen, die sich für transparente Verschlüsselung oder network unlock entscheiden. Danach denkt Ihr evtl. anders darüber: https://www.youtube.com/watch?v=JDaicPIgn9U – dies ist ein Problem fast aller Verschlüsselungen und nicht auf Bitlocker beschränkt.
DMA-Attacken: Wer die entsprechenden GPOs nicht aktiviert, ist selber Schuld. Unbedingt berücksichtigen, siehe http://blog.win-fu.com/2017/02/the-true-story-of-windows-10-and-dma.htm ...
Knacktools: Kompletter Humbug. Auch diese kochen nur mit Wasser und erfolgreich werden sie nur sein, wenn man entweder mit schwachen Kennwörtern arbeitet, oder der Angreifer gar Zugriff auf memory dumps („vollständiges Speicherabbild“, zugänglich z.B. über Systembackups) hat.
Software-Keylogger sind glücklicherweise kein größeres Problem, da sie die PIN nicht mitschneiden können.
Hardware-Keylogger sind selbstverständlich das größte Problem und es gibt dagegen keine ordentliche technische Lösung, die über die Grundsätze von „physikalischer Sicherheit“ hinausgeht! Wer in der Lage ist, die PIN und das Anmeldekennwort mitzuschneiden, der ist „drin“.
Nutzer, die die PIN aufschreiben und den Zettel in der Laptoptasche verwahren – ja, was soll man sagen… am besten schreiben sie noch Ihren Nutzernamen und Kennwort gleich mit drauf, oder? Wenn schon, denn schon face-smile Nun, denen ist nicht zu helfen. Ohne Windows-Anmeldekennwort ist die PIN jedoch nicht viel wert.
Antreffen des Gerätes im suspendierten Zustand (Bitlocker ist suspendiert): das ist ein großes Problem. Szenario: Backup findet statt, wobei manche Imagingsoftware Bitlocker automatisch suspendiert. Nutzer fährt den PC genau dann runter! Es ist wichtig, bei jeder Suspendierung, die nicht in Zeitraum x: wieder aufgehoben wird, Alarmmails raus zu senden.
Inplace-Upgrades: ein weiteres großes Problem. Diese sollten nur stattfinden, wenn das Gerät in dem Zeitraum physikalisch sicher ist , siehe Admin werden dank des Windows 10 Upgrade-Setups ,denn hierbei wird BL gleich mehrfach suspendiert.
Plausible deniability bietet Bitlocker nicht - lassen wir hier lieber die Kirche im Dorf. Bei Folter oder ähnlichem hilft keine BL-Verschlüsselung und auch bei aller Liebe vermutlich keine „plausible deniability“ anderer Verschlüsselungen.
Evil Maid Angriffe: siehe https://www.schneier.com/blog/archives/2009/10/evil_maid_attac.html - bei Verwendung von SecureBoot und eines TPMs ist dies stark erschwert, weshalb SecureBoot als ergänzende Maßnahme unbedingt genutzt werden sollte!

back-to-topFAQ


Ich stelle nun noch Antwortversuche auf Fragen aus, die mir in all den Jahren gestellt wurden:

Welche Geräte werden mit TPM ausgeliefert?
Obwohl viele Windows-10 kompatible Mainboards einen Sockel für ein TPM besitzen, ist dieser meist leer. Geräte mit vorinstalliertem TPM sind in der Regel Notebooks der Businessklasse.

Ich habe ein Mainboard mit sogenanntem TPM-Header, dieser ist jedoch nicht bestückt (Sockel ist leer) – kann ich ein TPM jederzeit nachrüsten?
Ja!

Wo beschafft man diese TPM-Module und was kosten sie?
Es gibt verschiedene und man sollte beim Hersteller nachfragen oder -lesen, welches zum PC passt.
Die Kosten sind sehr unterschiedlich, bei Servermainboards gerne um die 50€, bei Standardmainboards meist irgendwo im Bereich 10-20€.

Wie kann man sicher sein, dass Microsoft keine Nachschlüssel hat oder Schlüsselmaterial an ungeliebte Dritte überträgt? Man kann nicht sicher sein, jedoch ist die Frage in den meisten Fällen ziemlich sinnlos, da ein mit dem Internet verbundenes System theoretisch eh alle Tastaturanschläge via Internet abfließen lassen könnte, wenn es nur will.

Sind nicht Truecrypt/Veracrypt besser?
Technisch sicherlich gut oder gar besser, kann man nicht von einem durchdachten Konzept sprechen, was die Verwaltbarkeit angeht, und auch die Nutzerhierarchie ist nicht umsetzbar. Aus meiner Sicht sind diese beiden deshalb für den Unternehmensbetrieb unbrauchbar.

Wenn selbst MBAM den Nutzern schon ermöglicht, einen Recoverykey im Self-Service zu erlangen, wie kann dieser in deren Händen so gefährlich sein?
MBAM kann so konfiguriert werden, ja, aber das würde niemals so empfohlen, falls das Szenario ist „Nutzern wird nicht vollständig vertraut“.

Ist der Betrieb ohne MBAM überhaupt übersichtlich verwaltbar?
Ansichtssache. Ich würde sagen, ja. Wer wie ich keinen Overhead mit clientseitigen Agents und fetten Serverkonsolen mag, wird mit etwas Skripting genau so gut fahren, siehe Bitlocker-Verschlüsselung und -Monitoring ohne MBAM .

Kann man Bitlocker nicht doch irgendwie auf der Home Edition bzw. auf Win7 Pro betreiben? Klar, man kann, Möglichkeiten für Bitlocker auf Windows 10 oder 11 Home . Ob das legal ist (ich wüsste nicht, wieso nicht), sollen aber andere entscheiden.

Kann man mit Bitlocker to go gesicherte Sticks auf eine Weise nutzen, dass diese nur auf definierten Geräten nutzbar sind? Ja, man kann. Zumindest funktionieren sie dann nur auf Domänengeräten, siehe USB-Stick-Verschlüsselung im Unternehmen - leicht gemacht

Warum reicht es nicht aus, die Datenpartition zu verschlüsseln? Weil jeder Anfänger sich sonst in 5 Minuten zum Admin machen und einen Keylogger installieren kann, der das Kennwort für die Datenpartition mitschreibt.

Kann man Bitlocker auch in virtuellen Maschinen nutzen? Ja. Unter Hyper-V ist dies dank virtueller TPMs sogar sehr einfach geworden. Auch ohne diese kann man das gesichert tun, wenn man mit Schlüsseldateien arbeitet, die über Netzwerk von Shares auf physikalisch gesicherten Rechnern eingelesen werden, siehe Nutzung von Bitlocker in virtuellen Maschinen

Ist autounlock sicher oder nicht? Vollständig sicher würde ich es erst nennen, wenn Microsoft genauestens dokumentiert, wie der Key dabei benutzt wird. Aber im Rahmen der Dokumentation ist es sicher genug um es zu benutzen, wenn man eine verschlüsselte OS-Partition hat und damit automatisch eine Datenplatte/einen Stick mounten will.

Dauert die Einrichtung lange? Nein, sie ist im Vergleich zu anderen Verschlüsselungen, die ich kenne sogar eine der schnelleren. Mehrere Hundert MB/s beim Verschlüsseln sind möglich, wenn das Storage nicht gerade lahmt. Dauert es lange und die Rate liegt eher bei 10MB/s, liegt in der Regel eine Inkompatibilität vor. Da muss man dann Geduld haben.

Kann man BL während der Verschlüsselung runter fahren oder Suspendieren/Hibernation nutzen? Ja, kein Problem. Solange man nicht gerade hart ausschaltet, ist alles erlaubt.

Ist es wichtig, dass man dafür sorgt, dass das Gerät immer komplett runtergefahren wird? Jein. Man sollte stets eh einen Sperrbildschirm so konfigurieren, dass dieser nach dem Aufwachen aus jeder Form von Energiesparen sofort erscheint. Hat man dann noch die Anti-DMA-Policies gesetzt, sind keine Angriffsmöglichkeiten bekannt, die über eine Cold-Boot-Attacke hinausgehen. Letzere Attacke funktioniert bei Standby, bei Hibernation kann sie nur klappen, wenn man keine PBA benutzt.

Unterstützt Bitlocker Repartitionierung? Ja, wenn man diese mit diskpart oder diskmgmt.msc macht, schon. 3rd-Party-Tools hier nicht verwenden.

Unterstützt Bitlocker Fat32 oder REFS? Ja

Stimmt es, dass Bitlocker bei normalen Windowsupdates suspendiert? Ich konnte dies in all den Jahren und Windowsversionen noch nie beobachten, obschon ich die Berichte vor kurzem auch gelesen habe, die behaupten, dies wäre ein neuer Bug, den Microsoft noch in diesem Jahr fixen wolle.

Was sind meist die Gründe, wenn man ein Gerät im Recoverymode antrifft?
Meist hat jemand die Hardware verändert (Steckkarten eingebaut) oder die Bootoptionen verstellt (SecureBoot ausgeschaltet, Bootreihenfolge verändert…), oder gar ein Firmwareupdate versucht, ohne BL vorher zu suspendieren. In seltenen Fällen reicht auch ein Abdockvorgang des Laptops aus, aber das ist alles andere als die Regel.

Ist der Recoverymode reversibel, selbst ohne dass jemand den Recoverykey dafür nutzt? Ja, man muss das Gerät nur in den Zustand zurückbringen, den das TPM erwartet, sprich, die Änderungen rückgängig machen.

Wie kann es sein, dass ein Gerät auch ohne Einsatz eines TPMs irgendwie in den Recoverymode gelangt ist?
Das wird zum Beispiel dann möglich, wenn ein Admin auf der Kommandozeile unbedacht alle Protektoren außer dem Recoverykey löscht.

Kann man Protektorentypen (z.B. einzelne .bek files) mehrfach erstellen und auch bei Bedarf gezielt löschen? Ja. Man kann zum Beispiel mehrere Recoverykeys und mehrere .bek-Dateien erstellen und auch einzeln wieder löschen. Man kann jedoch nicht mehrere PINs haben oder mehrere Kennwörter.

Was passiert, wenn man das Rechnerobjekt mit den Bitlockerkeys löscht? Man verliert natürlich Zugriff auf diese Recoverykeys, aber mit der verschlüsselten Platte passiert gar nichts.

Kann man, wenn man es denn unbedingt will, zur besseren Übersicht veraltete Recoverykeys einzeln im AD löschen? Ja, das geht mit ADSIEdit.

Ich habe den Recoverykey verloren, aber noch die Recoverykey-ID – lässt sich daraus der Key rekonstruieren? Nein, die ID ist nichts als ein Name.

Unterstützt Bitlocker Hardware- und Software-Raid (letzteres nutzt dynamische Datenträger)? Hardware- ja, Softwareraid nein. Zudem werden Storage Spaces unterstützt..

Unterstützt Windows2Go Bitlocker? Ja, jedoch nur mit Passwort oder USB-Stick-basiertem Schlüssel – eine TPM-Nutzung ist logischerweise nicht sinnvoll.

Unterstützt Bitlocker virtuelle Festplatten (VHD/VHDX)? Ja, einwandfrei. Es funktioniert alles genau wie bei physikalischen Platten.

Beim Verschlüsseln eines USB-Sticks oder einer USB-Platte kommt die Frage, ob der kompatible oder der „neue“ Verschlüsselungsmodus benutzt werden soll – wann empfiehlt sich was?
Mit dem „neuen“ ist der Algorithmus XTS_AES gemeint. Diesen verstehen nur Windows 10 v1511 oder neuer bzw. Server 2016 oder neuer. Will man diese Wechseldatenträger auch an älteren Windowsversionen benutzen können, muss man zwangsläufig den kompatiblen Modus benutzen. Er ist marginal weniger sicher.

Unterstützt BL die Benutzung der geräteinternen Funktionen von selbst verschlüsselnde Platten („SED“)? Ja, seit Windows 8.1 werden diese unterstützt und man kann somit bessere Performance bekommen. Jedoch sollte man wissen, wie das alles funktioniert und selbst dann ist man nicht gefeit vor bösen Überraschungen, siehe Erschreckende Erfahrungen mit Samsungs Self Encrypting Drive und Bitlocker – seit dieser Erfahrung benutze ich nur noch Softwarebitlocker.

Kann man BL-verschlüsselte Platten klonen? Selbstverständlich, wenn man Sektorklonen z.B. mit dd oder Clonezilla im advanced mode ausführt, geht das.

Gibt es Versionsunterschiede bei Bitlocker? Ja, der auffälligste ist der Sprung von Win10 („Urversion 1507“) auf Win10 v1511 – ab 1511 wird XTS_AES unterstützt, bei vorigen Systemen nicht. Nutzt man also XTS_AES, kann man diese Geräte nur noch auf Win10 v1511 oder höher benutzen. Andere Unterschiede sind kaum relevant.

Kann man BL schon beim Setup aktivieren? Ja, das nennt sich pre-provisioning, siehe Kurzanleitung manuelles Pre-provisioning von Bitlocker
Kann WinPE mit BL umgehen? Ja, WinPE mittels einer Win10 Setup Disk booten, mit Shift F10 in die Kommandozeile gehen und manage-bde steht bereit für alle relevanten Aktionen.

Sollte man BL-Disks sicher überschreiben, wenn man sie weitergibt? Hm, man verschlüsselt doch gerade unter anderem aus dem Grund dies nicht mehr tun zu müssen… aber gut, wer Paranoia hat, löscht nochmal sicher mittels secure erase.

Kann man versuchen, Daten auf BL-verschlüsselte Festplatten, die defekt sind, von Datenrettern (Kroll Ontrack,…) wieder herstellen zu lassen? ja klar, wenn man denen den Recoverykey mitgibt, dann schon.

Kann man defekte, verschlüsselte Platten nun bedenkenlos zum Hersteller einschicken, auch wenn vertrauliche Daten darauf liegen? Eigentlich schon. Man sollte sich jedoch ggf. absichern, was hier die Firmenpolicy vorsieht. Hersteller bieten teilweise an, wenn man gute Gründe hat (militärische Daten, polizeiliche Daten,…) , diese Platte auch zu tauschen, wenn man ihnen nur die Zerstörung nachweist, zum Beispiel durch Zusendung des Festplatten-Gehäusedeckels.

Verbraucht Bitlocker zusätzlichen Festplattenplatz? Nein.

Unterstützt Bitlocker Multibooting? Bedingt ja. Ich habe hier mal beschrieben, wie es problemlos mit 2 Windowsinstallationen funktioniert: Bitlocker Dual Boot mit Win8.1 Will man jedoch ein gebitlocktes Windows und ein Linux zusammen booten, bin ich der falsche, um dafür Tipps zu geben und habe schon von vielen Problemen hierbei gelesen. Wenn schon, dann vorher mit VMs testen.

Wie reinstalliert man Windows auf einer gebitlockten Platte?
Am einfachsten ist es, die ganze Platte mit diskpart von Ihren Partitionen zu befreien (Achtung, alle Daten gehen dabei verloren): Setup booten, Shift F10 drücken um an die Kommandozeile zu gelangen und dort dann
diskpart
select disk x (x ist in der Regel 0, man kann das über list disk erfahren)
clean
nacheinander ausführen, dann Kommandozeile schließen und man kann neu installieren.

Ein bestimmtes Tool soll benutzt werden, um die Platte offline zu mounten und etwas mit den Daten zu machen (Backup oder ähnliches) – wie geht das? Diese Aktion wird nur dann gelingen, wenn das Tool entweder von WinPE aus startbar ist (denn WinPE unterstützt die manage-bde.exe), oder wenn das Tools selbst schon einen Bitlockertreiber hat und es explizit vorsieht.

Ich will das Adminkennwort einer gebitlockten Installation zurücksetzen – wie geht das?
Der utilman-Trick geht weiterhin, nachdem man die Platte vorher mittels Passwort oder Recoverykey (nicht PIN!) unter WinPE (Windows 10 Setup) mountet. Andere Tools wie das altbekannte von Herrn Nordahl funktionieren nicht auf verschlüsselten Platten, somit: utilman nutzen.

Eine verschlüsselte (USB-)Platte wird angeschlossen, lässt sich aber nicht mounten, die Verschlüsselung scheint defekt. Kann man mit dem Kommando repair-bde.exe Glück haben? Klar, man kann Glück haben, aber das kann auch sehr lange dauern und dann doch nicht zum gewünschten Resultat führen. Backups sollte man eh immer haben.

Ist Bitlocker stabil?
Meiner Erfahrung nach ist BL eindeutig eines von Microsofts stabilsten Features und macht sehr wenig Ärger.

Wenn ich Daten von der verschlüsselten Platte auf meine Dropbox kopiere, sind diese dann verschlüsselt oder nicht? Natürlich sind sie nicht verschlüsselt. Wer sich bei dieser Frage ertappt, sollte sich dringend klar machen, dass Bitlocker transparent arbeitet und Dateien auf Partitionen, die gemountet sind, vom Betriebssystem als offene/unverschlüsselte Daten angesehen werden und so auch übertragen werden. Will man Bitlocker unbedingt auf z.B. Dropbox oder per Mail nutzen, müsste man mit kleinen virtuellen Platten arbeiten.

Ich habe eine enhanced PIN (oder ein Kennwort) bei der Verschlüsselung von c: eingegeben, den Rechner neu gestartet, diese eingegeben und sie ist angeblich falsch. Woran liegt das?
Dann habt ihr zum einen schon den Test, den Windows vorschlägt, ausgelassen, was man nicht tun sollte und zum anderen Zeichen in eurer enhanced PIN drin, die im englischen Tastaturlayout nicht an der selben Stelle sitzen, wie im deutschen. Mit anderen Worten: Achtung: Die Bitlockereingabemaske unterstützt nur das Layout EN-US! Ein unter Windows festgelegtes Kennwort/enhanced PIN, was zum Beispiel lautet „Yeah12366#“, müsste man an der Startmaske eingeben „Zeah12366§“ - ist das nicht hässlich? Das ist ein großes Problem und nun wird auch klar, warum Microsoft als erste Option die transparente Nutzung bzw. die Nutzung mit PIN vorsieht, und erst dann die Möglichkeiten Passwort oder oder enhanced PIN: diese bringen Probleme mit sich, denn Microsoft hat beim Design mal wieder zu eingleisig an den US-Markt gedacht.
Wie behilft man sich nun? Man stellt einfach vorübergehend das EN-US Tastaturlayout ein, bevor man das Kennwort/die enhanced PIN festlegt! Dieser Workaround hilft in fast allen Fällen und ist tatsächlich der von microsoft empfohlene Weg.

Gibt es eine Möglichkeit von Single-sign-on bzw., kann man das BL-Kennwort mit dem Windowskennwort synchron halten?
Jein. Vorgesehen ist da rein gar nichts, Man kann es sich selbst basteln, aber ich würde nur erfahrenen Skriptern raten, überhaupt darüber nachzudenken. Der Ablauf eines solchen Skriptes (ich habe das schon eingesetzt) wäre so: Nutzer bekommt eine App zur Kennwortänderung, die sein Kennwort ändert und die enhanced PIN auf den gleichen Wert setzt. Ebenso könnte man dies Kennwort dann auch noch per autologon.exe zum direkten Einloggen verwenden. Dies ist nur ein Gedanke – er funktioniert auch, aber ich bitte zu bedenken, dass man hierbei Komplexitätsanforderungen berücksichtigen muss und den (siehe voriger FAQ-Punkt) Umstand, dass Bitlocker nicht alle Zeichen zulässt, da es von einem EN-US Tastaturlayout ausgeht. Zudem muss mit Rechteübergabe gearbeitet werden…

Was hat Bitlocker mit Windows‘ „Device Encryption“ gemein/zu tun? Device Encryption beruht auf der selben Technik. Es ist auch in den Homeversionen von Windows 8.1 und 10 verfügbar, aber nur unter Einhaltung von bestimmten Randbedingungen überhaupt nutzbar. Da es weitaus weniger Möglichkeiten bietet, hätte ich es an Microsofts Stelle „Bitlocker light“ genannt.

Auf welche Weise sollte man den Zugriff auf die Recoverykeys im AD delegieren?
Man kann den Delegation auf Control Wizard zwar dazu benutzen, aber es gibt einen besseren Weg, beschrieben hier: Ein besserer Weg zur Delegation of Control für Bitlocker Recoverykeys

Content-ID: 387449

Url: https://administrator.de/contentid/387449

Ausgedruckt am: 03.12.2024 um 17:12 Uhr

UweGri
UweGri 23.09.2018 aktualisiert um 22:11:21 Uhr
Goto Top
Recht vielen Dank! War viel Arbeit und heute ist Sonntag!

Zu guter Letzt: Wer ist Nutzer XY und warum („hoch-“)verehrt er mich?

Hm, ich? Aber da steht doch UweGri drunter und nicht XY. Warum? Deines Wissen wegen!


Frage (kommen sicherlich später noch mehr):

(Geheimschutz zum Beispiel erfordert speziell zugelassene Verschlüsselungen).

Kannst Du das bitte erläutern? Danke!

Gestatte mit folgende Bemerkungen:

In Sachen Chiffrierung muss man immer von den Möglichkeiten des stärksten Angreifers ausgehen. Das ist der Staat.

Normalerweise ist BL damit schon draußen, da MS zu 100% den US Geheimdiensten hörig sein muss. Ob es eine Hintertür gibt, ist damit aber nicht geklärt. Die NSA hat eher versucht, Algorithmen zu schwächen, korrekt: deren Umsetzung.

Aber: Problem 1 ist das TPM, dass nicht auf Schwachstellen prüfbar ist und Intels ME unterliegt. Diese wird im Sicherheitsbereich kritisch gesehen. Komischerweise liefert Intel an bestimmte US Institutionen Proz mit deaktivierter ME aus. Im Extremfall wäre über die ME das TPM zu blockieren und der Rechner gibt Probleme aus. OK, das ist theoretisch, aber Kryptografen gehen auch von theoretischen Szenarien aus. Zumal die Befehlsgewalt der ME von Intel als streng geheim eingestuft wird.

Ich selbst empfehle kein TPM.

Problem 2 ist die Manipulierbarkeit des Quelltextes durch bestimmter Organisationen. So kann die vom OS aktive Anzahl der Fehlversuche durchaus komplett deaktiviert werden. Siehe den Fall, als das FBI ein IPhone knacken wollten, und exakt deswegen Probleme hatten. Waren wohl die Israelis, die halfen …

BL sollte nie ohne EFS genutzt werden!

BL ist für Firmenumgebungen das Mittel der Wahl. Für einzelne PC mit Daten der höchsten Geheimhaltungsstufe aber zu hinterfragen.

Nach Snoden ist Trucrypt NSA sicher, bei korrekter Anwendung.

Stimmt es, dass Bitlocker bei normalen Windowsupdates suspendiert?

Ja, hier nachvollziehbar bei der neuesten W10pro und Server 2016 Standard. BL muss nach den Updates für C wieder gestartet werden. LW C wird im Explorer als mit "BL angehalten" markiert.


Auch chiffrierte Datenträger sind nicht frei verfügbar (z.B. an Datenretter) zu machen. Warum? Je länger sich chiffrierte Daten in fremden Händen befinden, um so mehr Ansätze gibt es zur Dechiffrierung. Die NSA speichert Billionen von chiffrierten Daten für den Tag X. Deshalb gehören z.B. TC Container nicht in die Cloud.

Wer diese meint in die Microsoft-Cloud (=OneDrive) laden zu müssen – auch möglich – wir vertrauen Microsoft ja eh schon unser digitales Schaffen an, sobald wir für direkten Internetzugang gesorgt haben, also: warum eigentlich nicht?

Nur weil es Diebe gibt, die brauchbar gute Türschlösser öffnen können, muss ich die Türschlösser nicht gleich weglassen. Dem Angreifer sollte es so schwer als möglich gemacht werden! 4 einfache Schlösser sind besser als ein gutes, es braucht für 4 einfache Schlösser mehr an Zeit.

Ein weiteres Problem unserer Zeit ist, alles muss effizient und zentral sein. Aber genau das sollte in der Chiffrierung vermieden werden. Ein per BL und EFS abgedichteter PC darf schlichtweg nur über eine lokale Benutzeranmeldung startbar sein.

Betrachte das bitte nicht als Kritik! Du hast einen anderen Gebrauchsbereich als ich. Zu Deinem Gebrauchsbereich ist Dein Artikel ohne Tadel.

Noch einmal ein Danke für Deine Arbeit!

Uwe
Henere
Henere 24.09.2018 aktualisiert um 02:09:14 Uhr
Goto Top
Servus, schön und verständlich geschrieben. !

Wie ist das mit StorageSpaces ? Wird oben leider nicht erwähnt. Zählt das zu Software-Raid ? Wird ja vom OS aus gesteuert.

Grüße, Henere
colinardo
colinardo 24.09.2018 um 16:35:39 Uhr
Goto Top
Top, schöne Übersicht. Auch von mir herzliches Dankeschön!

Grüße Uwe
DerWoWusste
DerWoWusste 28.09.2018 um 18:11:18 Uhr
Goto Top
Edit1, 28.09.18:
Formatierung verbessert,
Network unlock erläutert
Link zu den GPOs und Einstellungen gegen DMA-Attacken eingefügt
Storage Spaces als kompatibel ergänzt
UweGri
UweGri 28.09.2018 um 21:45:42 Uhr
Goto Top
Ich will das Adminkennwort einer gebitlockten Installation zurücksetzen – wie geht das?

Du solltest erwähnen, dass diese Methode bei Verwendung von EFS zum GAU führt. Danke für Deine weitere Arbeit. Uwe
C.R.S.
C.R.S. 11.10.2018 um 19:51:25 Uhr
Goto Top
Hallo DWW,

Dann müsste der Angreifer zum Rechnerstart schon den Recoverykey, eine 48-stellige Zahl, erraten – viel Glück dabei.

Das ist nicht ganz richtig, weil acht davon als Prüfziffern dienen. Das Recovery-Password hat (wie alle Bitlocker-Protectors) eine effektive Länge von 128 Bit.

Grüße
Richard
Henere
Henere 11.10.2018 um 22:07:41 Uhr
Goto Top
Mal ne Frage dazu, TPMs sind ja meinst nur auf das Board aufgesteckt.
Was passiert, wenn ich die Platten und den TPM mitnehme und das auf ein anderes Board stecke ?

Grüße, Henere
DerWoWusste
DerWoWusste 11.10.2018 aktualisiert um 22:50:27 Uhr
Goto Top
Moin C.R.S

Bezüglich recovery password: Richtig. Es gibt in der Tat diese Einschränkung: Recoverykeys (welche auch manuell festgelegt werden können) bestehen aus 8 Sechsergruppen, wobei diese Sechsergruppe zudem noch durch 11 teilbar und kleiner als 720896 (also 000000, 000011, 000022, …, 720885; pro Block sind das 65536 Möglichkeiten, das macht 2 hoch 16) sein muss, was die Möglichkeiten von 10 hoch 48 auf 2 hoch 128 = 3,4 x 10 hoch 38 zusammenschrumpft. Trotzdem noch zu hoch zum Bruteforcen.


@Henere
Der TPM gibt den Key nur Preis, wenn die Randbedingungen stimmen. Ändert sich das Board, gibt er den Key nicht her und der Angreifer muss den recovery key kennen.
Henere
Henere 11.10.2018 um 23:46:31 Uhr
Goto Top
Danke. Baugleiches Board ?
Oder spielen da auch Seriennummern und ähnliches eine Rolle ?
lcer00
lcer00 12.10.2018 um 08:35:41 Uhr
Goto Top
Hallo
Zitat von @Henere:

Danke. Baugleiches Board ?
Oder spielen da auch Seriennummern und ähnliches eine Rolle ?

Wie soll denn das Angriffsszenario aussehen? Ein fremdes TPM kennt den Key für die Festplatte nicht. Und wenn ich an das TPM komme, kann ich ja auch gleich den ganzen Rechner mitnehmen.

Grüße

lcer
DerWoWusste
DerWoWusste 12.10.2018 um 09:17:10 Uhr
Goto Top
Oder spielen da auch Seriennummern und ähnliches eine Rolle ?
Nee, gleiche Platinenfarbe reicht face-wink
Nein, so einfach ist das natürlich nicht. Das ist sehr komplex zu beantworten. Schau dir mal die GPOs zu Bitlocker an, was da zum Thema "PCR" festzulegen ist bzw. was der Default bei TPM 2.0 ist. Doku dazu
https://getadmx.com/?Category=MDOP&Policy=Microsoft.Policies.BitLock ...
https://docs.microsoft.com/en-us/windows/security/information-protection ...
https://technet.microsoft.com/de-de/library/mt604329(v=vs.85).aspx
https://trustedcomputinggroup.org/wp-content/uploads/TCG_PC_Client_Platf ...
DerWoWusste
DerWoWusste 09.11.2018 um 14:35:23 Uhr
Goto Top
Edit2, 09.11.2018
Artikel verlinkt, die
-die Verschlüsselung in virtuellen Maschinen beleuchten
-die Verwendung von dateibasierten Protektoren beschreiben

Zudem unter Do's and don't betont, dass man möglichst keine Backupsoftware einsetzen sollte, die eine Suspendierung von Bitlocker erfordert
DerWoWusste
DerWoWusste 11.11.2018 um 18:26:47 Uhr
Goto Top
Edit 3 11.11.2018

-Artikel verlinkt, der derzeitige Probleme mit / Gefahren von Hardwareverschlüsselungen erläutert
-Artikel verlinkt, der Skripte zur Aktivierung und Monitoring von Bitlocker ohne MBAM bereitstellt
DerWoWusste
DerWoWusste 28.01.2019 um 19:03:12 Uhr
Goto Top
Edit 4, 28.01.2019
Kurzanleitung manuelles Pre-provisioning von Bitlocker (Anleitung zum Pre-Provisioning) verlinkt.
Globetrotter
Globetrotter 26.02.2019 um 19:54:12 Uhr
Goto Top
Danke Dir!
DerWoWusste
DerWoWusste 30.04.2019 aktualisiert um 19:45:09 Uhr
Goto Top
Edit 5, 30.04.19: Link zu Kurztipp Bitlocker auf Windows Home eingefügt.
katerspike
katerspike 30.05.2019 um 21:57:11 Uhr
Goto Top
Hallo und zunächst einmal vielen Dank für diesen umfangreichen Artikel. Ich bin auf diese Seite / diesen Artikel gestoßen, da ich seit ein paar Tagen ein Problem mit Bitlocker habe und im Netz nun nach einer Lösung suche.
Folgendes ist passiert:
Der Speicherplatz auf der 128 GB SSD meines HP Envy x360 wurde langsam knapp und daher habe ich mich entschlossen eine größere Platte WD Blue 500 GB einzubauen.
Das Notebook läuft mit Windows 10 Pro und besitzt einen TPM 2.0 Chip.
Das Systemlaufwerk auf der alten ADATA SSD war mit Bitlocker verschlüsselt. Ebenso die "D" Partition der 2ten internen 1TB Festplatte. Beide Schlüssel waren auch im TPM gespeichert und beide Wiederherstellungsschlüssel liegen mir glücklicherweise auch im Klartext vor.
Ich habe mit der Software Paragon das komplette SSD Laufwerk mit allen Partitionen und die die "D" Partition der 2ten Festplatte auf ein externes USB Laufwerk gesichert. Dabei sagte Paragon bereits, dass die Sicherung keine Bitlocker Verschlüsselung mehr hat, was ja auch logisch ist!
Anschließend habe ich die alte SSD Festplatte ausgebaut und die neue eingebaut. Den Rechner habe ich dann mit dem zuvor erstellten Paragon Recovery USB Stick gestartet. Ich habe nun dass Backup auf die neue SSD zurückgespielt und dabei zusätzlich die Partitionsgröße der Windows Partition angepasst (vergrößert).
Nach der Wiederherstellung habe ich den Rechner auch problemlos mit der neuen SSD booten können. Der Zugriff auf Laufwerk D funktionierte erst, nachdem ich den Wiederherstellungsschlüssel eingegeben habe.
In der Bitlockerverwaltung konnte ich nun den Bitlocker für das Laufwerk C: aktivieren und für D: deaktivieren. Ich habe dann allerdings zunächst das D Laufwerk entschlüsselt und die TPM Informationen im Bios gelöscht.
Nach einem Reboot wurde TPM als betriebsbereit angezeigt und ich habe dann den Bitlocker für Laufwerk C aktiviert und nach der Prüfung hat mir Windows 3 Optionen zur Entsperrung vorgeschlagen:
1. Pin Eingabe
2. Entsperrung mit einem USB Stick
3. Automatische Entsperrung.
Ich habe Punkt 3 gewählt, da ich der Ansicht bin, dass der Schlüssel im TPM Chip gesichert wird.
Das System hat anschließend das Laufwerk verschlüsselt und zeigt nach der Fertigstellung den Status "Bitlocker angehalten" an. Auch nach einem Reboot ändert sich an dem Zustand nichts. Bitlocker ist nach wie vor angehalten, starten kann ich ihn augenscheinlich nicht.
Nachdem ich damals das ursprüngliche System von Windows Home auf Windows Pro aktualisiert hatte, habe ich meines Wissens nach "nur" den Bitlocker für beide Laufwerke aktiviert und alles war gut. Der Bitlocker war nach der Verschlüsselung im Status "Aktiviert / Ausgeführt".
Ich habe das Laufwerk noch mal entschlüsselt (Bitlocker deaktiviert) und testweise die Option "Pin verwenden" gewählt. Beim Start wird der Pin abgefragt und dann ist der Bitlocker aber wider im Status angehalten.
Die D Platte konnte dann übrigens wieder ganz normal verschlüsselt werden.

Das Problem trat mit Windows 10 - 1809 erstmalig auf, zwischenzeitlich hatte ich die Verschlüsselung noch mal deaktiviert und heute das ganze noch mal mit nach dem Update auf Build 1903 getestet. Aber das Problem besteht so weiterhin.

Für mich hat das erst mal nichts mit dem TPM Modul zu tun, sondern irgendwas hängt noch im Bitlocker "quer". Wahrscheinlich aus der alten Installation. Oder liege ich mit der Vermutung komplett daneben? Für den richtigen Denkanstoß wäre sehr dankbar!
DerWoWusste
DerWoWusste 31.05.2019 aktualisiert um 11:34:14 Uhr
Goto Top
Moin.

Da dein Problem mit dem Artikel nicht direkt zu tun hat, erstelle bitte jetzt eine Frage und kopiere deinen Text dort hin. Dann sieht auch die ganze Community, dass da eine neue Frage ist und ich beteilige mich dann dort.

Öffne bitte eine Kommandozeile elevated (per Rechtsklick auf cmd ->"als Administrator ausführen") und setze den Befehl
manage-bde -status c:
ab und kopier in deine Frage rein, was da kommt. Sollte kommen "Schutz angehalten", dann führ' mal aus
manage-bde -on c:
C.R.S.
C.R.S. 15.08.2019 um 23:47:36 Uhr
Goto Top
Hallo DWW,

auf die Vorteile einer Startup-PIN sollte verstärkt hingewiesen werden, da ein verhältnismäßig einfacher Angriff inzwischen öffentlich demonstiert ist und auch Microsoft seine Guidelines entsprechend angepasst hat: https://pulsesecurity.co.nz/articles/TPM-sniffing

Grüße
Richard
DerWoWusste
DerWoWusste 16.08.2019 aktualisiert um 08:20:52 Uhr
Goto Top
Moin.

Ja, das kam im März hoch. Ich gehe da mit Microsofts Resumee: "Bitlocker recommends if customers care about this level of attacks, that they use Pre-boot authentication." (LOL, MSRC wollte wohl schreiben "Microsoft recommends...")
Ich habe geschrieben "nur Personen mit erheblichem Know-How werden dies zu umgehen wissen" und ich finde, das passt weiterhin. "Verhältnismäßig einfach" ist das nur für Leute mit erheblichem Know-How, selbst mit der Anleitung.
DerWoWusste
DerWoWusste 05.09.2019 um 10:34:04 Uhr
Goto Top
Edit5, 05.09.2019: Anleitung zur Delegierung des Zugriffes auf Recoverykeys verlinkt: Ein besserer Weg zur Delegation of Control für Bitlocker Recoverykeys
Ebenso ein Beispiel für Angriffe auf TPMs verlinkt: https://pulsesecurity.co.nz/articles/TPM-sniffing
141472
141472 12.10.2019 um 11:34:51 Uhr
Goto Top
Interessante Übersicht!
Bei der Einrichtung habe ich allerdings folgende Meldung bekommen:
"Auf diesem Computer wird die Eingabe eines Bitlocker-Wiederherstellungskennworts beim Start nicht unterstützt. Bitten sie den Administrator, die Window-Wiederherstellungsumgebung zur Verwendung von Bitlocker zu konfigurieren."
Hast du einen Tipp was zu tun ist?
Vielen Dank im Voraus!
DerWoWusste
DerWoWusste 12.10.2019 um 11:48:25 Uhr
Goto Top
Google: activate bitlocker on slates. GPO setzen und für den Fall der Fälle externe Tastatur bereithalten
141472
141472 12.10.2019 um 20:16:20 Uhr
Goto Top
Wouw, die Anwendung des ersten Google Treffers hat mich auf eine Reise mit erhöhtem Adrenalin geschickt, weil mein Surface nicht mehr hochgefahren ist. Ich konnte zum Glück alles Rückgängig machen.
Inzwischen konnte ich die Lösung an anderer Stelle googeln:
reagentc /enable
war die ganz einfache Lösung
clavigo
clavigo 16.01.2020 aktualisiert um 15:39:37 Uhr
Goto Top
Toller Artikel, aber mir ist trotzdem nicht ganz klar, ob es noch andere Angriffsszenarien als die oben beschriebenen für jemanden gibt, der eine (vermutlich) mit Bitlocker verschlüsselte Festplatte in der Hand hält. Läuft es darauf hinaus, dass der Angreifer sich jedenfalls auch den Recovery Key besorgen muss?

Anlassfall: Eine (vermutlich) verschlüsselte Festplatte wurde beim Transport eines Firmennotebooks von Standort A nach Standort B mit interner Post aus dem Notebook ausgebaut und gestohlen. Jetzt stellt sich die Frage, wie hoch das Risiko ist, dass jemand doch an die Daten rankommt, womöglich jemand aus der Firma selbst.

Hat jemand eine Empfehlung für eine Checkliste, um zu einer Risikoeinschätzung zu kommen, zB mit Punkten dazu, wie durch den Systemadministrator nachgewiesen kann, dass Bitlocker vor dem Versand tatsächlich aktiviert, dh die Festplatte nicht unverschlüsselt auf die Reise ging?
DerWoWusste
DerWoWusste 16.01.2020 um 15:59:48 Uhr
Goto Top
Hi.

Stell bitte beim nächsten Mal eine separate Frage, dann kann das ganze Forum antworten und nicht bloß ich face-smile
Aber wo ich schon einmal hier bin...

Wenn Ihr die Verschlüsselung nachweisen wollt, dann muss ja eine Art Aufzeichung bestehen. Das könnte sein:
-Recovery key ist im AD abgespeichert
-MBAM (falls vorhanden) Dashboard
-Logdateien

Angriffsszenarien sind alle benannt worden.
-Wenn Bitlocker mit TPM mit PIN im Einsatz war, wird der Recoverykey die einzige Möglichkeit bleiben, um an die Daten zu kommen. Den kann man Stand heute nicht einfach brute-force-knacken.
-wurde ein Kennwort genutzt, kommt es darauf an, wie stark dieses war - ist es unter 10 Zeichen lang, könnte Brute-Force in kurzer Zeit zum Erfolg führen
-War TPM ohne PIN im Einsatz, lässt sich das Notebook ja sogar noch hochfahren - hier kann dann eine Coldboot-Attacke gefahren werden, welche bei entfernbarem hauptspeicher gute Erfolgschance hat

Vorausgesetzt, jemand hat wirklich Interesse an den Daten.
clavigo
clavigo 16.01.2020 aktualisiert um 20:24:30 Uhr
Goto Top
Vielen Dank DWW, bin Neuling und wusste nicht, dass hier nur du antworten kannst.

Das Notebook ist ja noch da, nur die Festplatte ist weg. Kommt es da überhaupt darauf an, ob TPM mit PIN im Einsatz war? So wie ich diese Kombination verstehe, legt Bitlocker den Schlüssel im TPM ab und verlangt beim Booten des Notebooks eine PIN bevor er den Schlüssel ausliest.

Der Dieb hat aber nicht das Notebook, sondern bloß die Platte, also bleibt ihm wohl nur der Wiederherstellungsschlüssel, um an die Daten zu kommen. Um jedes Risiko mit an Sicherheit grenzender Wahrscheinlichkeit auszuschließen wird nachzuweisen sein, dass die Festplatte zum Zeitpunkt der Transportübergabe tatsächlich verschlüsselt war und der Wiederherstellungsschlüssel nicht in falsche Hände gelangt ist oder gelangen wird.

Konkret geht es um eine Risikoabschätzung nach Art 33 DSGVO, um entscheiden zu können, ob der Aufsichtsbehörde eine Datenschutzverletzung zu melden ist.
Kuemmel
Kuemmel 06.07.2022 um 20:17:44 Uhr
Goto Top
@DerWoWusste
Ich muss mich jetzt leider auch mal mit BitLocker beschätigen... Folgende Ausgangslage:
Neues Notebook mit TPM 2, ich hätte allerdings gerne eine PIN-Abfrage beim starten des Rechners. Wenn ich es richtig sehe, muss ich, um diese Funktion nutzen zu können, eine GPO lokal am Notebook ändern, korrekt? Und wie verhält sich das Gerät, wenn es Mitglied einer Domäne ist? Wird der GPO-Wert dann nicht auf den Domänen-GPO-Wert zurückgesetzt wenn der umkonfiguriert ist? Kann ich mir da nicht was zerschießen?
DerWoWusste
DerWoWusste 06.07.2022 um 20:26:46 Uhr
Goto Top
Hi.

Stell doch eine Frage dazu separat ins Forum...nächstes Mal.
Ja, du musst diese GPO nutzen: https://www.howtogeek.com/262720/how-to-enable-a-pre-boot-bitlocker-pin- ...
Diese PIN kann lokal gesetzt werden oder als Domänen-GPO, wie jede andere GPo auch.
Wenn eine PIN gesetzt ist und das Gerät dann nachträglich in die Domäne genommen wird und die Domänen-GPOs das Setzen einer PIN nicht vorsehen (und diese Dom-GPOs natürlich die lokalen überstimmen), bleibt die PIN dennoch erhalten. Zerschießen kann man sich nichts.
Kuemmel
Kuemmel 06.07.2022 um 20:29:55 Uhr
Goto Top
Das heißt auch wenn die Domäne angenommen den GPO-Wert zurücksetzen würde, kommt beim Boot dennoch die PIN-Abfrage?
DerWoWusste
DerWoWusste 06.07.2022 um 20:32:45 Uhr
Goto Top
Das heißt es, ja.
Kuemmel
Kuemmel 06.07.2022 um 20:36:12 Uhr
Goto Top
Super, danke wie immer für deine Hilfe! face-smile
IllusionFACTORY
IllusionFACTORY 23.02.2023 um 09:19:59 Uhr
Goto Top
Danke für den tollen Artikel. Habe jetzt auch noch eine Frage - in der Hoffnung, dass ich die Antwort nicht übersehen habe face-smile

Wir arbeiten im HomeOffice und schalten uns per VPN Remote auf die lokalen Maschinen (WakeOnLAN). Das schließt meiner Meinung nach alle Optionen bis auf die Windows-Anmeldung aus.

Wenn der Rechner aber ohne eine Authentifizierung von der Festplatte bis zum Login booten kann - wie kann die Festplatte dann verschlüsselt sein?

Danke und Gruß,
Martin
DerWoWusste
DerWoWusste 23.02.2023 um 14:37:05 Uhr
Goto Top
Hi Martin.

Du willst die transparente Verschlüsselung nutzen. Der Schlüssel kommt automatisch aus dem TPM. Die Platte ist verschlüsselt und der Zweck, die Daten zu schützen, ist erreicht. Du lässt jedoch mehr Angriffsmöglichkeiten zu.

Genauer steht es in der Tat im Artikel:
Mit einem TPM hat man die Wahl, eine transparente Authentifizierung zu wählen, das bedeutet, der TPM-Chip verwahrt den Schlüssel und wird vom Bootloader von Windows bei jedem Rechnerstart gebeten, diesen zu übergeben. Resultat: zum Starten drückt man den Einschalter – sonst nichts. Die Daten sind dennoch vor Manipulation weitgehend geschützt und nur Personen mit erheblichem Know-How werden dies zu umgehen wissen. Wer eine ungefähre Vorstellung von dem Aufwand bekommen will, lese https://pulsesecurity.co.nz/articles/TPM-sniffing (das soll jedoch nicht heißen, dass dies die einzige Möglichkeit ist. Cold-Boot-Attacken werden im Abschnitt Angriffsmöglichkeiten beschrieben.

Zwischenfrage: Was steht bei transparenter Verschlüsselung noch zwischen einem Angreifer und den Daten?

Na, das Windows-Anmeldekennwort. Muss dieses für guten Schutz nun besonders kompliziert sein? Nein, muss es (zumindest für diesen Zweck) nicht, denn niemand wird willens und in der Lage sein, an der Anmeldemaske manuell einen Brute-Force-Angriff zu starten. Bereits ein 6-stelliges Kennwort, was nur aus Kleinbuchstaben besteht, wäre auf diese Weise manuell nahezu unmöglich zu brute-forcen - selbst mit programmierbaren Tastaturen würde das Jahrzehnte dauern, da Windows Anti-Hammering-Techniken an der Anmeldemaske einsetzt und Verzögerungen von mehreren Sekunden einbaut. Wer sich fragt, ob es nicht einen Zugang über den eingebauten Administrator gibt, der ja im abgesicherten Modus aktiviert wird, vergisst gleich zwei Dinge: Erstens ist dieser Modus nicht erreichbar, wenn ein TPM in dieser Weise verwendet wird und zweitens wird bei Domain-joined Geräten diese Möglichkeit (Administrator wird aktiviert im abgesicherten Modus) per se schon nicht erlaubt.
9214133300
9214133300 19.10.2023 um 22:36:50 Uhr
Goto Top
Hallo,
Sie schreiben:
Man kann übrigens per GPO einstellen, dass bei x-facher Fehleingabe des Anmeldekennworts der Rechner runter gefahren wird UND Bitlocker in den Recoverymode geht.

Wo ist diese GPO? Ich kann sie leider nicht finden (aktuellste Windows 10-Version). Wurde die zwischenzeitlich entfernt? Gibt es die in Windows 11?

Danke und Grüße
7907292512
7907292512 19.10.2023 aktualisiert um 23:15:56 Uhr
Goto Top
Zitat von @9214133300:

Hallo,
Sie schreiben:
Man kann übrigens per GPO einstellen, dass bei x-facher Fehleingabe des Anmeldekennworts der Rechner runter gefahren wird UND Bitlocker in den Recoverymode geht.

Wo ist diese GPO? Ich kann sie leider nicht finden (aktuellste Windows 10-Version). Wurde die zwischenzeitlich entfernt? Gibt es die in Windows 11?

Danke und Grüße

Interactive logon: Machine account lockout threshold

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

The security setting allows you to set a threshold for the number of failed sign-in attempts that causes the device to be locked by using BitLocker. This threshold means, if the specified maximum number of failed sign-in attempts is exceeded, the device will invalidate the Trusted Platform Module (TPM) protector and any other protector except the 48-digit recovery password, and then reboot. During Device Lockout mode, the computer or device only boots into the touch-enabled Windows Recovery Environment (WinRE) until an authorized user enters the recovery password to restore full access.

Gruß Sid.
KKSupervisor
KKSupervisor 27.11.2023 um 14:02:37 Uhr
Goto Top
Zunächst viele Dank für Deine Arbeit. Das hat Dich bestimmt etliche Stunden Lebenszeit gekostet ...

Vielleicht kannst Du mir bei einem Problem helfen bzw. einen Denkanstoß geben.

Ich verwende BitLocker für unsere Sicherungsfestplatten (externen USB 3.0 HDD).

Über manage-bde habe ich das automatische Entsperren aktiviert.

Jetzt ist mir aufgefallen, dass auto unlock nur funktioniert, wenn der lokale Administrator oder der Domain-Admin nicht länger als 2h gesperrt ist.

Wenn die angemeldete Sitzung länger als 2h inaktiv ist / gesperrt ist funktioniert das automatische Entsperren nicht mehr.

Kannst Du mir sagen woran das liegt bzw. gibt es einen Workaround dafür?

Die Sicherungsmedien werden in Rotation durch die Geschäftsleitung mit nach Hause genommen.

Bisher war der Wechsel kein Problem da ich als Admin die Festplatten immer selbst getauscht habe und meist zur Kontrolle zeitnah nach Tausch auf dem Hyper-V Server angemeldet war (Wir haben jetzt auf Windows Server 2022 mit Hyper-V umgestellt.

Aufgefallen ist mir das Problem durch schulungsbedingte Abwesenheit. Das Sekretariat hat in diesem Zeitraum die HDD für mich getauscht. Wie bisher HDD abgezogen und HDD wieder angesteckt.
Alle Sicherungen sind Fehlgeschlagen weil die HDD nicht automatisch entsperrt wurde.

Melde ich mich mit einem lokalen Administrator / Domain-Admin an, sperre die Sitzung, tausche dann die HDD innerhalb von 2 h, funktioniert das auto unlock einwandfrei. Sobald die Sitzung länger als 2h gesperrt ist, funktioniert auto unlock nicht.

Habe noch keine Lösung für dies Konstellation finden können.
DerWoWusste
DerWoWusste 27.11.2023 um 14:33:39 Uhr
Goto Top
Moin.

Mach bitte eine eigene Frage auf, dann können alle teilnehmen.

Vorab: ich kenne das Verhalten nicht. Workaround ist möglich, nimm einen geplanten Task, der an das Einsteckevent gekoppelt ist und per Kommando die Platte entsperrt.
KKSupervisor
KKSupervisor 27.11.2023 um 15:56:51 Uhr
Goto Top
Danke für die Rückinfo.
C.R.S.
C.R.S. 03.02.2024 um 19:59:13 Uhr
Goto Top
TPM-Sniffing weiter verbessert: https://www.youtube.com/watch?v=wTl4vEednkQ
DerWoWusste
DerWoWusste 03.02.2024 um 22:09:28 Uhr
Goto Top
Sehr schön. Nehme ich auf, Danke!