Bitlocker-PIN per Fernzugriff eingeben

[Shor]

Moin!

Ich hab einen PC in der Wohnung. Auf diesem PC ist Software installiert, die nur auf diesem PC installiert und verwendet werden kann. Nun möchte ich von unterwegs über ein Android-Tablet auf diesen PC zugreifen können - per "Remote Desktop"-App von Microsoft. Da ich den PC nicht die ganze Zeit anlassen möchte, während ich unterwegs bin, möchte ich ihn immer per Wake On LAN hochfahren, wenn ich ihn brauche. Da sich im selben Netzwerk ein Synology NAS befindet, der auch einen OpenVPN-Server stellen kann, würde ich mich auf diesen verbinden, um das erforderliche Magic Packet - entwedet per NAS oder Android-Tablet - an den PC zu senden und ihn so hochzufahren. Das Problem ist: Ich kann meines Wissens nach erst eine Remote Desktop Verbindung aufbauen, wenn der Windows-Bildschirm zur Benutzeranmeldung zu sehen ist. Vorher stellt sich mir aber erstmal Bitlocker in den Weg und verlangt eine PIN (was auch so bleiben soll).

Meine Frage ist daher: Gibt es irgendeine (vielleicht auch bezahlbare ) Möglichkeit, per Fernzugriff die Bitlocker-PIN einzugeben? Wichtig wäre mir, dass die Übermittlung der PIN sicher, also über mein VPN-Netzwerk stattfindet. Ich glaube also, dass ich ein Gerät suche, das ich meinem Netzwerk hinzufügen und an meinem PC anschließen kann, um mich damit zu verbinden und Eingaben machen zu können und bestenfalls auch die Bilddschirmausgabe abzufangen. Oder denke ich irgendwie zu kompliziert? Vielleicht gibt es auch irgendeine kreative Lösung? Jedenfalls wüsste ich nicht, was das genau für ein Gerät wäre bzw. ob es so etwas überhaupt gibt. Google bringt mich irgendwie immer nur auf verwandte, letztlich aber wohl falsche und/oder aussichtslose Fährten.

Viele Grüße und danke schonmal
Jens

 

[lun4ticx]

Hi,

es gibt eine Möglichkeit:

Board mit IPMI anschaffen, darüber sollte die Eingabe der PIN funktionieren.

 

[Jasmin83]

Oder TPM Modul anschließen und dort die PIN hinterlegen, das sollte auch gehen, soweit ich mich erinnere, dann fährt der Rechner halt ohne PIN eingabe hoch, aber dann hat man ja ein ausreichend starkes Windows Password.

 

[Shor]

Hi,

es gibt eine Möglichkeit:

Board mit IPMI anschaffen, darüber sollte die Eingabe der PIN funktionieren.

Hi,

danke für deine Antwort. Das war eine dieser "blöden Fähren", weil die Lösung leider nicht praktikabel ist. Ich müsste meinen kompletten PC umbauen, da es gerade mal zwei AM4-Boards gibt und diese wiederum andere wichtige Features nicht unterstützen. Ich bräuchte also einen komplett anderen Sockel und das ist nicht realistisch in meinem Szenario. Externe IPMI-Lösungen habe ich nicht gefunden; ich hatte hofft, es gibt einfach irgendwelche PCIe- oder USB-Erweiterungen. Oder kennst du da was?

Oder TPM Modul anschließen und dort die PIN hinterlegen, das sollte auch gehen, soweit ich mich erinnere, dann fährt der Rechner halt ohne PIN eingabe hoch, aber dann hat man ja ein ausreichend starkes Windows Password.

Moin,

auch dir danke! TPM-Modul anschließen und PIN hinterlegen kommt für mich leider auch nicht in Frage; da geht mir zu viel Sicherheit verloren. Wenn jemand während meiner Abwesenheit physischen Zugriff auf meinen PC erlangt, hat er Vollzugriff auf meinen Rechner. Spätestens, wenn er die Festplatten ausbaut, hilft auch kein Windows-Passwort mehr. Das Erfordernis, die Bitlocker-PIN einzugeben, muss also bleiben. Edit, weil totaler Quatsch (kA was da mit mir los war ) - hätte schreiben sollen: Da hab ich dann aber bei physischem Zugriff keine 2FA mehr, sondern nur das Windows-Kennwort als Schutz. Insofern würde ich erst mal weiter nach einer anderen Lösung suchen.

 

[ryan_blackdrago]

Raspberry PI Zero als USB Tastatur verwenden
Rasperry remote als USB Keyboard-Controller verwenden und entsprechende Eingaben an den Windows-Rechner senden.
//EDIT: und natürlich entsprechend die Zusatz-Hardware um den Zero ans Netz zu kriegen (z.B. ENC28J60)

 

[lun4ticx]

Externe IPMI-Lösungen habe ich nicht gefunden

Raritan z.B.
ist zwar keine externe IPMI-Lösung, aber netzwerkfähiges KVM. Und ich glaube Out-Of-Budget für deinen Anwendungsfall.

Dann wohl eher den PI Zero.

 

[M@rsupil@mi]

Wenn jemand während meiner Abwesenheit physischen Zugriff auf meinen PC erlangt, hat er Vollzugriff auf meinen Rechner. Spätestens, wenn er die Festplatten ausbaut, hilft auch kein Windows-Passwort mehr.

Äh, nein, so funktioniert das nicht. Wenn jemand die Platte ausbaut, dann bringt ihm das gar nix. Durch TPM ist die Platte an den Rechner gebunden und wird nur darüber beim Systemstart entsperrt. Baut man die Platte aus, dann ist ohne Bitlocker PW nichts zu sehen und das Windows-PW ohne Belang, da man so weit gar nicht erst kommt.

Generell hast du sowieso immer das Problem, dass sich PW-Eingaben am Rechner lokal wunderbar & einfach abfangen lassen. Aus der Ferne wird das nicht sicherer.

 

[Tom_123]

Spätestens, wenn er die Festplatten ausbaut, hilft auch kein Windows-Passwort mehr.

In diesem Fall würde aber die Bitlocker-Verschlüsselung greifen und den Wiederherstellungskey verlangen. Btw. die Festplatte kannst du immer ausbauen

 

[Shor]

Äh, nein, so funktioniert das nicht. Wenn jemand die Platte ausbaut, dann bringt ihm das gar nix. Durch TPM ist die Platte an den Rechner gebunden und wird nur darüber beim Systemstart entsperrt. Baut man die Platte aus, dann ist ohne Bitlocker PW nichts zu sehen und das Windows-PW ohne Belang, da man so weit gar nicht erst kommt.

In diesem Fall würde aber die Bitlocker-Verschlüsselung greifen und den Wiederherstellungskey verlangen. Btw. die Festplatte kannst du immer ausbauen

Da hatte ich in der Tat scheinbar einen kleinen Schlaganfall - sorry. Ich hätte schreiben sollen: Das Problem an der Lösung ist, dass ich dann bei einem physischen Zugriff keine 2FA mehr habe, sondern nur das Windows-Kennwort. Insofern würde ich erst mal weiter nach einer anderen Lösung suchen.

 

[yxcvb]

Nachteil von TPM: BIOS-Update -> PIN weg. Weiter: Neue Maus angeschlossen: Läuft nicht mehr, will bei jedem Start den Wiederherstellungsschlüssel haben. So ganz durchdacht ist das nicht mit dem TPM, es sei denn bei Firmenrechnern, an denen sich nichts ändert.

 

[Bob.Dig]

Ist der Rechner im Sleep oder aus? Wunder mich immer, wie viele Leute einen ausgeschalteten Rechner per WoL wecken können, ist glaube ich nicht Standard. Im Sleep wäre natürlich keine BitLocker-PIN-Eingabe nötig. 😉

 

[Shor]

Soweit ich das gelesen habe gehört das in der Tat nicht zum Standard, aber viele oder die meisten Mainboards unterstützen wohl WoL bei ausgeschaltetem PC. Sollte ich in der Tat mal eben testen - denn Bitlocker kommt ja wahrscheinlich nur, wenn der PC wirklich aus war. Wenn dem so ist und mein Board WoL nur bei Sleep unterstützt, kann ich mir natürlich den ganzen anderen Kram sparen - denn ich will wie gesagt nicht auf die Eingabe der Bitlocker-PIN verzichten. Check ich alles schnell.

 

[h00bi]

wie viele Leute einen ausgeschalteten Rechner per WoL wecken können

Das geht auch nur aus dem S5 state, also sauberer shutdown.

Die Lösung wäre hier aber vermutlich einfach S3 oder S4, also Standby oder Hibernate.

 

[Shor]

Also - mein B450M Mortar unterstützt WoL aus dem komplett ausgeschalteten Zustand.