BitLocker und C:\Users auf anderer Partition

[ischat]

Hallo,

vielleicht wird mir jemand weiterhelfen können. Da ich auf das Problem irgendwann im letzten Jahr gestoßen bin, erinnere ich mich nicht mehr an alle Details, aber ich versuche es zu rekonstruieren:

Bei meinem Windows 10 Pro befindet sich das User-Verzeichnis nicht auf der Systempartition C:, sondern auf einer weiteren Partition D:. Um das zu erreichen, hatte ich bereits vor der Installation irgendeine Konfiguration in den Installationsdateien angepasst - soweit, so gut.

Nun mein Problem mit Bitlocker: Ich wollte D: verschlüsseln, da dort alle meine wichtigen Daten liegen. Das funktionierte auch - doch leider hatte ich damit mein Windows "blockiert" - irgendein (user?) profile service konnte nicht geladen werden. Ich erinnere mich nicht mehr, ob ich noch den Bildschirm mit der Auswahl des Users erreichen konnte oder erst der Login fehlschlug.

Ich vermute, dass hier irgendwie eine unlösbare Abhängigkeit entstanden war - einerseits konnte D: nicht gelesen werden, weil verschlüsselt. Andererseits musste ich mich aber in mein Profil (auf D: ) einloggen, um D: zu entschlüssen.

Beheben konnte ich das ganze nur, in dem ich im Recovery-Modus D: wieder komplett entschlüsselt habe - damit war aber eben generell keine Verschlüsselung mehr da.

Meine Frage ist nun, wie ich bei diesem Setup (C:\Users auf D: ) meine Partition(en) mit Bitlocker verschlüsseln kann. Sieht da jemand eine Möglichkeit?

EDIT: Ich glaube, ich habe kein TPM.

 

[BlubbsDE]

Userordner auf c: belassen. Da geht es auch Bitlocker verschlüsselt.

 

[playerthreeone]

EDIT: Ich glaube, ich habe kein TPM.

Bitlocker ohne TPM ist halt auch nur Snake Oil (sprich nicht wirklich sicher).

 

[RalphS]

Wenn es um Benutzerdaten geht: was spricht gegen den Einsatz von EFS anstelle von Bitlocker? Zumindest im Sinne von Windows-Bordmitteln ist es für diesen Einsatzzweck da, im Gegensatz zu Bitlocker.

Bitlocker ist natürlich kein Schlangenöl, aber es ist dennoch nur Teil des Trusted Computing und dient nicht unmittelbar "dem Verschlüsseln" per se. Es wird eine Systemintegrität hergestellt, die es ohne Bitlocker nicht gegeben hatte... aber wenn der PC eingeschaltet ist, und/oder wenn man einfach das Teil unter den Arm klemmt und mitnimmt (dh nicht die Festplatte(n) ausbaut), dann bleibt Bitlocker weitgehend ohne Funktion.


Die Konfiguration von Windows in Bezug auf "welche Daten gehen wo" ist zwar prinzipiell möglich... aber wird noch nicht mal von Microsoft ordentlich behandelt. Es ist mies ja, und vielleicht kommen sie in 10 Jahren mal auf der Stufe von vor 10 Jahren an.... aber im Moment holt man sich mit "/Users liegt nicht auf dem System Volume" tatsächlich mehr Probleme ins Haus, als das man sie lösen würde.

Bitte auch bedenken, daß ein jeder Datenträger, der nachträglich verschlüsselt wird, per definitionem bereits kompromittiert ist, Stichwort Plaintextattacke. Damit ist es vergleichsweise trivial, an die verschlüsselte Information zu kommen.

=> Selbstverschlüsselnde Laufwerke verbauen, oder die neu gekaufte Platte von Anfang an verschlüsseln, BEVOR "interessante" Daten da drauf kommen.

 

[ischat]

Danke für die Antworten.

Wenn es um Benutzerdaten geht: was spricht gegen den Einsatz von EFS anstelle von Bitlocker?

Hmm, damit habe ich mich gar nicht beschäftigt. Wenn ich mich jetzt richtig informiert habe, könnte ich damit ausgewählte Verzeichnisse verschlüsseln, richtig? Die Frage wäre dann, ob das auch für das oder zumindest ein einzelnes User-Verzeichnis funktioniert (denn da sind ja auch Benutzerdaten). Ich würde vermuten, dass es zu denselben Problemen kommen würde wie bei Bitlocker.

aber im Moment holt man sich mit "/Users liegt nicht auf dem System Volume" tatsächlich mehr Probleme ins Haus, als das man sie lösen würde.

Naja, das Setup habe ich schon über viele, viele Jahre. Das mit der Verschlüsselung ist jetzt mein erstes (ernstes) Problem damit. Wobei... die Pfade und Standardordner (Dokumente, etc.) funktionieren schon irgendwie seltsam, alles nicht so richtig integriert.

aber wenn der PC eingeschaltet ist, und/oder wenn man einfach das Teil unter den Arm klemmt und mitnimmt (dh nicht die Festplatte(n) ausbaut), dann bleibt Bitlocker weitgehend ohne Funktion.

Das verstehe ich nicht. Ich dachte, dass die entsprechende Partition mit einem Schlüssel verschlüsselt ist, und dieser Schlüssel wieder verschlüsselt ist und nur mit Nutzerlogin (mit Passwort) entschlüsselt werden kann - habe ich das falsch verstanden?

Bitte auch bedenken, daß ein jeder Datenträger, der nachträglich verschlüsselt wird, per definitionem bereits kompromittiert ist, Stichwort Plaintextattacke. Damit ist es vergleichsweise trivial, an die verschlüsselte Information zu kommen.

Das verstehe ich auch nicht. Per definitionem? Solange niemand außer mir selbst auf die unverschlüsselten Daten zugegriffen hat, ist hier doch nichts kompromittiert. Und da niemand außer mir physikalischen Zugriff hat, waren die Daten nur lesbar, wenn ich den Rechner angeschaltet habe. Da ich mich dann in der Regel auch einlogge, was doch bei BitLocker die Daten "bei-Zugriff-entschlüsseln"-bar macht, sehe ich da jetzt keinen Unterschied zu mit/ohne BitlLocker. Übersehe ich hier etwas?

Was eine Plaintextattacke angeht: Ich bin kein Kryptologe, aber hängt das nicht von der Art der Verschlüsselung ab? Wobei ich nicht weiß, wie BitLocker funktioniert.