Frage zu Win11 Home Bitlocker

[Ro155]

Hi Leute,

habe schon einiges gelesne, auch hier im Forum inkl. der verlinkten Seiten, aber bin noch nicht abschließend schlau geworden.

Frage:
Bisher ging ich davon aus, dass Win11 Home keine Bitlocker Unterstützung biete.
Nun sah ich: Tut es doch (besitze einen Dell Inspiron Laptop) - das freut mich erstmal.

Die Einstellung unter Windows sieht wie folgt aus (Klick auf 1 öffnet 2 und dort finde ich 3):

Heißt also: Die Pro-Version bietet "mehr Bitlocker" als die Home Edition.
Bezieht sich das "nur" auf die Verschlüsslung externer Datenträger (also alles andere als das System Drive)? Oder worauf nohc?

Und weiters:
Bei meiner Arbeit setzen wir auch Bitlocker unter Win10 Pro ein, dort muss ich aber beim Booten eine Passphrase eingeben (vor dem eigentlichen Windows Boot, analog VeraCrypt). Bei meinem Win11 Home Bitlocker fährt Windows ja ganz normal hoch, kennt auch schon mich inkl. meines Useraccounts usw... Da frage ich mich: Woher kommt die Passphrase zur Entschlüsselung? Offensichtlich Lädt Windows ja ganz normal... heißt, ein Angreifer käme wohl auch ganz normal dirket an die entschlüsselte Platte, oder?

Oder läuft die Verschlüsselung über den TPM Chip, den man aber bei einem Angriff von Extern nicht Auslesen kann - sodass im Umkehrschluss eine Entschlüsselung nur im eigebauten Zustand GENAU in meinem Laptop möglich ist - und somit die Windows Bildschirmsperre von einem Angreifer nicht so einfach umgangen werden kann?

Danke vorab!

 

[cvzone]

Jo, das ist einfach gesagt ein Bitlocker Light.
https://www.thewindowsclub.com/difference-between-device-encryption-and-bitlocker

 

[CoMo]

Korrekt, das TPM entschlüsselt die Festplatte. Das ist relativ sinnfrei, denn wenn die Festplatte gestohlen wird, dann vermutlich inklusive Laptop. Solltest du also zumindest mit einer ordentlichen PIN absichern.

 

[Ro155]

Es sei denn natürlich, man kann den TPM-Key nicht auslesen? Dann kann man die SSD ja lediglich IM Laptop selbst betreiben / entschlüsseln lassen... und dann kommt man ja nur bis zum Windows Screen. Und diesen zu Bruteforcen, ich weiß ja nicht... nach X Versuhen wird man doch erstmal paar Minuten gelockt, oder?

 

[Incanus]

Das Windows Passwort ist sehr einfach zurückzusetzen. Für mehr Sicherheit benötigt es dann schon eine Pre-Boot-Authentifizierung.

 

[Ro155]

Ach, das geht nun noch immer, trotz der TPM Bitlocker Verschlüsselung?
Hm, heißt somit, das bringt 0.0? Weird...

 

[tollertyp]

Wenn dein Windows aber verschlüsselt ist, ist das Passwort auch nicht so einfach zurückzusetzen..

@ILikeCB: Wenn du es wissen willst wie einfach es ist: Versuch doch mal ohne Wiederherstellungsschlüssel und ohne Eingabe deines bekannten Kennworts in dein System zu kommen.

 

[Incanus]

Stimmt, da man dann ja auch nicht so einfach die entsprechenden Dateien zurücksetzen kann, das ist natürlich richtig.

 

[PC295]

Es sei denn natürlich, man kann den TPM-Key nicht auslesen? Dann kann man die SSD ja lediglich IM Laptop selbst betreiben / entschlüsseln lassen... und dann kommt man ja nur bis zum Windows Screen. Und diesen zu Bruteforcen, ich weiß ja nicht... nach X Versuhen wird man doch erstmal paar Minuten gelockt, oder?

TPM bringt Funktionen mit, die einen Brute Force-Angriff auf die Bitlocker-Verschlüsselung verhindern.
In der Anmeldemaske selbst sind standardmäßig keine solcher Schutzfunktionen aktiv. Hier hat aber MS nachgerüstet und bietet in den Gruppenrichtlinien nun Optionen zur automatischen Kontensperre bei mehrfach falschen Passwort-Eingaben.
Die Gruppenrichtlinien stehen allerdings nur in den Pro-Versionen zur Verfügung.

Es gibt auch über die Eingabeaufforderung Befehle zum Aktivieren des Brute Force-Schutzes für den Windows-Login. Ich weiß aber nicht, ob diese in den Home-Versionen zur Verfügung stehen...

Du kannst es einfach probieren:
Die Eingabeaufforderung muss dazu mit Administratorrechten gestartet werden.

Mit den Befehl net accounts kannst du den Status des Kontoschutzes einsehen:

Sperrschwelle = die Anzahl der Passwortfalscheingaben, nachdem das Benutzerkonto gesperrt wird
Sperrdauer = Minuten, wie lange das Konto gesperrt bleibt
Sperrüberprüfungsfenster = Minuten, wie lange nach einer Falscheingabe gewartet muss, bis erneut ein Kennwort eingegeben werden kann.

mit dem Befehl net accounts /lockoutthreshold:5 legst du die Anzahl der fehlgeschlagener Anmeldeversuche fest, nach welcher der Login gesperrt werden soll. (Hier als Beispiel 5 Fehlversuche)

mit dem Befehl net accounts /lockoutduration:60 legst du die Minuten fest, wie lange der Login gesperrt bleiben soll (Hier 60 Minuten)

und mit dem Befehl net accounts /lockoutwindows:1 kannst du festlegen, wie lange nach einer Falscheingabe gewartet werden muss, bis es neu probiert werden kann (Hier 1 Minute)

Es kommt jeweils eine Meldung, ob die Einstellung erfolgreich gesetzt werden konnte.

 

[Ro155]

Danke dir, die Sperrdauer konnte ich erfolgreich ändern - nun sehen die Einstellungen im CMD Fenster wie folgt aus:

Sperrschwelle: 10
Sperrdauer (Minuten): 60
Sperrüberprüfungsfenster (Minuten): 10