Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Meine Wissenssammlung zu Bitlocker

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

23.09.2018, aktualisiert 30.04.2019, 6027 Aufrufe, 18 Kommentare, 17 Danke

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte dieses Thema hat und wie oft Funktionen von Bitlocker missverstanden wurden.

Ich habe nach fast 12 Jahren Bitlockernutzung im Unternehmen vor, in diesem Artikel alles aus meiner Sicht Wissenswerte zusammenzutragen inklusive FAQ, die ich gerne erweitere ,und später weitere Artikel zu spezielleren Unterthemen zu schreiben und hier zu verlinken. Wenn Ihr Interesse an Veränderungen des Beitrags haben solltet, dann setzt diesen Beitrag einfach in Eure Favoritenliste, dann bekommt Ihr bei Veränderung Nachrichten.

Vorüberlegungen

Wer braucht eine Verschlüsselung?

Jeder, der Grund zur Annahme hat, seine Daten könnten gegen seinen Willen und ohne sein Wissen eingesehen oder manipuliert werden, braucht eine Verschlüsselung dieser Daten, sicherheitshalber sogar des kompletten Betriebssystems. Alle in Windows integrierten Schutzmaßnahmen sind wirkungslos, wenn das Gerät unverschlüsselt ist und offline (z.B. von einer Bootdisk) manipuliert wird. Anmeldekennwörter und Firmwarekennwörter (Bios/UEFI) sind zum Schutz nicht geeignet. Jeder ernstzunehmende Penetrationstest wird schnell die Frage nach einer Festplattenverschlüsselung aufkommen lassen und ohne diese kein gutes Zeugnis ausstellen.

Warum Bitlocker und nicht eine andere Verschlüsselung?


Andere Verschlüsselungen bieten andere Möglichkeiten, zum Beispiel stärkere Verschlüsselung/andere Algorithmen, Einsatz von Smartcards und umfangreichere Verwaltungskonsolen – man sollte prüfen, ob diese Dinge wichtig sind. Auch kann Bitlocker evtl. nicht gewisse Auflagen erfüllen, die an Euren Datenbestand gestellt werden (Geheimschutz zum Beispiel erfordert speziell zugelassene Verschlüsselungen).

Ich sehe für den Großteil der Anwender jedoch keinen Grund, eine andere Verschlüsselung zu wollen. Selbst in Firmen, die eine hohe Verwaltbarkeit wollen, bietet Bitlocker mit MBAM, welches kostenlos als Teil der Windows-Enterprise-Lizenz (bzw. als Teil von SA-Verträgen) erhältlich ist, einen Weg. Auch ohne MBAM kann man alles Erdenkliche über GPOs und Skripting regeln. Vorteil Nummer 1 aus meiner Sicht ist somit: hohe Verwaltbarkeit ohne Zusatzkosten.

Vorteil 2 ist eine hohe Kompatibilität sowohl zum Betriebssystem und dessen Updatingprozessen (logisch) als auch zu Drittanwendungen. Wir nutzen Bitlocker seit Ende 2006 auf Clients und (etwas später) auch auf Servern – noch ist mir keine Drittanwendung untergekommen, die damit ein Problem hatte. Backup/Restore funktioniert ebenso problemlos, ebenso beispielsweise sogar Größenänderung von verschlüsselten Partitionen.

Zum Dritten ist da die Möglichkeit, eine Hierarchie bei den Endnutzern zu gebrauchen: wir können als Admins in Firmen entscheiden, ob wir den Nutzern die volle Gewalt über die Maschine geben (Nutzern kann Gerät nicht nur starten, sondern bei Bedarf auch entschlüsseln und offline manipulieren), oder aber dem Nutzer lediglich das Recht zu geben, die Maschine zu booten. Schaut man bei anderen Verschlüsselungen genauer hin, stellt man manchmal fest: „ups, das kann die gar nicht“. Dieser Punkt darf nicht unterschätzt werden; er ist in gesicherten Umgebungen entscheidend und schließt viele Verschlüsselungen von vorn herein aus.

Wofür kann Bitlocker benutzt werden?


Bitlocker (im Folgenden: „BL“) kann für das Verschlüsseln einzelner Partitionen oder auch ganzer Festplatten genutzt werden. Dies umfasst MBR- und GPT-Platten und erlaubt das Verschlüsseln der OS-Partition. Es kann ebenso für Wechseldatenträger/USB-Sticks genutzt werden und unterstützt hierbei sowohl Fat32 als auch NTFS.

Welche Beschränkungen gibt es?
Es kann nicht genutzt werden, um Dateien oder Ordner zu verschlüsseln.
BL kann auch nicht auf dynamischen Datenträgern (Windows-Software-Raid) benutzt werden.
Bitlocker kann weder auf Windows 7 Professional benutzt werden, noch auf der Home Edition von Win7/8.x/10 (jedenfalls nicht ohne Weiteres, es gibt jedoch einen Weg, siehe https://administrator.de/wissen/m%C3%B6glichkeiten-bitlocker-windows-10- ... ).

Erläuterung der Funktionen


Festplattenvollverschlüsselung sollte Teil jeder Security-Baseline sein. Will man, dass Nutzer/Putzpersonal/wer auch immer die Festplatte ausbaut und Daten ausliest? Nein! Will man zulassen, dass jemand Bootdisks nutzen kann und sich selbst zum Administrator macht oder ggf. vorhandene Passworthashes von Administratoren „erntet“ und nun knacken kann? Mit Sicherheit nicht. Bitlocker schützt hiervor, wenn es in der in der von Microsoft vorgeschlagenen Weise verwendet wird.

An Hardware wird ein TPM-Modul zwar nicht vorausgesetzt, jedoch sollte man sich im Klaren sein, was es bedeutet, Bitlocker ohne TPM zu betreiben: man übergibt dem Endnutzer ohne TPM die volle Kontrolle über seine Festplatte und er kann weiterhin machen, was er möchte: Daten auslesen, Hashes knacken… ganz klar: ohne TPM sollte man es nur im persönlichen Betrieb nutzen und dann auch nur mit einem starken Kennwort (Länge ist hier Ermessenssache, aber sicher nicht unter 15 Zeichen) oder separat zu verwahrendem USB-Stick als Schutz.

Womit wir schon bei der Umsetzung sind: wie verschlüsselt man?
Der mit einem modernen Gerät ausgestattete Endanwender prüft zunächst, ob er ein einsatzbereites TPM zur Verfügung hat und öffnet das mmc-Snapin tpm.msc. Das Snapin teilt evtl. mit, dass kein TPM vorhanden ist – das ist schlecht, denn nun muss er sich die Frage stellen, ob er wirklich fortan mit einem Windows-Bitlocker-Bootkennwort hantieren will und ob er dieses allen Nutzern des Rechners (Mitbewohner/Kinder inklusive) auch mitteilen will, denn es erlaubt weiterhin volle Kontrolle über die Festplatte.
Ich gehe zunächst einmal davon aus, dass kein TPM vorhanden ist, aber man sich entschließt, dennoch BL zu nutzen und auch keine solchen Bedenken hat. Dazu verlinke ich mal Franks Artikel https://www.administrator.de/wissen/bitlocker-laufwerkverschlüsselu ... , wobei ich darum bitte, die anderen Hinweise hier, die bei Frank fehlen, ernst zu nehmen.

Hat man jedoch ein TPM, kommt in tpm.msc evtl. sogleich der Hinweis, dass dieses eine Sicherheitslücke aufweist, die man tunlichst schließe sollte. Das könnte erreicht werden durch das Installieren eines Firmwareupdates https://www.administrator.de/wissen/hilfe-beschaffen-infineon-tpm-update ... für das Mainboard bzw. den Laptop. Wird kein solches Problem angezeigt, kann es losgehen und man prüfe, ob das TPM als einsatzbereit gilt. Ist es nicht einsatzbereit oder wider Erwarten gar nicht vorhanden, obwohl der Hersteller angibt, das Gerät hätte ein solches, muss man es in der Firmware (Bios/UEFI) ggf. erst einschalten und aktivieren. Die TPM-Betriebsmodi 1.2 oder 2.0 haben Unterschiede und man sollte 2.0 wählen sofern man ein UEFI Bios hat und auch Windows auf einer GPT-Festplatte installiert wurde. Auskunft darüber erteilt das Kommandozeilentool diskpart (diskpart →list disk →Sternchen unter GPT vorhanden? Alles klar, TPM kann auf 2.0 gestellt werden, falls es das nicht eh schon ist). Zu beachten ist hierbei, dass in mancher Firmware nicht von „TPM 2.0“, sondern von „Intel PTT“ die Rede ist, was aber für BL das Selbe bedeutet. Wichtig: hat man nur die Wahl TPM 2.0, MUSS man Windows in UEFI installieren. Hat man in diesem Fall Windows bereits im MBR-Stil installiert, und würde gerne dennoch das TPM auf 2.0 umstellen, muss man vorher eine Konvertierung von MBR auf GPT vornehmen. Das geht (nach Sicherheitsbackup) normalerweise schmerzlos und schnell mit dem eingebauten Tool mbr2gpt.exe.

Gut, wenn ein einsatzbereites TPM vorliegt, kann es bald losgehen (ein Backup der Daten setze ich voraus). Die einzige Entscheidung, die noch aussteht, ist, wie das Starten des Rechners denn fortan aussehen soll:

  • gibt es mehrere Nutzer des Gerätes, die vollstes Vertrauen genießen?
  • gibt es nur einen Nutzer, der vollstes Vertrauen genießt?
  • oder vertrauen wir mindestens einem Nutzer nicht vollständig?

Was heißt denn eigentlich „vertrauen“? Auch wenn ich es schon geschrieben habe, hier ein weiteres Mal: sobald wir nicht wollen, dass andere Nutzer volle Kontrolle über die Festplatte bekommen, kann man bereits von nicht vertrauenswürdigen Nutzern sprechen und muss dementsprechend handeln. Der Normalfall in Firmen sollte sein: wir vertrauen den Nutzern nicht.
Der Normalfall zu Hause kann hingegen sein: einige, die wir wissentlich an den Computer lassen (Kinder, Ehepartner, Freunde, Mitbewohner), sollen den Rechner zwar starten können, aber ihnen sollen einfache Wege genommen werden, Admin zu werden, oder gar an unsere Daten zu kommen. Evtl. wollen wir aber auch, dass das Gerät nicht einmal für andere als uns selbst startbar ist. Das lässt sich wie folgt umsetzen:

Mit einem TPM hat man die Wahl, eine transparente Authentifizierung zu wählen, das bedeutet, der TPM-Chip verwahrt den Schlüssel und wird vom Bootloader von Windows bei jedem Rechnerstart gebeten, diesen zu übergeben. Resultat: zum Starten drückt man den Einschalter – sonst nichts. Die Daten sind dennoch vor Manipulation weitgehend geschützt und nur Personen mit erheblichem Know-How werden dies zu umgehen wissen.

Zwischenfrage: Was steht bei transparenter Verschlüsselung noch zwischen einem Angreifer und den Daten?

Na, das Windows-Anmeldekennwort. Muss dieses für guten Schutz nun besonders kompliziert sein? Nein, muss es (zumindest für diesen Zweck) nicht, denn niemand wird willens und in der Lage sein, an der Anmeldemaske manuell einen Brute-Force-Angriff zu starten. Bereits ein 6-stelliges Kennwort, was nur aus Kleinbuchstaben besteht, wäre auf diese Weise manuell nahezu unmöglich zu brute-forcen - selbst mit programmierbaren Tastaturen würde das Jahrzehnte dauern, da Windows Anti-Hammering-Techniken an der Anmeldemaske einsetzt und Verzögerungen von mehreren Sekunden einbaut. Wer sich fragt, ob es nicht einen Zugang über den eingebauten Administrator gibt, der ja im abgesicherten Modus aktiviert wird, vergisst gleich zwei Dinge: Erstens ist dieser Modus nicht erreichbar, wenn ein TPM in dieser Weise verwendet wird und zweitens wird bei Domain-joined Geräten diese Möglichkeit (Administrator wird aktiviert im abgesicherten Modus) per se schon nicht erlaubt.

Noch sicherer als die transparente Authentifizierung ist ein für Domänennetzwerke gedachtes Verfahren, welches Microsoft Network Unlock getauft hat. Ich werde hier nur kurz darauf eingehen, da es diverse (Hardware-) Voraussetzungen benötigt und dadurch nur wenigen Nutzern zugänglich sein wird. Stellen wir es uns verkürzt so vor: Auch vor dem Booten kann der PC ja schon das Netzwerk nutzen. Der PC weist sich bei network unlock also bei einem Schlüsselserver aus, und wenn dieser ihn anerkennt, dann wird der Schlüssel via Netzwerk erhalten und das Gerät bootet ohne weitere Kennworteingabe. Das ist natürlich nett, denn Diebe, die das Gerät aus der Firma stehlen, werden es zu Hause (ohne "Schlüsselserver") nicht hochfahren können.

Ok, wenn wir von Umgebungen ausgehen, in denen höchstmöglicher Schutzbedarf besteht, wird man dennoch eine Preboot-Authentifizierung („PBA“) haben wollen, also setzt man einen weiteren sogenannten Protektor, eine PIN. Dazu muss man die Art, wie sich das Systemlaufwerk entsperren lässt, entsprechend ändern. Hierbei wird unterschieden zwischen PIN und „enhanced PIN“. Die „normale“ PIN ist der Default und besteht ausschließlich aus Ziffern und hat eine Mindestlänge von 6. Die Enhanced PIN kann hingegen auch Sonderzeichen und Buchstaben enthalten und darf weitaus länger sein, und kann sogar Komplexitätsanforderungen unterworfen werden.

Will man nun eine enhanced PIN oder reicht eine PIN? Man überlege sich: TPM-Chips lassen niemanden endlos lange durchprobieren, sondern werden bereits nach wenigen Versuchen einen Lockout verursachen. Dies sind bei den meisten TPMs nach meiner Erfahrung 32 Versuche, danach „aus die Maus“, ohne den Recoverykey, welchen nur Admins erhalten können, kommt man nicht weiter, hier endet das Bruteforcing. 32 Versuche also – wie groß ist die Chance, eine (mindestens) 6-stellige Zahlenkombination (mindestens 1 Million Möglichkeiten) in 32 Versuchen zu erraten? Die Chance ist (selbst für eine 6-stellige) rechnerisch kleiner als 1:30.000, also nicht gleich Null, aber hinreichend winzig, um sie guten Gewissens als Restrisiko hinzunehmen. Wem das noch riskant erscheint, dem steht es ja frei, eine längere PIN zu verwenden oder gar die enhanced PIN zu fordern.
Man bedenke: selbst wenn wir Gustav Gans an der Tastatur haben, der die PIN errät, so scheitert er danach noch an dem Windows-Anmeldekennwort. Man kann übrigens per GPO einstellen, dass bei x-facher Fehleingabe des Anmeldekennworts der Rechner runter gefahren wird UND Bitlocker in den Recoverymode geht. Dann müsste der Angreifer zum Rechnerstart schon den Recoverykey, eine 48-stellige Zahl, erraten – viel Glück dabei.

Welche weiteren Authentifizierungen sind für das Betriebssystemlaufwerk möglich?

Will man Preboot-Authentifizierung, möchte sich dafür aber keine PIN/kein Kennwort merken, stellt Windows einem frei, einen USB-Stick basierten Schlüssel zu nutzen; es wird also eine komplizierte im Sinne von „starke“ Schlüsseldatei auf einem Stick gespeichert, eine sogenannte .bek-Datei (Bitlocker Encryption Key). Achtung: Diese Datei kann sehr gefährlich werden:
1. kann man sie kopieren (sie ist nicht an den speziellen Stick gebunden)
2. kann sie wie jede andere Datei auch korrupt werden oder gar versehentlich gelöscht werden – letzteres wird natürlich nicht so leicht passieren, denn im Explorer ist sie vorsorglich als Systemdatei markiert und zudem ausgeblendet – will man sie Löschen, kommt eine Warnung.
3. Dadurch, dass sie unsichtbar ist, vergisst man schnell, dass sie überhaupt da ist… somit sollte man den USB-Key nicht mehr im normalen Betrieb als Wechseldatenträger einsetzen.

Was passiert nun, wenn man den USB-Schlüssel verliert oder ähnliches?
Man hat danach nur mehr die Möglichkeit, mittels des Recoverykeys Zugriff auf die Daten zu bekommen. Hat man diesen Key nicht und auch der Admin des Rechners hat diesen nicht, muss man das Backup nutzen.

Ohne direkt darauf hinzuweisen, ging bereits der letzte kleine Absatz auf eine wichtige Eigenschaft von Bitlocker ein: man kann mehrere Schlüssel nebeneinander benutzen.

Der Recoverykey sollte immer erstellt werden. Dies ist eine von Windows erzeugte, 48-stellige Zahl, die man entweder auf einen gesicherten, externen Datenträger speichert oder ausdruckt und sicher verwahrt. Wer diese meint in die Microsoft-Cloud (=OneDrive) laden zu müssen – auch möglich – wir vertrauen Microsoft ja eh schon unser digitales Schaffen an, sobald wir für direkten Internetzugang gesorgt haben, also: warum eigentlich nicht?

Es ist also möglich, sowohl eine PIN zu nutzen, als auch einen Recoverykey und sogar eine USB-basierten Schlüsseldatei und dann gibt es ja noch ggf. das Bitlocker-Passwort. Wie können diese Protektoren kombiniert werden? Ich liste auf:

1 transparent (nur TPM-Protektor)
2 TPM+PIN/enhanced PIN
3 TPM+PIN/enhanced PIN UND USB-Key (nur wer alle 3 hat, kann das Gerät starten!)
4 TPM+PIN oder USB Key (wer eines von beiden hat, kann das Gerät starten)
5 Kennwort
6 Kennwort oder USB-Key
7 Nur der USB-Key
8 Network-unlock
9 Nur der Recoverykey

Zu den Optionen 1-8 sollte man immer noch den Recoverykey zusätzlich erstellen. Dies geschieht unter der Verwendung der GUI eh automatisch und erzwungenermaßen.
Anmerkung zu Option 3: Wer ist bei klarem Verstand und fordert das? Wir hätten dann eine (enhanced) PIN, die quasi unüberwindbar ist und dahinter noch das Windows-Anmeldekennwort… es ist schwer, hier nicht von übertriebener Paranoia zu sprechen, wenn jemand dazu noch den USB-Key fordert. Beispiel: Enhanced PIN, 6 Zeichen mindestens, das wären bereits Abermilliarden (Zeichenanzahl ist dann pro Stelle ungefähr 100 und das noch hoch 6 macht ca. 10^12) von Möglichkeiten und nur 32 Versuche, diese PIN zu erraten…
Nebenbei: wie sieht es denn mit der Knackbarkeit des Recoverykeys aus, hier hat der Angreifer ja keinen Lockout zu befürchten… Der Recoverykey besteht aus den Ziffern 0-9, und ist 8x6=48 Stellen lang. Jedoch besteht die Anforderung, dass jeder Sechserblock kleiner ist, als 720896 und zudem durch 11 teilbar ist. Das ergibt einen Schlüsselraum von genau 2 hoch 128 (128 Bit), was dezimal 3,4 x 10 hoch 38 ergibt. (Cloud-Computing/Quantencomputer? Möge der Leser sich selbst ein Bild davon ergooglen, wie viele Kombinationen/Jahr realistisch sind: nur soviel: davon sind die Maschinen noch Lichtjahre entfernt). Es ist nicht quasi unmöglich, es IST unmöglich, auch mit Methoden der näheren Zukunft, einen TPM-Lockout per Bruteforcing zu umgehen.

Somit lautet meine Empfehlung für sichere Umgebungen je nach eigener Einschätzung PIN oder enhanced PIN. Länge ist bei der enhanced PIN quasi egal, bei der normalen wie gesagt: 6 Zeichen: die Chance ist kleiner als 1:30.000, 7 Zeichen nur noch ein 10tel davon, also kleiner als 1:300.000, usw.

Ok wir haben also c: verschlüsselt mit TPM+PIN, einen Recoverykey erstellt und gesichert und somit getan, was wir nur konnten, um das Laufwerk abzusichern, oder? Moment, wir haben noch ein paar Optionen außer Acht gelassen: die Wahl des Verschlüsselungsmodus‘.

Zunächst steht die Entscheidung an: wollen wir Software- oder Hardwareverschlüsselung nutzen? Festplatten, deren Controller bereits selbst Verschlüsselung unterstützt und diversen Standards genügt, können seit Windows 8 auch mit Hardwareverschlüsselung betrieben werden. Vorteil: höhere Performance des Storages und der Schlüssel wird nicht im RAM abgelegt. Nachteile: man vertraut nun nicht nur Microsoft, sondern auch noch dem Festplattenhersteller, sorgfältig zu arbeiten... und das hat sich gerade 2018 als Problem herausgestellt - kurzum: kann man machen, aber man sollte Vor- und Nachteile abwägen und sich informieren, ob das eigene Modell Probleme dabei hat. Hier ein externer Link zum Einrichten der Verschlüsselung auf beispielsweise Samsung SSDs:
https://helgeklein.com/blog/2015/01/how-to-enable-bitlocker-hardware-enc ...

Bei Softwareverschlüsselung muss man sich entscheiden, ob man used-space-only verschlüsselt, oder nicht. Die Wahl ist einfach: hatte man auf diesem PC einmal schützenswerte Daten, die jedoch zwischenzeitlich gelöscht wurden (Standardlöschung), dann bitte nicht used-space-only nutzen. Andernfalls kann man das guten Gewissens nutzen, um Zeit zu sparen. Des weiteren gehört zum Verschlüsselungsmodus der Algorithmus. Voreingestellt ist auf Windows 10: 128 Bit XTS_AES. Meint jemand, er bräuchte auch hier alles so sicher wie möglich, muss er entweder über die Kommandozeile (manage-bde -on c: -em -?) 256 Bit XTS AES nutzen, oder diesen Modus gleich per GPO systemweit erzwingen. Hat dies Nachteile für die Performance? Mit Sicherheit. Sind diese bemerkbar? Messbar mit Sicherheit, bemerkbar meiner Erfahrung nach nicht.

Ach ja, die liebe Performance: wie verhält es sich nun damit? Die Antwort ist einfach: das muss jeder selber praktisch messen und danach entscheiden. Eine Auskunft ist ebenso usecase-abhängig, wie unzuverlässig, da bei der Storageperformance einfach zu viele Faktoren eine Rolle spielen. Ich persönlich habe performancetechnisch keine Bedenken, BL irgendwo einzusetzen.

Ok, Strich drunter, kommen wir zu einem interessanteren Punkt, nämlich der zentralen Verwaltung in einer Domäne. Wer kein MBAM sein eigen nennt, wird schnell feststellen, dass das gut vorbereitet sein muss. Zentrale Zielsetzung ist neben Disaster-Recovery natürlich auch ganz simpel dafür Sorge zu tragen, dass der Admin den Rechner im Fall der Fälle starten kann und auch aus der Ferne updaten und dabei rebooten kann, ohne gleich in die Falle zu laufen, dass das Gerät an der Preboot-Authentifizierung hängen bleibt und von remote nicht mehr erreichbar ist. Daran ist selbstverständlich gedacht worden. Man kann per GPO erzwingen, dass ein Recoverykey erstellt und automatisch ins AD gespeichert wird (nicht einsehbar für den Nutzer), ja mehr noch, man kann (und sollte) sogar erzwingen, dass Bitlocker erst nach erfolgreicher Speicherung im AD überhaupt erst aktivierbar ist.
Der Recoverykey ist der letzte Strohhalm, an den sich der Admin klammern kann. Meiner Ansicht nach sollte man lieber einen weiteren dateibasierten Protektor automatisiert erstellen (siehe https://www.administrator.de/wissen/-392157.html ) und diesen im Netzwerk gesichert wegspeichern. Diesen kann der Admin bei Bedarf auf einen USB-Stick kopieren und damit das Gerät bequem starten. Selbst wenn ein TPM-Lockout stattgefunden hat kommt man so noch an die Daten bzw. kann man so noch den Rechner booten!

Damit im Falle einer Wartung, die einen Reboot erfordert, auch aus der Ferne gearbeitet werden kann, lässt Microsoft zu, dass man Bitlocker für einen oder mehrere Reboots suspendiert
01.
manage-bde  -protectors  -disable C: -rc x
(wobei x die Anzahl der gewünschten Reboots ist)
Das ist sehr praktisch. Zur Sicherheit wird nicht-Admins natürlich verwehrt, BL zu suspendieren. Im suspendierten Zustand kann die Platte ohne weitere Authentifizierung nicht nur gebootet, sondern auch offline gemountet und manipuliert werden, also Vorsicht damit!

Auch ist es fatal, mit den USB-basierten Keys liberal umzugehen, denn diese sind ebenso stark wie der Recoverykey! Nur die PIN kann guten Gewissens an Nutzer ausgegeben werden, keine Kennwörter, keine Recoverykeys und auch keine .bek-Files ausgeben. Mehr zu Do‘s and dont‘s kommt gleich und auch noch am Ende des Beitrags in der FAQ.

Die zentrale Verwaltung sollte dem Admin folgende Infos bieten:
  • sind alle Geräte (vollständig) verschlüsselt mit den gewünschten Parametern?
  • stehen (weiterhin) nur die erwarteten Protektoren zur Verfügung?
  • ist Bitlocker etwa suspendiert?
  • steht dem Admin ein Recoverykey und auch eine .bek-Datei für das Gerät zur Verfügung?

Wie man das macht, ist nicht weiter schwer. Über die Powershell gibt es cmdlets (siehe gcm | sls bitlocker), aber auch über Batch hat man einen mächtigen Befehl: manage-bde.exe, der keinen Wunsch offen lässt. Die Dokumentation bei Microsoft ist schnell gefunden und umfassend.

Do‘s and Dont‘s


Im Laufe des Artikels ist vermutlich schon alles einmal angesprochen worden. Das Wichtigste sei hier zum x-ten Male wiederholt:

1. wer seinen Nutzern keinen Vollzugriff auf die Platte gewähren mag, der braucht ein TPM!
2. wer nicht verstanden hat, wie mächtig Recoverykeys und .bek files sind, der sollte dies tunlichst nachholen!
3. die Länge von PINs ist nicht wirklich kriegsentscheidend, solange denn überhaupt eine vorhanden ist, ist man hinreichend sicher!
4. Backups sind immer wichtig. Backup und Restore muss ausprobiert werden, bevor es zum Ernstfall kommt. Ob ihr es zulassen wollt, dass Bitlocker während des Backups suspendiert wird, müsst ihr wissen. "Gute" Backupsoftware wird das im Onlinemodus nicht benötigen und aus Sicherheitsgründen ist davon abzuraten, zu suspendieren. Beim Restore muss das Laufwerk, welches überschrieben wird, natürlich gemountet sein.

Angriffsszenarien


Es ist wichtig, sich über vorhandene Möglichkeiten im Klaren zu sein, die ich kompakt umreißen werde:
unverschlüsselte Backups: wenn man nicht gerade eine Sektorkopie herstellt, sind die Datei- und Imagebackups natürlich unverschlüsselt. Wer das nicht versteht, macht mit leicht zugänglichen Backups natürlich den besten Schutz kaputt.
Nutzer fragt „für eine Dienstreise“ vorsorglich nach dem Recoverykey – warum sollte er den überhaupt haben wollen? Er hat sich eine PIN zu merken, 6 Stellen, das sollte doch machbar sein. Wenn er nun tatsächlich diese PIN vergisst und gerade in einer anderen Zeitzone steckt, so dass die Admins hier nicht erreichbar sind, dann fällt das unter „Shit happens“. Ein Recoverykey gehört nicht in Nutzerhand. Wenn man ihn rausgeben musste, weil „Order de Mufti“, gehört danach das Gerät neu installiert und evtl. vorhandene Hashes sind nicht mehr als sicher anzusehen.
Brute-force: Bei PBA-Verwendung ein unsinniger Gedanke. Kompletter Unsinn. Wer mit Kennwörtern arbeitet ist eh selbst Schuld; und wenn schon, dann bitte sehr lange Kennwörter.
Malware: natürlich kann Malware so einiges. Aber ohne dass sie Adminrechte erlangt, kann sie zumindest nicht entschlüsseln.
Cold Boot Attacken: ein interessanter Punkt für die diejenigen, die sich für transparente Verschlüsselung oder network unlock entscheiden. Danach denkt Ihr evtl. anders darüber: https://www.youtube.com/watch?v=JDaicPIgn9U – dies ist ein Problem fast aller Verschlüsselungen und nicht auf Bitlocker beschränkt.
DMA-Attacken: Wer die entsprechenden GPOs nicht aktiviert, ist selber Schuld. Unbedingt berücksichtigen, siehe http://blog.win-fu.com/2017/02/the-true-story-of-windows-10-and-dma.htm ...
Knacktools: Kompletter Humbug. Auch diese kochen nur mit Wasser und erfolgreich werden sie nur sein, wenn man entweder mit schwachen Kennwörtern arbeitet, oder der Angreifer gar Zugriff auf memory dumps („vollständiges Speicherabbild“, zugänglich z.B. über Systembackups) hat.
Software-Keylogger sind glücklicherweise kein größeres Problem, da sie die PIN nicht mitschneiden können.
Hardware-Keylogger sind selbstverständlich das größte Problem und es gibt dagegen keine ordentliche technische Lösung, die über die Grundsätze von „physikalischer Sicherheit“ hinausgeht! Wer in der Lage ist, die PIN und das Anmeldekennwort mitzuschneiden, der ist „drin“.
Nutzer, die die PIN aufschreiben und den Zettel in der Laptoptasche verwahren – ja, was soll man sagen… am besten schreiben sie noch Ihren Nutzernamen und Kennwort gleich mit drauf, oder? Wenn schon, denn schon Nun, denen ist nicht zu helfen. Ohne Windows-Anmeldekennwort ist die PIN jedoch nicht viel wert.
Antreffen des Gerätes im suspendierten Zustand (Bitlocker ist suspendiert): das ist ein großes Problem. Szenario: Backup findet statt, wobei manche Imagingsoftware Bitlocker automatisch suspendiert. Nutzer fährt den PC genau dann runter! Es ist wichtig, bei jeder Suspendierung, die nicht in Zeitraum x: wieder aufgehoben wird, Alarmmails raus zu senden.
Inplace-Upgrades: ein weiteres großes Problem. Diese sollten nur stattfinden, wenn das Gerät in dem Zeitraum physikalisch sicher ist , siehe https://www.administrator.de/wissen/admin-windows-10-upgrade-setups-2939 ... ,denn hierbei wird BL gleich mehrfach suspendiert.
Plausible deniability bietet Bitlocker nicht - lassen wir hier lieber die Kirche im Dorf. Bei Folter oder ähnlichem hilft keine BL-Verschlüsselung und auch bei aller Liebe vermutlich keine „plausible deniability“ anderer Verschlüsselungen.
Evil Maid Angriffe: siehe https://www.schneier.com/blog/archives/2009/10/evil_maid_attac.html - bei Verwendung von SecureBoot und eines TPMs ist dies stark erschwert, weshalb SecureBoot als ergänzende Maßnahme unbedingt genutzt werden sollte!

FAQ


Ich stelle nun noch Antwortversuche auf Fragen aus, die mir in all den Jahren gestellt wurden:

Welche Geräte werden mit TPM ausgeliefert?
Obwohl viele Windows-10 kompatible Mainboards einen Sockel für ein TPM besitzen, ist dieser meist leer. Geräte mit vorinstalliertem TPM sind in der Regel Notebooks der Businessklasse.

Ich habe ein Mainboard mit sogenanntem TPM-Header, dieser ist jedoch nicht bestückt (Sockel ist leer) – kann ich ein TPM jederzeit nachrüsten?
Ja!

Wo beschafft man diese TPM-Module und was kosten sie?
Es gibt verschiedene und man sollte beim Hersteller nachfragen oder -lesen, welches zum PC passt.
Die Kosten sind sehr unterschiedlich, bei Servermainboards gerne um die 50€, bei Standardmainboards meist irgendwo im Bereich 10-20€.

Wie kann man sicher sein, dass Microsoft keine Nachschlüssel hat oder Schlüsselmaterial an ungeliebte Dritte überträgt? Man kann nicht sicher sein, jedoch ist die Frage in den meisten Fällen ziemlich sinnlos, da ein mit dem Internet verbundenes System theoretisch eh alle Tastaturanschläge via Internet abfließen lassen könnte, wenn es nur will.

Sind nicht Truecrypt/Veracrypt besser?
Technisch sicherlich gut oder gar besser, kann man nicht von einem durchdachten Konzept sprechen, was die Verwaltbarkeit angeht, und auch die Nutzerhierarchie ist nicht umsetzbar. Aus meiner Sicht sind diese beiden deshalb für den Unternehmensbetrieb unbrauchbar.

Wenn selbst MBAM den Nutzern schon ermöglicht, einen Recoverykey im Self-Service zu erlangen, wie kann dieser in deren Händen so gefährlich sein?
MBAM kann so konfiguriert werden, ja, aber das würde niemals so empfohlen, falls das Szenario ist „Nutzern wird nicht vollständig vertraut“.

Ist der Betrieb ohne MBAM überhaupt übersichtlich verwaltbar?
Ansichtssache. Ich würde sagen, ja. Wer wie ich keinen Overhead mit clientseitigen Agents und fetten Serverkonsolen mag, wird mit etwas Skripting genau so gut fahren, siehe https://www.administrator.de/wissen/bitlocker-verschlüsselung-monit ... .

Kann man Bitlocker nicht doch irgendwie auf der Home Edition bzw. auf Win7 Pro betreiben? Klar, man kann, https://administrator.de/wissen/m%C3%B6glichkeiten-bitlocker-windows-10- ... . Ob das legal ist (ich wüsste nicht, wieso nicht), sollen aber andere entscheiden.

Kann man mit Bitlocker to go gesicherte Sticks auf eine Weise nutzen, dass diese nur auf definierten Geräten nutzbar sind? Ja, man kann. Zumindest funktionieren sie dann nur auf Domänengeräten, siehe https://www.administrator.de/wissen/usb-stick-verschlüsselung-unter ...

Warum reicht es nicht aus, die Datenpartition zu verschlüsseln? Weil jeder Anfänger sich sonst in 5 Minuten zum Admin machen und einen Keylogger installieren kann, der das Kennwort für die Datenpartition mitschreibt.

Kann man Bitlocker auch in virtuellen Maschinen nutzen? Ja. Unter Hyper-V ist dies dank virtueller TPMs sogar sehr einfach geworden. Auch ohne diese kann man das gesichert tun, wenn man mit Schlüsseldateien arbeitet, die über Netzwerk von Shares auf physikalisch gesicherten Rechnern eingelesen werden, siehe https://www.administrator.de/wissen/-392173.html

Ist autounlock sicher oder nicht? Vollständig sicher würde ich es erst nennen, wenn Microsoft genauestens dokumentiert, wie der Key dabei benutzt wird. Aber im Rahmen der Dokumentation ist es sicher genug um es zu benutzen, wenn man eine verschlüsselte OS-Partition hat und damit automatisch eine Datenplatte/einen Stick mounten will.

Dauert die Einrichtung lange? Nein, sie ist im Vergleich zu anderen Verschlüsselungen, die ich kenne sogar eine der schnelleren. Mehrere Hundert MB/s beim Verschlüsseln sind möglich, wenn das Storage nicht gerade lahmt. Dauert es lange und die Rate liegt eher bei 10MB/s, liegt in der Regel eine Inkompatibilität vor. Da muss man dann Geduld haben.

Kann man BL während der Verschlüsselung runter fahren oder Suspendieren/Hibernation nutzen? Ja, kein Problem. Solange man nicht gerade hart ausschaltet, ist alles erlaubt.

Ist es wichtig, dass man dafür sorgt, dass das Gerät immer komplett runtergefahren wird? Jein. Man sollte stets eh einen Sperrbildschirm so konfigurieren, dass dieser nach dem Aufwachen aus jeder Form von Energiesparen sofort erscheint. Hat man dann noch die Anti-DMA-Policies gesetzt, sind keine Angriffsmöglichkeiten bekannt, die über eine Cold-Boot-Attacke hinausgehen. Letzere Attacke funktioniert bei Standby, bei Hibernation kann sie nur klappen, wenn man keine PBA benutzt.

Unterstützt Bitlocker Repartitionierung? Ja, wenn man diese mit diskpart oder diskmgmt.msc macht, schon. 3rd-Party-Tools hier nicht verwenden.

Unterstützt Bitlocker Fat32 oder REFS? Ja

Stimmt es, dass Bitlocker bei normalen Windowsupdates suspendiert? Ich konnte dies in all den Jahren und Windowsversionen noch nie beobachten, obschon ich die Berichte vor kurzem auch gelesen habe, die behaupten, dies wäre ein neuer Bug, den Microsoft noch in diesem Jahr fixen wolle.

Was sind meist die Gründe, wenn man ein Gerät im Recoverymode antrifft?
Meist hat jemand die Hardware verändert (Steckkarten eingebaut) oder die Bootoptionen verstellt (SecureBoot ausgeschaltet, Bootreihenfolge verändert…), oder gar ein Firmwareupdate versucht, ohne BL vorher zu suspendieren. In seltenen Fällen reicht auch ein Abdockvorgang des Laptops aus, aber das ist alles andere als die Regel.

Ist der Recoverymode reversibel, selbst ohne dass jemand den Recoverykey dafür nutzt? Ja, man muss das Gerät nur in den Zustand zurückbringen, den das TPM erwartet, sprich, die Änderungen rückgängig machen.

Wie kann es sein, dass ein Gerät auch ohne Einsatz eines TPMs irgendwie in den Recoverymode gelangt ist?
Das wird zum Beispiel dann möglich, wenn ein Admin auf der Kommandozeile unbedacht alle Protektoren außer dem Recoverykey löscht.

Kann man Protektorentypen (z.B. einzelne .bek files) mehrfach erstellen und auch bei Bedarf gezielt löschen? Ja. Man kann zum Beispiel mehrere Recoverykeys und mehrere .bek-Dateien erstellen und auch einzeln wieder löschen. Man kann jedoch nicht mehrere PINs haben oder mehrere Kennwörter.

Was passiert, wenn man das Rechnerobjekt mit den Bitlockerkeys löscht? Man verliert natürlich Zugriff auf diese Recoverykeys, aber mit der verschlüsselten Platte passiert gar nichts.

Kann man, wenn man es denn unbedingt will, zur besseren Übersicht veraltete Recoverykeys einzeln im AD löschen? Ja, das geht mit ADSIEdit.

Ich habe den Recoverykey verloren, aber noch die Recoverykey-ID – lässt sich daraus der Key rekonstruieren? Nein, die ID ist nichts als ein Name.

Unterstützt Bitlocker Hardware- und Software-Raid (letzteres nutzt dynamische Datenträger)? Hardware- ja, Softwareraid nein. Zudem werden Storage Spaces unterstützt..

Unterstützt Windows2Go Bitlocker? Ja, jedoch nur mit Passwort oder USB-Stick-basiertem Schlüssel – eine TPM-Nutzung ist logischerweise nicht sinnvoll.

Unterstützt Bitlocker virtuelle Festplatten (VHD/VHDX)? Ja, einwandfrei. Es funktioniert alles genau wie bei physikalischen Platten.

Beim Verschlüsseln eines USB-Sticks oder einer USB-Platte kommt die Frage, ob der kompatible oder der „neue“ Verschlüsselungsmodus benutzt werden soll – wann empfiehlt sich was?
Mit dem „neuen“ ist der Algorithmus XTS_AES gemeint. Diesen verstehen nur Windows 10 v1511 oder neuer bzw. Server 2016 oder neuer. Will man diese Wechseldatenträger auch an älteren Windowsversionen benutzen können, muss man zwangsläufig den kompatiblen Modus benutzen. Er ist marginal weniger sicher.

Unterstützt BL die Benutzung der geräteinternen Funktionen von selbst verschlüsselnde Platten („SED“)? Ja, seit Windows 8.1 werden diese unterstützt und man kann somit bessere Performance bekommen. Jedoch sollte man wissen, wie das alles funktioniert und selbst dann ist man nicht gefeit vor bösen Überraschungen, siehe https://www.administrator.de/wissen/erschreckende-erfahrungen-samsungs-s ... – seit dieser Erfahrung benutze ich nur noch Softwarebitlocker.

Kann man BL-verschlüsselte Platten klonen? Selbstverständlich, wenn man Sektorklonen z.B. mit dd oder Clonezilla im advanced mode ausführt, geht das.

Gibt es Versionsunterschiede bei Bitlocker? Ja, der auffälligste ist der Sprung von Win10 („Urversion 1507“) auf Win10 v1511 – ab 1511 wird XTS_AES unterstützt, bei vorigen Systemen nicht. Nutzt man also XTS_AES, kann man diese Geräte nur noch auf Win10 v1511 oder höher benutzen. Andere Unterschiede sind kaum relevant.

Kann man BL schon beim Setup aktivieren? Ja, das nennt sich pre-provisioning, siehe https://administrator.de/wissen/-399692.html
Kann WinPE mit BL umgehen? Ja, WinPE mittels einer Win10 Setup Disk booten, mit Shift F10 in die Kommandozeile gehen und manage-bde steht bereit für alle relevanten Aktionen.

Sollte man BL-Disks sicher überschreiben, wenn man sie weitergibt? Hm, man verschlüsselt doch gerade unter anderem aus dem Grund dies nicht mehr tun zu müssen… aber gut, wer Paranoia hat, löscht nochmal sicher mittels secure erase.

Kann man versuchen, Daten auf BL-verschlüsselte Festplatten, die defekt sind, von Datenrettern (Kroll Ontrack,…) wieder herstellen zu lassen? ja klar, wenn man denen den Recoverykey mitgibt, dann schon.

Kann man defekte, verschlüsselte Platten nun bedenkenlos zum Hersteller einschicken, auch wenn vertrauliche Daten darauf liegen? Eigentlich schon. Man sollte sich jedoch ggf. absichern, was hier die Firmenpolicy vorsieht. Hersteller bieten teilweise an, wenn man gute Gründe hat (militärische Daten, polizeiliche Daten,…) , diese Platte auch zu tauschen, wenn man ihnen nur die Zerstörung nachweist, zum Beispiel durch Zusendung des Festplatten-Gehäusedeckels.

Verbraucht Bitlocker zusätzlichen Festplattenplatz? Nein.

Unterstützt Bitlocker Multibooting? Bedingt ja. Ich habe hier mal beschrieben, wie es problemlos mit 2 Windowsinstallationen funktioniert: https://www.administrator.de/wissen/bitlocker-dual-boot-win8-1-247601.ht ... Will man jedoch ein gebitlocktes Windows und ein Linux zusammen booten, bin ich der falsche, um dafür Tipps zu geben und habe schon von vielen Problemen hierbei gelesen. Wenn schon, dann vorher mit VMs testen.

Wie reinstalliert man Windows auf einer gebitlockten Platte?
Am einfachsten ist es, die ganze Platte mit diskpart von Ihren Partitionen zu befreien (Achtung, alle Daten gehen dabei verloren): Setup booten, Shift F10 drücken um an die Kommandozeile zu gelangen und dort dann
diskpart
select disk x (x ist in der Regel 0, man kann das über list disk erfahren)
clean
nacheinander ausführen, dann Kommandozeile schließen und man kann neu installieren.

Ein bestimmtes Tool soll benutzt werden, um die Platte offline zu mounten und etwas mit den Daten zu machen (Backup oder ähnliches) – wie geht das? Diese Aktion wird nur dann gelingen, wenn das Tool entweder von WinPE aus startbar ist (denn WinPE unterstützt die manage-bde.exe), oder wenn das Tools selbst schon einen Bitlockertreiber hat und es explizit vorsieht.

Ich will das Adminkennwort einer gebitlockten Installation zurücksetzen – wie geht das?
Der utilman-Trick geht weiterhin, nachdem man die Platte vorher mittels Passwort oder Recoverykey (nicht PIN!) unter WinPE (Windows 10 Setup) mountet. Andere Tools wie das altbekannte von Herrn Nordahl funktionieren nicht auf verschlüsselten Platten, somit: utilman nutzen.

Eine verschlüsselte (USB-)Platte wird angeschlossen, lässt sich aber nicht mounten, die Verschlüsselung scheint defekt. Kann man mit dem Kommando repair-bde.exe Glück haben? Klar, man kann Glück haben, aber das kann auch sehr lange dauern und dann doch nicht zum gewünschten Resultat führen. Backups sollte man eh immer haben.

Ist Bitlocker stabil?
Meiner Erfahrung nach ist BL eindeutig eines von Microsofts stabilsten Features und macht sehr wenig Ärger.

Wenn ich Daten von der verschlüsselten Platte auf meine Dropbox kopiere, sind diese dann verschlüsselt oder nicht? Natürlich sind sie nicht verschlüsselt. Wer sich bei dieser Frage ertappt, sollte sich dringend klar machen, dass Bitlocker transparent arbeitet und Dateien auf Partitionen, die gemountet sind, vom Betriebssystem als offene/unverschlüsselte Daten angesehen werden und so auch übertragen werden. Will man Bitlocker unbedingt auf z.B. Dropbox oder per Mail nutzen, müsste man mit kleinen virtuellen Platten arbeiten.

Ich habe eine enhanced PIN (oder ein Kennwort) bei der Verschlüsselung von c: eingegeben, den Rechner neu gestartet, diese eingegeben und sie ist angeblich falsch. Woran liegt das?
Dann habt ihr zum einen schon den Test, den Windows vorschlägt, ausgelassen, was man nicht tun sollte und zum anderen Zeichen in eurer enhanced PIN drin, die im englischen Tastaturlayout nicht an der selben Stelle sitzen, wie im deutschen. Mit anderen Worten: Achtung: Die Bitlockereingabemaske unterstützt nur das Layout EN-US! Ein unter Windows festgelegtes Kennwort/enhanced PIN, was zum Beispiel lautet „Yeah12366#“, müsste man an der Startmaske eingeben „Zeah12366§“ - ist das nicht hässlich? Das ist ein großes Problem und nun wird auch klar, warum Microsoft als erste Option die transparente Nutzung bzw. die Nutzung mit PIN vorsieht, und erst dann die Möglichkeiten Passwort oder oder enhanced PIN: diese bringen Probleme mit sich, denn Microsoft hat beim Design mal wieder zu eingleisig an den US-Markt gedacht.
Wie behilft man sich nun? Man stellt einfach vorübergehend das EN-US Tastaturlayout ein, bevor man das Kennwort/die enhanced PIN festlegt! Dieser Workaround hilft in fast allen Fällen und ist tatsächlich der von microsoft empfohlene Weg.

Gibt es eine Möglichkeit von Single-sign-on bzw., kann man das BL-Kennwort mit dem Windowskennwort synchron halten?
Jein. Vorgesehen ist da rein gar nichts, Man kann es sich selbst basteln, aber ich würde nur erfahrenen Skriptern raten, überhaupt darüber nachzudenken. Der Ablauf eines solchen Skriptes (ich habe das schon eingesetzt) wäre so: Nutzer bekommt eine App zur Kennwortänderung, die sein Kennwort ändert und die enhanced PIN auf den gleichen Wert setzt. Ebenso könnte man dies Kennwort dann auch noch per autologon.exe zum direkten Einloggen verwenden. Dies ist nur ein Gedanke – er funktioniert auch, aber ich bitte zu bedenken, dass man hierbei Komplexitätsanforderungen berücksichtigen muss und den (siehe voriger FAQ-Punkt) Umstand, dass Bitlocker nicht alle Zeichen zulässt, da es von einem EN-US Tastaturlayout ausgeht. Zudem muss mit Rechteübergabe gearbeitet werden…

Was hat Bitlocker mit Windows‘ „Device Encryption“ gemein/zu tun? Device Encryption beruht auf der selben Technik. Es ist auch in den Homeversionen von Windows 8.1 und 10 verfügbar, aber nur unter Einhaltung von bestimmten Randbedingungen überhaupt nutzbar. Da es weitaus weniger Möglichkeiten bietet, hätte ich es an Microsofts Stelle „Bitlocker light“ genannt.
Mitglied: UweGri
23.09.2018, aktualisiert um 22:11 Uhr
Recht vielen Dank! War viel Arbeit und heute ist Sonntag!

Zu guter Letzt: Wer ist Nutzer XY und warum („hoch-“)verehrt er mich?

Hm, ich? Aber da steht doch UweGri drunter und nicht XY. Warum? Deines Wissen wegen!


Frage (kommen sicherlich später noch mehr):

(Geheimschutz zum Beispiel erfordert speziell zugelassene Verschlüsselungen).

Kannst Du das bitte erläutern? Danke!

Gestatte mit folgende Bemerkungen:

In Sachen Chiffrierung muss man immer von den Möglichkeiten des stärksten Angreifers ausgehen. Das ist der Staat.

Normalerweise ist BL damit schon draußen, da MS zu 100% den US Geheimdiensten hörig sein muss. Ob es eine Hintertür gibt, ist damit aber nicht geklärt. Die NSA hat eher versucht, Algorithmen zu schwächen, korrekt: deren Umsetzung.

Aber: Problem 1 ist das TPM, dass nicht auf Schwachstellen prüfbar ist und Intels ME unterliegt. Diese wird im Sicherheitsbereich kritisch gesehen. Komischerweise liefert Intel an bestimmte US Institutionen Proz mit deaktivierter ME aus. Im Extremfall wäre über die ME das TPM zu blockieren und der Rechner gibt Probleme aus. OK, das ist theoretisch, aber Kryptografen gehen auch von theoretischen Szenarien aus. Zumal die Befehlsgewalt der ME von Intel als streng geheim eingestuft wird.

Ich selbst empfehle kein TPM.

Problem 2 ist die Manipulierbarkeit des Quelltextes durch bestimmter Organisationen. So kann die vom OS aktive Anzahl der Fehlversuche durchaus komplett deaktiviert werden. Siehe den Fall, als das FBI ein IPhone knacken wollten, und exakt deswegen Probleme hatten. Waren wohl die Israelis, die halfen …

BL sollte nie ohne EFS genutzt werden!

BL ist für Firmenumgebungen das Mittel der Wahl. Für einzelne PC mit Daten der höchsten Geheimhaltungsstufe aber zu hinterfragen.

Nach Snoden ist Trucrypt NSA sicher, bei korrekter Anwendung.

Stimmt es, dass Bitlocker bei normalen Windowsupdates suspendiert?

Ja, hier nachvollziehbar bei der neuesten W10pro und Server 2016 Standard. BL muss nach den Updates für C wieder gestartet werden. LW C wird im Explorer als mit "BL angehalten" markiert.


Auch chiffrierte Datenträger sind nicht frei verfügbar (z.B. an Datenretter) zu machen. Warum? Je länger sich chiffrierte Daten in fremden Händen befinden, um so mehr Ansätze gibt es zur Dechiffrierung. Die NSA speichert Billionen von chiffrierten Daten für den Tag X. Deshalb gehören z.B. TC Container nicht in die Cloud.

Wer diese meint in die Microsoft-Cloud (=OneDrive) laden zu müssen – auch möglich – wir vertrauen Microsoft ja eh schon unser digitales Schaffen an, sobald wir für direkten Internetzugang gesorgt haben, also: warum eigentlich nicht?

Nur weil es Diebe gibt, die brauchbar gute Türschlösser öffnen können, muss ich die Türschlösser nicht gleich weglassen. Dem Angreifer sollte es so schwer als möglich gemacht werden! 4 einfache Schlösser sind besser als ein gutes, es braucht für 4 einfache Schlösser mehr an Zeit.

Ein weiteres Problem unserer Zeit ist, alles muss effizient und zentral sein. Aber genau das sollte in der Chiffrierung vermieden werden. Ein per BL und EFS abgedichteter PC darf schlichtweg nur über eine lokale Benutzeranmeldung startbar sein.

Betrachte das bitte nicht als Kritik! Du hast einen anderen Gebrauchsbereich als ich. Zu Deinem Gebrauchsbereich ist Dein Artikel ohne Tadel.

Noch einmal ein Danke für Deine Arbeit!

Uwe
Bitte warten ..
Mitglied: Henere
24.09.2018, aktualisiert um 02:09 Uhr
Servus, schön und verständlich geschrieben. !

Wie ist das mit StorageSpaces ? Wird oben leider nicht erwähnt. Zählt das zu Software-Raid ? Wird ja vom OS aus gesteuert.

Grüße, Henere
Bitte warten ..
Mitglied: colinardo
24.09.2018 um 16:35 Uhr
Top, schöne Übersicht. Auch von mir herzliches Dankeschön!

Grüße Uwe
Bitte warten ..
Mitglied: DerWoWusste
28.09.2018 um 18:11 Uhr
Edit1, 28.09.18:
Formatierung verbessert,
Network unlock erläutert
Link zu den GPOs und Einstellungen gegen DMA-Attacken eingefügt
Storage Spaces als kompatibel ergänzt
Bitte warten ..
Mitglied: UweGri
28.09.2018 um 21:45 Uhr
Ich will das Adminkennwort einer gebitlockten Installation zurücksetzen – wie geht das?

Du solltest erwähnen, dass diese Methode bei Verwendung von EFS zum GAU führt. Danke für Deine weitere Arbeit. Uwe
Bitte warten ..
Mitglied: C.R.S.
11.10.2018 um 19:51 Uhr
Hallo DWW,

Dann müsste der Angreifer zum Rechnerstart schon den Recoverykey, eine 48-stellige Zahl, erraten – viel Glück dabei.

Das ist nicht ganz richtig, weil acht davon als Prüfziffern dienen. Das Recovery-Password hat (wie alle Bitlocker-Protectors) eine effektive Länge von 128 Bit.

Grüße
Richard
Bitte warten ..
Mitglied: Henere
11.10.2018 um 22:07 Uhr
Mal ne Frage dazu, TPMs sind ja meinst nur auf das Board aufgesteckt.
Was passiert, wenn ich die Platten und den TPM mitnehme und das auf ein anderes Board stecke ?

Grüße, Henere
Bitte warten ..
Mitglied: DerWoWusste
11.10.2018, aktualisiert um 22:50 Uhr
Moin C.R.S

Bezüglich recovery password: Richtig. Es gibt in der Tat diese Einschränkung: Recoverykeys (welche auch manuell festgelegt werden können) bestehen aus 8 Sechsergruppen, wobei diese Sechsergruppe zudem noch durch 11 teilbar und kleiner als 720896 (also 000000, 000011, 000022, …, 720885; pro Block sind das 65536 Möglichkeiten, das macht 2 hoch 16) sein muss, was die Möglichkeiten von 10 hoch 48 auf 2 hoch 128 = 3,4 x 10 hoch 38 zusammenschrumpft. Trotzdem noch zu hoch zum Bruteforcen.


@Henere
Der TPM gibt den Key nur Preis, wenn die Randbedingungen stimmen. Ändert sich das Board, gibt er den Key nicht her und der Angreifer muss den recovery key kennen.
Bitte warten ..
Mitglied: Henere
11.10.2018 um 23:46 Uhr
Danke. Baugleiches Board ?
Oder spielen da auch Seriennummern und ähnliches eine Rolle ?
Bitte warten ..
Mitglied: lcer00
12.10.2018 um 08:35 Uhr
Hallo
Zitat von Henere:

Danke. Baugleiches Board ?
Oder spielen da auch Seriennummern und ähnliches eine Rolle ?

Wie soll denn das Angriffsszenario aussehen? Ein fremdes TPM kennt den Key für die Festplatte nicht. Und wenn ich an das TPM komme, kann ich ja auch gleich den ganzen Rechner mitnehmen.

Grüße

lcer
Bitte warten ..
Mitglied: DerWoWusste
12.10.2018 um 09:17 Uhr
Oder spielen da auch Seriennummern und ähnliches eine Rolle ?
Nee, gleiche Platinenfarbe reicht
Nein, so einfach ist das natürlich nicht. Das ist sehr komplex zu beantworten. Schau dir mal die GPOs zu Bitlocker an, was da zum Thema "PCR" festzulegen ist bzw. was der Default bei TPM 2.0 ist. Doku dazu
https://getadmx.com/?Category=MDOP&Policy=Microsoft.Policies.BitLock ...
https://docs.microsoft.com/en-us/windows/security/information-protection ...
https://technet.microsoft.com/de-de/library/mt604329(v=vs.85).aspx
https://trustedcomputinggroup.org/wp-content/uploads/TCG_PC_Client_Platf ...
Bitte warten ..
Mitglied: DerWoWusste
09.11.2018 um 14:35 Uhr
Edit2, 09.11.2018
Artikel verlinkt, die
-die Verschlüsselung in virtuellen Maschinen beleuchten
-die Verwendung von dateibasierten Protektoren beschreiben

Zudem unter Do's and don't betont, dass man möglichst keine Backupsoftware einsetzen sollte, die eine Suspendierung von Bitlocker erfordert
Bitte warten ..
Mitglied: DerWoWusste
11.11.2018 um 18:26 Uhr
Edit 3 11.11.2018

-Artikel verlinkt, der derzeitige Probleme mit / Gefahren von Hardwareverschlüsselungen erläutert
-Artikel verlinkt, der Skripte zur Aktivierung und Monitoring von Bitlocker ohne MBAM bereitstellt
Bitte warten ..
Mitglied: DerWoWusste
28.01.2019 um 19:03 Uhr
Edit 4, 28.01.2019
https://administrator.de/wissen/-399692.html (Anleitung zum Pre-Provisioning) verlinkt.
Bitte warten ..
Mitglied: DerWoWusste
30.04.2019, aktualisiert um 19:45 Uhr
Edit 5, 30.04.19: Link zu Kurztipp Bitlocker auf Windows Home eingefügt.
Bitte warten ..
Mitglied: katerspike
30.05.2019 um 21:57 Uhr
Hallo und zunächst einmal vielen Dank für diesen umfangreichen Artikel. Ich bin auf diese Seite / diesen Artikel gestoßen, da ich seit ein paar Tagen ein Problem mit Bitlocker habe und im Netz nun nach einer Lösung suche.
Folgendes ist passiert:
Der Speicherplatz auf der 128 GB SSD meines HP Envy x360 wurde langsam knapp und daher habe ich mich entschlossen eine größere Platte WD Blue 500 GB einzubauen.
Das Notebook läuft mit Windows 10 Pro und besitzt einen TPM 2.0 Chip.
Das Systemlaufwerk auf der alten ADATA SSD war mit Bitlocker verschlüsselt. Ebenso die "D" Partition der 2ten internen 1TB Festplatte. Beide Schlüssel waren auch im TPM gespeichert und beide Wiederherstellungsschlüssel liegen mir glücklicherweise auch im Klartext vor.
Ich habe mit der Software Paragon das komplette SSD Laufwerk mit allen Partitionen und die die "D" Partition der 2ten Festplatte auf ein externes USB Laufwerk gesichert. Dabei sagte Paragon bereits, dass die Sicherung keine Bitlocker Verschlüsselung mehr hat, was ja auch logisch ist!
Anschließend habe ich die alte SSD Festplatte ausgebaut und die neue eingebaut. Den Rechner habe ich dann mit dem zuvor erstellten Paragon Recovery USB Stick gestartet. Ich habe nun dass Backup auf die neue SSD zurückgespielt und dabei zusätzlich die Partitionsgröße der Windows Partition angepasst (vergrößert).
Nach der Wiederherstellung habe ich den Rechner auch problemlos mit der neuen SSD booten können. Der Zugriff auf Laufwerk D funktionierte erst, nachdem ich den Wiederherstellungsschlüssel eingegeben habe.
In der Bitlockerverwaltung konnte ich nun den Bitlocker für das Laufwerk C: aktivieren und für D: deaktivieren. Ich habe dann allerdings zunächst das D Laufwerk entschlüsselt und die TPM Informationen im Bios gelöscht.
Nach einem Reboot wurde TPM als betriebsbereit angezeigt und ich habe dann den Bitlocker für Laufwerk C aktiviert und nach der Prüfung hat mir Windows 3 Optionen zur Entsperrung vorgeschlagen:
1. Pin Eingabe
2. Entsperrung mit einem USB Stick
3. Automatische Entsperrung.
Ich habe Punkt 3 gewählt, da ich der Ansicht bin, dass der Schlüssel im TPM Chip gesichert wird.
Das System hat anschließend das Laufwerk verschlüsselt und zeigt nach der Fertigstellung den Status "Bitlocker angehalten" an. Auch nach einem Reboot ändert sich an dem Zustand nichts. Bitlocker ist nach wie vor angehalten, starten kann ich ihn augenscheinlich nicht.
Nachdem ich damals das ursprüngliche System von Windows Home auf Windows Pro aktualisiert hatte, habe ich meines Wissens nach "nur" den Bitlocker für beide Laufwerke aktiviert und alles war gut. Der Bitlocker war nach der Verschlüsselung im Status "Aktiviert / Ausgeführt".
Ich habe das Laufwerk noch mal entschlüsselt (Bitlocker deaktiviert) und testweise die Option "Pin verwenden" gewählt. Beim Start wird der Pin abgefragt und dann ist der Bitlocker aber wider im Status angehalten.
Die D Platte konnte dann übrigens wieder ganz normal verschlüsselt werden.

Das Problem trat mit Windows 10 - 1809 erstmalig auf, zwischenzeitlich hatte ich die Verschlüsselung noch mal deaktiviert und heute das ganze noch mal mit nach dem Update auf Build 1903 getestet. Aber das Problem besteht so weiterhin.

Für mich hat das erst mal nichts mit dem TPM Modul zu tun, sondern irgendwas hängt noch im Bitlocker "quer". Wahrscheinlich aus der alten Installation. Oder liege ich mit der Vermutung komplett daneben? Für den richtigen Denkanstoß wäre sehr dankbar!
Bitte warten ..
Mitglied: DerWoWusste
31.05.2019, aktualisiert um 11:34 Uhr
Moin.

Da dein Problem mit dem Artikel nicht direkt zu tun hat, erstelle bitte jetzt eine Frage und kopiere deinen Text dort hin. Dann sieht auch die ganze Community, dass da eine neue Frage ist und ich beteilige mich dann dort.

Öffne bitte eine Kommandozeile elevated (per Rechtsklick auf cmd ->"als Administrator ausführen") und setze den Befehl
01.
manage-bde -status c:
ab und kopier in deine Frage rein, was da kommt. Sollte kommen "Schutz angehalten", dann führ' mal aus
01.
manage-bde -on c:
Bitte warten ..
Neue Wissensbeiträge
Humor (lol)
Preisvertipper
Information von Dilbert-MD vor 7 StundenHumor (lol)6 Kommentare

Moin! weil heute Freitag ist, zeige ich Euch den Preisvertipper der Woche: vergesst den Acer Predator 21x, der ist ...

Windows Update
Sicherheitsupdate für SQL Server 2014 SP3
Information von sabines vor 1 TagWindows Update2 Kommentare

Für den SQL Server 2014 existiert ein Sicherheitsupdate. Laut KB Artikel wird es als CU3 angezeigt: Server 2014 SP3 ...

Backup

Veeam Agent für MS Windows - neue Version verfügbar (bedingt jedoch offenbar .NET Framework 4.6)

Information von VGem-e vor 2 TagenBackup1 Kommentar

Moin Kollegen, einer unserer Server zeigte grad an, dass für o.g. Software ein Update verfügbar ist. Ob ein evtl. ...

Python

Sie meinen es ja nur gut - Microsoft hilft python-Entwicklern auf unnachahmliche Weise

Information von DerWoWusste vor 4 TagenPython2 Kommentare

Stellt Euch vor, Ihr nutzt python unter Windows 10 und skriptet damit regelmäßig Dinge. Nach dem Update auf Windows ...

Heiß diskutierte Inhalte
Windows Update
WSUS - erforderlich Updates
Frage von emeriksWindows Update24 Kommentare

Hi, ein gängiges Verfahren, welche Updates man am WSUS-Server genehmigen soll und welche nicht, beruft sich darauf, dass man ...

Netzwerkgrundlagen
Neue Serverumgebung von 0 aufbauen
Frage von JacareNetzwerkgrundlagen20 Kommentare

Hallo zusammen, ich bin noch nicht lange hier und weiß nicht, ob meine Frage daher etwas ungewöhnlich ist. Ich ...

Off Topic
Installationskosten Verkabelung
Frage von Xaero1982Off Topic14 Kommentare

Moin Zusammen, ich bräuchte mal ein paar Meinungen, weil ich mir da gerade echt nicht ganz sicher bin. Ich ...

LAN, WAN, Wireless
Ich möchte mein Heimnetz umbauen. Welches ist die beste Variante?
Frage von s.burgerLAN, WAN, Wireless13 Kommentare

Schönen guten Tag liebe Admin-Community, ich wollte schon seit geraumer Zeit mein Heimnetzwerk etwas aufräumen und wollte euch um ...