BitLocker Win10 Pro bei Diebstahl Systemplatt geschützt?

Kleiner69 · 30. April 2019

Wenn du es so sicher wie möglich haben willst, solltest du dann aber auch nicht die PIN-Eingabe bei Start wählen, sondern einen Stick mit der Schlüsseldatei anlegen, ohne den das System nicht startet.
Am besten noch einen Hardwareverschlüsselten USB-Key (natürlich darauf achten, das du Kopien der Wiederherstellungsschlüssel an einem sicheren Ort hast, falls der USB-Key verloren/kaputt geht).

abulafia · 30. April 2019

Vielleicht kannst du es nicht erzwingen, da zur Zeit kein PIN gesetzt ist. Versuch mal die Einstellungen so wie ich es habe. Würde es mit der weicheren Einstellung "Systemstart-PIN bei TPM zulassen" versuchen.

Genau so wie auf meinem Bild habe ich es bei mir, und es klappt wunderbar mit Secure Boot, TPM, PIN und Bitlocker. Allerdings hatte ich die Einstellungen schon gesetzt, bevor ich irgendwas verschlüsselt habe. Eventuell musst du die Platte neu verschlüsseln, halte ich aber für unwahrscheinlich.

Yuuri · 30. April 2019

Dino93 schrieb:
@holdes hat zum Beispiel einen Weg genannt, wie es möglich wäre.

Du meinst das?

holdes schrieb:
Doch ist es nach wie vor, es gibt auch ein Tool welches nicht in der SAM das Admin Passwort ändert sondern eine Manipulation im RAM vornimmt und dadurch jedes Passwort beim Anmelden akzeptiert wird, wird also dieser Stick vorgebootet und die Platte ist dann von selbst offen kann ich mir gut vorstellen das man problemlos an die Daten kommt.

Wie wird dieser Stick """vorgebootet""", wenn kein anderes Bootmedium genutzt werden kann?! Siehe @Sephe

In den Bootprozess vom Windows kommst du jedenfalls nicht rein und extern kommst du nicht ran, da verschlüsselt. Das Angriffsszenario würde mich jetzt wirklich mal interessieren. Thunderbolt, Firewire und Co. via DMA mal außen vor...

Aber selbst wenn, warum sollte Windows alle etwaigen User und dessen Passwörter (unverschlüsselt) im RAM vorhalten?! Wieso? Komisches Szenario... Wenn der Login nicht klappt, überschreibt man fix den benötigten Speicher mit anderen Werten und schon ist das Passwort wieder weg. Zumal beim neuen Einlesen der Speicher eh eine andere Adresse haben und nicht exakt an der selben Position stehen würde...

corvus · 30. April 2019

Hier sollte alles Notwendige stehen, hat so bei mir immer funktioniert:

https://www.howtogeek.com/262720/how-to-enable-a-pre-boot-bitlocker-pin-on-windows/

holdes · 30. April 2019

Yuuri schrieb:
In den Bootprozess vom Windows kommst du jedenfalls nicht rein und extern kommst du nicht ran, da verschlüsselt. Das Angriffsszenario würde mich jetzt wirklich mal interessieren. Thunderbolt, Firewire und Co. via DMA mal außen vor...

Das ist schade, das wäre nämlich der andere Weg gewesen

Yuuri schrieb:
Aber selbst wenn, warum sollte Windows alle etwaigen User und dessen Passwörter (unverschlüsselt) im RAM vorhalten?! Wieso? Komisches Szenario... Wenn der Login nicht klappt, überschreibt man fix den benötigten Speicher mit anderen Werten und schon ist das Passwort wieder weg. Zumal beim neuen Einlesen der Speicher eh eine andere Adresse haben und nicht exakt an der selben Position stehen würde...

Nicht das Passwort steht im RAM, der Stick welcher gebootet wird ändert die Speicheradressen des Login Managers welcher dann eben jedes Passwort frisst. Ob es da Methoden per SecureBoot gibt wäre durchaus mal interessant habe ich mich noch nicht all zu sehr mit beschäftigt.

Domi83 · 30. April 2019

Das würde mich jetzt aber auch interessieren... wenn nämlich das "Windows Kennwort" inkl. Verschlüsselung (TPM ohne PIN) sowie das aktivieren von SecureBoot ausreicht, könnte ich das für mich Zuhause hinterlegen.

Dort habe ich nämlich TPM im BIOS deaktiviert, damit ich eine Vollverschlüsselung der Festplatten inkl. Kennwort fahren kann. Mir geht es eigentlich nur darum, dass ein Einbrecher (wenn er mal meinen PC klaut) nicht sofort an meine Firmendaten kommt.

Vorteil wäre dann nämlich, dass ich via WoL mal meinen PC starten und dann via TeamViewer drauf zugreifen kann. So wie es aktuell ist, kann ich ihn zwar via WoL starten, müsste aber physisch am PC sitzen um das Bitlocker Kennwort einzugeben. Das gleiche Szenario fahre ich auch auf meinem Notebook und würde das vielleicht auch dort ändern.

Smurfy1982 · 30. April 2019

holdes schrieb:
... der Stick welcher gebootet wird ändert die Speicheradressen des Login Managers welcher dann eben jedes Passwort frisst.

Und wie bekommt der Stick Zugriff auf die Systempartition? Diese ist verschlüsselt...

Bob.Dig · 30. April 2019

Smurfy1982 schrieb:
Und wie bekommt der Stick Zugriff auf die Systempartition? Diese ist verschlüsselt...

Nein, da ja das TPM vorhanden ist wird automatisch entschlüsselt. Wenn Du den Windowsanmeldebildschirm sehen kannst, ist der Key schon im Speicher. Mag sein dass man mit SecureBoot etc einiges absichern kann aber die Implementierungen sind doch recht unterschiedlich (MS Keys oder eigene oder vom MB), so dass darauf wohl nicht wirklich Verlass ist... bin aber kein Fachmann. Skepsis ist aber angebracht bei BitLocker ohne PIN/PW.

Finde den Dialog in der GP auch schlecht, so funktioniert es jedenfalls bei mir mit TPM (AMD Ryzen) und PIN:

emeraldmine · 30. April 2019

So trauen würde dem ganzen nicht. Bei "Macrium Reflect" kann ein Notrecovery-Medium erstellt werden bei
dem automatisch eine "Bitlocker" Verschlüsselung aufgehoben wird.

Ob das generell so funktioniert weis ich grade nicht, kommt auf den Versuch an, habs noch nicht probiert ob man dann doch manuell noch den "Schlüssel" eintippen muß. Weiß wer bescheid ?

Bob.Dig · 30. April 2019

BitLocker ist sehr sicher, wenn es denn mit einem sicheren Passwort/PIN genutzt wird. Dann ist es eigentlich nur im laufenden Betrieb angreifbar, weil da sind die Schlüssel, wie bei jeder Disk-Verschlüsselung, immer im RAM zu finden.

Wie es bei einer reinen TPM-Verschlüsselung aussieht, das ist ja die eigentliche Frage in diesem Thread.

holdes · 30. April 2019

Domi83 schrieb:
Vorteil wäre dann nämlich, dass ich via WoL mal meinen PC starten und dann via TeamViewer drauf zugreifen kann. So wie es aktuell ist, kann ich ihn zwar via WoL starten, müsste aber physisch am PC sitzen um das Bitlocker Kennwort einzugeben. Das gleiche Szenario fahre ich auch auf meinem Notebook und würde das vielleicht auch dort ändern.

Da gibts auch andere Möglichkeiten trotz Pin/Passwort Eingabe. Board Management Controller wie sie auf Servern zu finden sind erlauben sogar das Fernsteuern bereits im BIOS sowie Aus/Einschalten etc. Auf manchen Boards gibts so was von Haus aus, auf anderen könnte man das per Wächter Karte nachrüsten oder KVM over IP machen

.

Domi83 · 1. Mai 2019

Ja, die Varianten kenne ich... KVM over IP hatte ich mich mal bezüglich Kunden Server belesen. Aber da sehe ich dann in meinem Fall keinen Kosten- / Nutzen-Faktor der das ansatzweise gerechtfertigt

Aber danke noch mal für die Erwähnung solcher Features / Tools

corvus · 1. Mai 2019

emeraldmine schrieb:
So trauen würde dem ganzen nicht. Bei "Macrium Reflect" kann ein Notrecovery-Medium erstellt werden bei
dem automatisch eine "Bitlocker" Verschlüsselung aufgehoben wird.

Naja, das Medium muss entschlüsselt sein, während es erstellt wird. Ist nix anderes als die "Schutz anhalten" Funktion, die man in Windows selber für eine bestimmte Anzahl Neustarts verwenden kann, um zB BIOS Updates etc zu fahren. Wird auch von Windows selber bei Funktionsupdates verwendet.
Den Datenträger darf man dann halt nicht irgendwo ungeschützt rumliegen lassen. Aber Macrium kann nicht irgendein mit Bitlocker verschlüsseltes Laufwerk knacken...

Ergänzung (1. Mai 2019)

Domi83 schrieb:
Vorteil wäre dann nämlich, dass ich via WoL mal meinen PC starten und dann via TeamViewer drauf zugreifen kann. So wie es aktuell ist, kann ich ihn zwar via WoL starten, müsste aber physisch am PC sitzen um das Bitlocker Kennwort einzugeben. Das gleiche Szenario fahre ich auch auf meinem Notebook und würde das vielleicht auch dort ändern.

Remote-Unlock wird ohne grpahische Konsole einer Managementschnittstelle wie von Servern bekannt schwer. Geht aber auch mit Windows-Mitteln, erfordert aber zusätzliche Instrastruktur:

https://docs.microsoft.com/de-de/wi...locker/bitlocker-how-to-enable-network-unlock

Dino93 · 3. Mai 2019

corvus schrieb:
Hier sollte alles Notwendige stehen, hat so bei mir immer funktioniert:

https://www.howtogeek.com/262720/how-to-enable-a-pre-boot-bitlocker-pin-on-windows/

Soo nachdem ich nochmal alle Einstellungen überprüft habe, aber ich immer zu dem gleichen Ergebnis kam habe ich nochmal die komplette Schlüsslung entfernt und neu Verschlüsselt, aber wieder keine Option wo ich eine Start-PIN eingeben konnte. Nun, Dank der dieser Anleitung hat es jetzt endlich geklappt, man musste einfach über CMD und den genannten Befehlen in der Anleitung seine PIN vergeben

Dino93 · 7. Mai 2019

Dieser be*** Bitlocker mit seiner GPO bringt mich echt noch zum Verzweifeln. Ich habe gerade gesehen das meine Internete HDD (2. Festplatte) noch nicht verschlüsselt ist, also machte ich ein Rechtsklick drauf -> Bitlocker aktivieren -> gleiche Fehlermeldung wie oben "GPO stehen im Konflikt..." selbst mit VeryCrypt krieg ich die HDD nicht mehr Verschlüsselt... man ich fress gleich n' Bessen!

EDIT: hab es jetzt irgendwie mit VeryCrypt hingekriegt das er verschlüsselt, also die Verschlüsslung is gerad am laufen, ich halte euch auch am laufenden, sobald es fertig ist oder eine Fehlermeldung auftaucht, mich würde es nicht wundern....

Suche

BitLocker Win10 Pro bei Diebstahl Systemplatt geschützt?

Kleiner69

Commander

abulafia

Gast

Yuuri

Fleet Admiral

corvus

Lt. Commander

holdes

Captain

Domi83

Rear Admiral

Smurfy1982

Commander

Bob.Dig

Commodore

emeraldmine

Gast

Bob.Dig

Commodore

holdes

Captain

Domi83

Rear Admiral

corvus

Lt. Commander

Dino93

Ensign

Dino93

Ensign

Passend zum Thema

Per Vollbild-Anzeige Microsoft empfiehlt Windows-10-Nutzern Copilot+ PCs

Support-Ende für Windows 10 Ende 2025 Ein Jahr an zusätzlichen Sicherheitsupdates kostet 30 US-Dollar

Adieu Control Center Microsoft weist auf das Ende der Systemsteuerung hin