BitLocker Win10 Pro bei Diebstahl Systemplatt geschützt?

[Dino93]

Servus Leute!

ich habe bei mir mal BitLocker aktiviert. Durch das TPM am Mainboard meines Dell G3 Notebooks entsperrt er beim Hochfahren ja automatich meine SSD. Ein Zusätzlichen PIN beim Booten kann ich leider nicht vergeben, da TMP dazwischenfunkt.

Ich frage mich aber nun wie es ist wenn mein Notebook gestohlen wird. Der Dieb muss ja im Prinzip dann nur mein Windows 10 Kennwort knacken und hat so zugriff auf meine Daten. Da bringt die ganze Verschlüsslung ja auch nicht wirklich viel....

Und soweit ich immer wieder lese sind die Windows Passwörter ein Witz, die kann man sehr schnell knacken. Also wie schützt BitLocker bzw. TPM nun davor??

 

[Fliz]

Bitte mal Google benutzen.. Zweiter Treffer:

https://www.security-insider.de/was-ist-bitlocker-a-789767/

 

[BlubbsDE]

Ziemlicher Unfug. Ein TPM ist erstmal Grundvoraussetzung, damit Du Bitlocker überhaupt auf dem Systemlaufwerk nutzen kannst. Ohne TPM gehts nur auf Umwegen.

Und natürlich kannst Du eine PIN vergeben. Das ist sogar genau das, was Dir die Bitlocker Verwaltung in der Systemsteuerung empfiehlt.

 

[Dino93]

Ich kann eben keine PIN vergeben, weil meine Gruppenrichtline dazwischenfunkt. Ich verweiß mal auf das Thema hier: https://www.computerbase.de/forum/threads/win10-pro-bitlocker-mit-zusaetzlicher-pin-abrage.1731422/

Ich hab es den den GPO aktiviert mit der zusätzlichen PIN, aber trotzdem verweigert er mir die PIN Eingabe bei Systemstart...

EDIT: die sagen, das liegt an TPM und muss deaktiviert werden

Wenn das wirklich wahr ist, ist TPM ja mega sinnfrei.. einfach Notebook anschalten, Windows 10 Passwort knacken (was mit Tools ziemlich einfach ist) und schon hat man Zugriff auf die Daten.

 

[UNDERESTIMATED]

Man kann den Windows Passwort Schutz leicht aushebeln, ja. Knacken ist aber nicht wirklich einfach.
Das ist nicht dasgleiche. Aushebeln nutzt mit Bitlocker auch nichts. Es ist dann eben trotzdem verschlüsselt.

 

[Sephe]

Wenn das wirklich wahr ist, ist TPM ja mega sinnfrei.. einfach Notebook anschalten, Windows 10 Passwort knacken (was mit Tools ziemlich einfach ist) und schon hat man Zugriff auf die Daten.

Jetzt die Masterfrage:

• Volume ist verschlüsselt
• Secure Boot ist aktiviert

Möglichkeiten:

• Linux booten: Geht nicht
• Windows Stick booten: Geht, aber Volume ist verschlüsselt
• Festplatte ausbauen und woanders einbauen: Geht nicht, verschlüsselt

WIE genau knackst du jetzt das Passwort?

 

[Dino93]

Das Notebook entsperrt sich ja automatich bei mir ohne das ich eine PIN-Eingabe beim Booten eingeben muss. Eine PIN Eingabe lässt BitLocker aber nicht zu, solange ich TPM bei mir aktiviert habe.

Ergo, Du fährst den PC bis zur Windows Oberfläche hoch und steckst dann dein USB Stick ein, was ja nicht gesperrt ist und ein raffinierter Hacker hat ab da leichtes Spiel.

 

[Sithys]

Also hast Du jetzt gerade herausgefunden, dass eine Funktion, die Weltweit auf zig millionen Computern eingesetzt wird, kinderleicht auszuhebeln ist? Finde den Fehler...

 

[just_f]

Genau das ist dann eben nicht mehr so einfach - alte "Tools" zum ändern des Admin Accounts (Hiren Boot Stick o.ä.) griffen auch vor dem Start ein - hdd war da aber nicht verschlüsselt

 

[holdes]

Doch ist es nach wie vor, es gibt auch ein Tool welches nicht in der SAM das Admin Passwort ändert sondern eine Manipulation im RAM vornimmt und dadurch jedes Passwort beim Anmelden akzeptiert wird, wird also dieser Stick vorgebootet und die Platte ist dann von selbst offen kann ich mir gut vorstellen das man problemlos an die Daten kommt.

 

[Domi83]

Ich glaube der TE hat in irgend einem Film oder Serie gesehen, dass man einfach nur einen USB Stick einstecken braucht (bei gestartetem System) und sofort in das System kommt. Solch ein Szenario möchte er bei sich unterbinden, indem beim Hochfahren eine Kennwort / PIN Abfrage kommt, noch bevor der Anmelde-Screen von Windows zu sehen ist um das (von mir eben) beschriebene Szenario zu vermeiden.

Nachtrag: Das Thema GPO wurde ja schon selbst herausgefunden... nun muss man nur noch die korrekten Einstellungen setzen, bereits Bitlocker verschlüsselte Platte entschlüsseln und dann wieder neu verschlüsseln. Dabei dann das gewünschte Kennwort hinterlegen, Recovery-File irgendwo auf einem USB Stick ablegen, und Bitlocker seinen Dienst machen lassen

 

[Terrier]

Wenn das wirklich wahr ist, ist TPM ja mega sinnfrei.. einfach Notebook anschalten, Windows 10 Passwort knacken (was mit Tools ziemlich einfach ist) und schon hat man Zugriff auf die Daten.

Einfach mal selbst testen ob das so einfach ist oder kannst du kein Tool installieren.

 

[abulafia]

Aktivier doch einfach, dass Bitlocker zusätzlich zum TPM nach einer PIN fragt:

Frage mich warum das bei dir nicht geht. Man kann hier die Start-PIN sogar erzwingen.

 

[Zimmbo]

Bitlocker ist Safe, allerdings nur wenns auch mit PIN verschlüsselt ist. Die Festplatte lässt sich doch garnicht verschlüsseln wenn man keine PIN eingibt.

Edit: Safe ist immer relativ.

 

[dcX3]

Wie hier schon beschrieben kannst Du durchaus eine Pinabafrage mit aktiviertem SecureBoot und aktiviertem und in Besitz genommenen TPM aktivieren. Wird in zig Unternehmen so genutzt. Das TPM sichert Dir u.a. in Verbindung mit SecureBoot nur zu das die Plattform nicht verändert wurde und stellt somit eine zusätzliche Sicherheitsebene da. Was sagt denn z.B. tpm.msc im Windows?

Bitlocker mit automatischer Entschlüsselung finde ich auch, wie auch schon von anderen Personen erwähnt wurde, sinnfrei.

 

[Sephe]

Bitlocker mit automatischer Entschlüsselung finde ich auch, wie auch schon von anderen Personen erwähnt wurde, sinnfrei.

Ist es nicht:
Festplatte eingebaut -> Geht bis zum Windows Login. Ohne Passwort gehts hier nicht weiter.
Sobald du die Bootreihenfolge änderst oder Secure Boot deaktivierst, fragt der dich INSTANT beim nächsten Start nach dem Key.
Du hast also gar keine Change, was anderes zu machen, als zum Windows Login zu booten.
Festplatte ausbauen und in einem anderen PC in Betrieb nehmen geht auch nicht.

 

[john.smiles]

Falls einem die 128bit AES Verschlüsselung zuwenig ist -> https://www.howtogeek.com/193649/ho...56-bit-aes-encryption-instead-of-128-bit-aes/

 

[Wilhelm14]

Kann ich auch empfehlen, das einfach mal auszuprobieren. Laufwerk ausbauen und versuchen woanders auszulesen oder fremdes Bootmedium starten und alle gängigen Tricks anwenden. Unbedingt vorher Backups anlegen! Nicht, dass man am Laufwerk was ändert, dass nachher gar nichts mehr booten will.

 

[Dino93]

Ich sagte nicht kinderleicht ;-) ich weiß das knacken/hacken wie man es auch nennen möchte nie so leicht ist wie in vielen serien/filmen gezeigt wird.
Aber dennoch nicht unmöglich. Die Frage ist hier, wie sicher man es haben möchte und ich möchte es halt schon ziemlich sicher haben, zumindest das man sich vorher erst die Zähne ausbeißen muss, bevor man an die Daten kommt :-D

@holdes hat zum Beispiel einen Weg genannt, wie es möglich wäre.

Vielleicht muss ich wirklich nur noch eine Einstellung Anpassen die ich verpasst habe. Deswegen hab ich mal ein Screenshot von meinen derzeitigen Einstellungen angehängt und der Fehlermeldung, dass ich kein PIN-Vergabe wg. der GPO setzen kann.

@abulafia keine Ahnung, vielleicht mache ich auch irgendwas falsch :-(

 

[dcX3]

@Sephe
Ok, so habe ich dies noch nie ausprobiert, kenne es halt nur aus dem Unternehmenskontext mit automatischer Entschlüsselung entweder zertifikatsbasiert oder halt bei Domänenanmeldung.
Aber wieder was gelernt, ist ja auch sinnvoll das er dann zuschlägt, ich gehe davon aus Du meinst hier den Wiederherstellungskey?


@Dino93 Welche anderen GPO-Einstellungen für die Verschlüsselung sind denn konfiguriert?