Laptop und PC Verschlüsseln

[Marco01_809]

Ja, ein Angreife käme so bis zum Windows-Login-Screen, aber von dort kommt er auch nicht weiter.

Das ist eine Vollkatastrophe. Du schaltest den Rechner ein. Das TPM plaudert einfach so den Key aus, ggf. über den LPC Bus der mit Arduino oder R-Pi mitgelesen werden kann. Der Key wird in den RAM des Geräts kopiert und verbleibt da dauerhaft. Windows startet von der verschlüsselten Partition. Alle Daten sind für Windows lesbar. Nun verbindet sich Windows auch noch mit dem Netzwerk und redet mit irgendwelchen Servern. Alle Hardware-Ports sind aktiviert. Durch faken von IDs kann man Windows dazu bringen beliebige Treiber in den Kernel zu laden. Na hoffentlich wurde noch nie ein Treiber mit Sicherheitslücken für Windows geschrieben. Die Angriffsfläche um den Key aus dem RAM zu lesen ist schier unendlich.
Und über das alles kommt dann nur so ein Vollbild-Fenster und fragt nach deinem Passwort hihi (mit Erinnerungshilfe, Ersatz-Fragen und Recovery-Optionen)

https://learn.microsoft.com/en-us/w...ity/data-protection/bitlocker/countermeasures
Microsoft sagt selber das TPM-only leicht überwunden werden kann:

For some systems, bypassing TPM-only might require opening the case and require soldering, but can be done for a reasonable cost. Bypassing a TPM with a PIN protector would cost more, and require brute forcing the PIN. With a sophisticated enhanced PIN, it could be nearly impossible

 

[CoMo]

Das TPM plaudert einfach so den Key aus, ggf. über den LPC Bus der mit Arduino oder R-Pi mitgelesen werden kann

Das wird bei einem Laptop eher nicht funktionieren, da hier üblicherweise kein diskretes TPM-Modul auf dem Board sitzt, sondern ein fTPM in der CPU. Da kommt man physisch nicht so einfach ran.

Die anderen Punkte treffen natürlich zu. Der Key hat niemals einfach so im Klartext irgendwo hingeschrieben zu werden, ohne dass sich der User vorher authentifiziert. Bei TPM-Only passiert aber eben genau das.

 

[entest]

@Marco01_809 Genau deshalb schrieb ich ja auch das es auf das Angriffsszenario ankommt.

Die Geschichte mit dem Raspi war aber auch etwas aufgebauscht. Es klappte ja nur weil ein diskretes TPM genutzt wurde und die Daten (unverständlicher Weise) unverschlüsselt übertragen werden. Bei nem fTPM hat sich das aber dann auch schon (fast) erledigt. MS bietet hierfür ja eigentlich den Plutonchip, welchen sie aber selbst in ihren eigenen Surfacegeräten nicht einbauen .

Und einfach so über DMA die Daten auslesen oder USB-IDs faken usw. Ja, da fällt mir dann dieser hier ein:

 

[Marco01_809]

@entest Für die DMA-Angriffe auf BitLocker gibt es fertige Software im Internet zu kaufen. Das geht so einfach dass ein erfahrener Angreifer ala Geheimdienst sich nicht die Hände schmutzig machen wird. Die Schraubenschlüssel-Option bekommt man erst WENN man eine PIN hat Und eine Entführung erhöht das Risiko dermaßen dass die meisten Angreifer das nicht in Betracht ziehen selbst wenn sie gezielt deine Daten haben wollten.

Davon ab war das Angriffsszenario ja Diebstahl. Den Dieb siehst du nie wieder (wenn du es überhaupt mitbekommst), weißt auch nicht warum er den geklaut hat oder was danach mit dem Laptop passiert. Im Regelfall kennt der Dieb dich auch nicht. Und ohne zu wissen wie technisch versiert der Dieb ist willst du dich ja entspannt zurücklehnen können in dem Wissen dass niemand mit deinen Daten oder Accounts Schindluder treibt.

 

[entest]

Praktisch wird der Rechner halt einfach irgendwo verscherbelt, ob mit oder ohne Daten drauf aber ja, du hast Recht, sicher ist sicher.

 

[Gliese]

Praktisch wird der Rechner halt einfach irgendwo verscherbelt,

d.h. mit etwas Pech wird der Laptop von einem Dieb geklaut, der auf Diebstahl spezialisiert ist, allerdings keine Ahnung von Technik hat, und daher dann es an jemanden verscherbelt, der wiederum keine Ahnung von Diebstahl hat, aber technisch sehr auf hohem Niveau ist.
Könnten ja Bitcoins, Firmenunterlagen usw. drauf sein.

 

[SauseBrauseAhoi]

Ich habe Laufwerk C und D jetzt mit Bitlocker Verschlüsselt. Beim einloggen in den Rechner benötige ich ein Passwort. Sind meine Daten jetzt "sicher" auch in Relation zu Passwort und ohne Bitlocker oder muss ich noch etwas anderes unternehmen ?

Meine CPU ist:

Mainboard:

Mainboard:

> Exemplarisch bei meinem Desktop Rechner, da habe ich jetzt auch Bitlocker aktiviert.

Auf dem Laptop ist es ein Dell Precision 7520 mit einem Intel Core i7 7th Gen

 

[Drewkev]

Sind meine Daten jetzt "sicher" auch in Relation zu Passwort und ohne Bitlocker oder muss ich noch etwas anderes unternehmen ?

Sicher ist relativ, also inwiefern?

 

[PC295]

Beim einloggen in den Rechner benötige ich ein Passwort.

Meinst du wirklich dieses Fenster oder das Windows-Anmeldepasswort?

Sind meine Daten jetzt "sicher"

Wenn Bitlocker für das System- und Datenlaufwerk aktiviert ist, dann sind die Dateien sicher.

Um Angriffe auf die Bitlocker-Verschlüsselung zu minimieren solltest du zusätzlich die UEFI-Einstellungen mit einem Passwort schützen.
Im BIOS findest du dazu "Administrator-Password".
Das verhindert nicht nur, dass sich jemand an den Einstellungen zu schaffen macht, sondern auch, dass jemand ohne Passwort von USB oder CD/DVD booten kann.

Aktiviere, sofern verfügbar, den Speicherzugriffsschutz.

Verzichte auf die Funktion Standby / Energie sparen bzw. deaktiviere sie.

 

[Loomes]

Früher hatte ich auch Bitlocker mit zusätzlicher PIN Abfrage auf dem Laptop.
Mittlerweile nutze ich KEY auf USB Stick weil komfortabler. Den Stick habe ich um den Hals hängen.
Kurz ins Gerät gesteckt, hochgefahren und wieder abgezogen. Fertig.
Ist sicher genug. Sollte der Laptop mal abhanden kommen sieht der Dieb nur das blaue Fenster in dem steht bitte USB Stick mit Key einstecken.

 

[SauseBrauseAhoi]

Windows-Anmeldepasswort

Das, das andere kommt nicht.

 

[PC295]

Die PIN-Eingabe musst du in den Gruppenrichtlinien aktivieren:

- Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Bitlocker-Laufwerksverschlüsselung\Betriebssystemlaufwerke
-> Zusätzliche Authentifizierung beim Start zulassen

Die Einstellung erlaubt es 6 - 20 stellige PINs zu verwenden.
Du kannst auch konfigurieren, dass Buchstaben und Sonderzeichen verwendet werden können.

- Computerkonfiguration\Windows-Einstellungen\Administrative Vorlagen\Bitlocker-Laufwerksverschlüsselung\Betriebssystemlaufwerke
-> Erweiterte PINs für Systemstart zulassen

Wichtig ist aber, dass du das Passwort bei der Einrichtung im englischen Tastaturlayout eingibst.
(Die PIN-Abfrage erfolgt in einer Pre-Boot-Umgebung - und die kann nur Englisch.)

Du kannst die PIN nachträglich einrichten, ohne die Laufwerke ent- und neuverschlüsseln zu müssen.
Nachdem du die Gruppenrichtlinien konfiguriert hast, kannst du über die Eingabeaufforderung oder PowerShell eine PIN hinzufügen.
Anleitung: https://www.windowspro.de/wolfgang-sommergut/bitlocker-key-pin-absichern#_PIN_nachträglich_hinzufügen

Einmal eingerichtet, kannst du nachher auch in der Bitlocker-Verwaltung, Entsperrmethode oder die PIN ändern:

 

[entest]

d.h. mit etwas Pech wird der Laptop von einem Dieb geklaut, der auf Diebstahl spezialisiert ist, allerdings keine Ahnung von Technik hat, und daher dann es an jemanden verscherbelt, der wiederum keine Ahnung von Diebstahl hat, aber technisch sehr auf hohem Niveau ist.
Könnten ja Bitcoins, Firmenunterlagen usw. drauf sein.

Ja, kann alles sein. Bei bekannten Fällen waren es Leute die den Betrieb ausgekundschaftet haben (wann arbeitet jemand länger, wie sicher ist die Türe, gibt es eine Alarmanlage) und sind dann rein, haben die Überwachungscam weggedreht (waren vermummt) und haben dann die Notebooks eingesackt. Desktops, Monitore und Docks blieben da, dauerte ihnen wohl zu lange. Die Dinger dürften dann im Ostblock als "neu aufgesetzt" wieder auftauchen. Wissen kann mans natürlich nicht.

 

[chrigu]

Wenn der Dieb im Zug den Laptop entwendet hat und ein Passwort gesetzt wurde, muss er sowieso formatieren um den lappi zu nutzen oder zu verkaufen. Und da dein Kollege weder bei der Bank noch in irgendeiner Behörde arbeitet werden die Daten auch nicht wirklich Weltverändert sein, falls der Dieb sich überhaupt die macht die Daten herauszufischen. Ausser der lappi hat noch Windows Vista/7 drauf und ohne Passwort…
Bei lappi wird ab windows10 sowieso gefragt ob eine Verschlüsselung gewünscht wird. Also einfach bei neukaufen direkt ssd verschlüsseln.