BitLocker mit TPM - Daten von Festplatte sichern

[Lachgummi8]

Hallo,
ich informiere mich gerade über die Absicherung von Windows mit BitLocker/TPM/PIN. Also alles kombiniert.
Wenn ich das richtig verstehe, sorgt ein TPM dafür, dass die Integrität bewahrt bleibt. Wenn sich also etwas am System ändert, muss der Wiederherstellungsschlüssel eingegeben werden. Ich habe mir auch schon https://learn.microsoft.com/de-de/w...lanning-and-policies#bitlocker-key-protectors durchgelesen, um die Begriffe differenzieren zu können.

TPM=Sichert die Integrität ab
PIN=zusätzlicher Schutz beim Startvorgang
Wiederherstellungsschlüssel= wenn die PIN vergessen wurde

Meine Fragen, die ich nicht final per Google klären konnte:
- kann ich ein verschlüsseltes System (BitLocker/TPM/PIN) auch ohne passendes TPM entschlüsseln? Also wenn ich beispielsweise eine SSD ausbaue und woanders einsetze oder eine Datensicherung (1:1-Bitkopie) auf einen neuen aufspielen will und dann der neue Rechne nicht über dasselbe TPM verfügt: kann ich dann nur mit dem Wiederherstellungsschlüssel auf die Daten zugreifen?
Rein von der Logik her würde ich denken, dass ich in dem genannten Fall mit der PIN alleine das System nicht entschlüsseln kann, aber dass ich den Wiederherstellungsschlüssel einsetzen kann, um ein System zu entschlüsseln, auch wenn ich das TPM nicht mehr habe.

Bei VeraCrypt ist es ja relativ einfach. Ich kann das System unabhängig von Hardware betreiben. Wenn ich allerdings mein PW vergesse, dann ist der weg.

 

[cvzone]

auch ohne passendes TPM entschlüsseln?

Ja, mit dem Wiederherstellungsschlüssel. Es ist so, wie du es Dir denkst.

Der Windows Hello Pin alleine hat mit Bitlocker gar nichts zu tun. (edit: den meintest du bestimmt gar nicht, der nutzt aber auch TPM)

Falls du den Bitlocker Pin meinst. Der dient zum Entschlüsseln, setzt aber das korrekte TPM im Unterbau voraus. Ohne das richtige TPM bringt der Pin tatsächlich nichts. Der Pin ist quasi nur der Schlüssel für das Schloss mit dem eigentlichen Key für die Entschlüsselung.

Man kann ja Bitlocker theoretisch auch ohne Pin Abfrage einstellen. Dann ist das TPM nicht gesperrt und Bitlocker hilft nur gegen den Ausbau der SSD aus dem System.

 

[Pako1997]

Du verschlüsselst deine Festplatte mit Bitlocker. Dabei wird ein Password = Wiederherstellungsschlüssel festgelegt oder von Windows festgelegt. Damit du das Passwort nicht bei jedem Neustart eingeben musst ist es im TPM hinterlegt.
solange du die Festplatte also im selben PC hast und sich nichts an der Bootreihenfolge ändert wird deine Festplatte automatisch mit dem Passwort entsperrt. Ändert sich was, dann musst du es selber eingeben.

 

[He4db4nger]

also ich kann dir jetzt nur aus der Praxis erzählen: wenn bei uns an einem Notebook das mainboard ausgewechselt wird wegen irgendwelchen defekten, dann muss beim nächsten boot mit neuem board der Wiederherstellungsschlüssel eingegeben werden, den man hoffentlich in Azure ad oder ad gesichert hat.. danach gehts ganz normal weiter. also ja, ohne tpm kann auch entschlüsselt werden.


edit: man kann bitlocker zusätzlich mit pin entsperren, das hat nichts mit windows hello zu tun. sind zwei komplett verschiedene dinge.

 

[Lachgummi8]

@Pako1997
Das beschreibt nicht mein Szenario. In meinem Szenario ist das System noch zusätzlich mit einer PIN abgesichert, die beim Systemstart eingegeben werden muss.

@cvzone @He4db4nger
Vielen Dank für die Antworten. Dann weiß ich da Bescheid. Dann werde ich mich mal um den Wiederherstellungsschlüssel kümmern, dass ich den zumindest an zweiten Orten platziert habe.

 

[cvzone]

edit: man kann bitlocker zusätzlich mit pin entsperren, das hat nichts mit windows hello zu tun. sind zwei komplett verschiedene dinge.

Genau, das war ein erster Denkfehler meinerseits, weil beide Sachen TPM nutzen können.

 

[Bob.Dig]

Wobei die Sachen durchaus auch zusammen genommen werden können, je nach Einstellungen, also ganz sicher kann man sich nie sein, was da gerade wie läuft. 😉

 

[BlubbsDE]

Doch kann man. Mit dem Recovery Key kann man das Laufwerk an jedem Win Rechner entsperren. Egal was man konfiguriert hat.

 

[Bob.Dig]

Mit dem Recovery Key kann man das Laufwerk an jedem Win Rechner entsperren.

Dem habe ich auch nicht widersprochen. Ich hab aber langsam den Eindruck, dass ich zukünftig auf dich hier gut verzichten kann, ciao.

 

[andy_m4]

dann muss beim nächsten boot mit neuem board der Wiederherstellungsschlüssel eingegeben werden, den man hoffentlich in Azure ad oder ad gesichert hat..

Insbesondere durch das "hoffentlich" finde ich die Aussage ja hochspannend.
Der Sinn von Verschlüsselung ist ja salopp gesagt, das niemand an die Daten ran kommt außer ich. Um das sicher zu stellen gibt es ein Verschlüsselungsschlüssel den niemand hat außer ich. Das alles ist doch für die Katz, wenn ich den dann in irgendeine Cloud schiebe und damit überhaupt keine Kontrolle mehr darüber habe wer da dran kommt oder nicht.

 

[Lachgummi8]

@andy_m4
Es kommt darauf, wovor ich mich ja schützen will. Wenn ich BitLocker einsetze im privaten Umfeld, dürfte es nicht von Nachteil zu sein den Schlüssel in der Cloud zu speichern. Es geht ja immer noch um eine Offline-Verschluesslung. Und solange ich mich damit nicht vor einem Geheimdienst schützen will, dürfte der Angreifer keinen Zugriff auf meinen Cloud-Speicher haben. Meine Freundin oder der Dieb werden auf eine Cloud keinen Zugriff haben. Und für Unternehmen ist es auch von Vorteil. Da sollte nachher auch nur der Admin im Azure AD rankommen. Es kann immer mal sein, dass ein Mitarbeiter die PIN vergessen hat.

Aber ich verstehe deinen Punkt. Man muss halt immer schauen, was der Schutzbedarf ist und wie ich ihm umsetzen kann. Ich muss halt unter Abwegung aller Risiken schauen, welche Lösung ich wähle.

 

[andy_m4]

Und solange ich mich damit nicht vor einem Geheimdienst schützen will, dürfte der Angreifer keinen Zugriff auf meinen Cloud-Speicher haben.

Genau. Hat keiner Zugriff auf den Cloud-Speicher. Und Daten aus der Cloud kommen auch nie weg. Sämtliche Datenschutzskandale dazu sind frei erfunden. :-)

Ich würde sogar noch einen Schritt weiter gehen:
Gerade weil in der Cloud sensible Informationen gespeichert werden sind sie erst recht ein attraktives Angriffsziel.

Und für Unternehmen ist es auch von Vorteil.

Weil Du gerade von Geheimdiensten geredet hast: Es gehört u.a. sozusagen zum offiziellen Arbeitsgebiet der CIA Industriespionage zu betreiben.

Und klar ist es letztlich immer auch eine Abwägung und man kann das durchaus differenziert betrachten. Aber in dem von mir zitierten Beitrag kam es ja eher so rüber als wäre es doch selbstverständlich das man es so macht. Den Vorwurf fehlender differenzierter Betrachtung kann man machen, aber dann eher ihm gegenüber und nicht (nur) mir, der das lediglich aufgegriffen und kommentiert hat.

 

[Lachgummi8]

@andy_m4
Deine fachliche Meinung teile ich nicht, ist aber auch OT und daher werde ich nicht weiter drauf eingehen. Meine Frage wurde beantwortet. Vielen Dank an die Teilnehmer zur Klärung meiner Angelegenheit.

 

[andy_m4]

Deine fachliche Meinung teile ich nicht

Naja. Das Daten aus Clouds "wegkommen" und die CIA Wirtschaftsspionage betreibt sind keine Meinungen, sondern Fakten.