Rechner (Windows) Verschlüsseln - 2023

[DFFVB]

Hallo zusammen,

angeregt durch den LTT Hack und der Erkenntnis, dass hier bei Diebstahl alle Session Tokens ebenfalls ungeschützt sind, frage ich mich nach der bestmöglichen Absicherung, gegen Einbruch / Verlust. Bestmöglich im Sinne von angemessenes Verhältnis von Komfort zu Sicherheit ;-)

Ich sehe grundsätzlich drei Möglichkeiten:

1. Bitlocker 2. Veracrypt 3. BIOS SSD-Verschlüsselung

1. Bitlocker

Hier gibt es ja mehrere Varianten,​

a) die erste und einfachste ist es zu aktivieren, wobei es da nur TPM Schutz genießt. Sprich, wer das Laptop klaut, hat immer noch Zugriff darauf, und kann per Brute-Force das PW knacken, bzw. das PW zurücksetzen, oder all die vielen Lücken ausnutzen, bei denen man sagt "Ist ja grad egal, wenn der Angreifer physischen Zugriff hat", bzw. cold boot attacken.​

b) Sprich man sollte zusätzlich Pre-Boot PIN aktivieren. Welche Risiken bleiben hier? TPM ab 2.0 sollte ja gegen Brute Force geschützt sein, ergo kann hier auch eine achtstellige numerische PIN gewählt werden?​

c) Bonus: Netzwerk Unlock - Dazu muss ich aber nen Windows Server plus AD betreiben... Hat da wer Erfahrung?​

​

2. Veracrypt

Grundsätzlich ja MS vorzuziehen, allerdings nutzt es kein TPM, die Erklärung in der FAQ find eich etwas lahm: Wenn der Angreifer physischen Zugriff hat, ist eh egal. Klar kann ich da dann ein so langes PW wählen, dass es nicht brute-force anfällig ist, aber das ist schon angenehmen nur Zahlen bei Bitlocker, und sich halbwegs auf TPM verlassen zu können. Ja mich weiß, TPM hat unterschiedliche Implementierung, und alle zwei Stunden ein neuer Versuch - aber selbst bei 6 Stellend auert das einem normalen Angreifer zulange.​

​

3. BIOS Passwörter für die Datenträger

Hier habe ich noch relativ wenig Erfahrung, früher konnte man BIOS Passwörter durch entfernen der CMOS Batterie zurücksetzen, nachdem ich gestern gelernt habe, dass ATA Passwörter nichtmal die Platte formatierbar ist, dürfte das schon auch Sicherheit bieten, mit wahrscheinlich dem gleichen Nachteil wie bei Verycrypt? Oder ist hier das Zusammenspiel mit TPM?​

​

​

Danke vorab für eure rückmeldung

​

 

[Kronos60]

wer das Laptop klaut, hat immer noch Zugriff darauf, und kann per Brute-Force das PW knacken,

Wenn das Passwort sicher ist (16-20stellig, Groß/Kleinbuchstaben, Sonderzeichen und Ziffern) ist es praktisch nicht zu knacken bzw. es würde mit Brute-Force Jahrzehnte dauern.

 

[Anonymous209]

jahrelang in der arbeit mit bitlocker unterwegs gewesen, hat immer funktioniert. worst-case wäre ja auch, man sperrt sich selbst aus und hat so datenverlust.

 

[Zer0DEV]

Wenn das Passwort sicher ist (16-20stellig, Groß/Kleinbuchstaben, Sonderzeichen und Ziffern) ist es praktisch nicht zu knacken bzw. es würde mit Brute-Force Jahrzehnte dauern.

Wenn der Dieb ein Student an einer Elite-Uni oder aber in einem Institut mit Supercomputer arbeitet, dann nicht.

 

[Kronos60]

Wenn der Dieb ein Student an einer Elite-Uni oder aber in einem Institut mit Supercomputer arbeitet, dann nicht.

Auch da würde dauert es Jahrzehnte dauern.
Kann man hier ausprobieren:
https://checkdeinpasswort.de/

Bitte keine gültigen Passwörter eingeben sondern nur Phantasiepasswörter.

 

[juwa]

Ich nutze dafür Veracrypt, aber um ganz sicher zu gehen, lasse ich die SSD mit sehr empfindlichen Daten nicht aus den Augen, nehme sie daher auf Reisen überall mit. Was lustig war, bei der Einreise in die USA haben die Beamten das Teil kontrolliert, die erste Fake-Partition haben die auch auslesen können, die eigentlichen Daten aber nicht, die zweite Partition wurde für einen Defekt befunden.

 

[PC295]

Für die Systemverschlüsselung nimmst du am besten Bitlocker, es bietet die beste Kompatibilität und macht keine Probleme falls du dein System auf eine neuere Version aktualisierst.

Andere Partitionen mit sensible Dateien kannst du auch mit VeraCrypt verschlüsseln, wobei aber auch Bitlocker vollkommen ausreichend ist.

Wenn du Bitlocker für das verwendest, dann unbedingt in den GPO die Zusätzliche Authentifizierung beim Start aktivieren.
Der TPM-Only-Modus, wie sie z.B. bei der Geräteverschlüsselung in den Home-Versionen zum Einsatz kommt, ist nicht sonderlich sicher: https://winfuture.de/news,135210.html

In den Gruppenrichtlinien kannst du außerdem festlegen, dass der PIN auch Buchstaben und Sonderzeichen enthalten darf:

- Computerkonfiguration\Windows-Einstellungen\Administrative Vorlagen\Bitlocker-Laufwerksverschlüsselung\Betriebssystemlaufwerke
  - Erweiterte PINs für Systemstart zulassen

Wichtig dabei ist, dass du den PIN im englischen Tastaturlayout eingibst, da die Pre-Boot-Umgebung standardmäßig das englische Layout verwendet.

Standardmäßig verschlüsselt Bitlocker mit AES-128, wenn du einen längeren Schlüssel verwenden möchtest kannst du das ebenfalls in den Gruppenrichtlinien umstellen:

- Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Bitlocker-Laufwerksverschlüsselung
  - Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerke auswählen: XTS-AES 256-Bit

Der Zugang zum UEFI sollte durch einen Passwort geschützt werden.
Auf modernen UEFI-Boards lässt sich dass Passwort auch nicht mehr so einfach zu umgehen oder ohne Datenverlust zurücksetzen. Das würde heissen, dass das TPM ebenfalls gelöscht wird.
Die Entsperrung der verschlüsselten Datenträger wäre dann nur mit den Wiederherstellungsschlüssel möglich.

Mehr Infos findest du auch hier: BitLocker-Gegenmaßnahmen

 

[DFFVB]

Sehr hilfreich! Danke @PC295

@Kronos60 Siehe Link von PC295 - auch über Thunderbolt kann wohl der RAM ausgelesen werden, weil das System selber sich komplett entschlüsselt, dazu kommt, lieber zwei "unsichere" Passwörter, als jedes Mal ein ellenlanges.

@juwa Und was wenn Du die SSD verleirst? Oder Zuhause ein BackUp? Und krass, dass die Amis da wirklich darauf schauen, ist schon ne Frechheit... aber cool, dass Veracrypt da wirkliuch funktioniert

 

[juwa]

@DFFVB
Ich kann die Platte natürlich auch verlieren oder sie kann mir gestohlen werden, natürlich habe ich sogar zwei Backups davon gebunkert. Ja, der Zoll in den USA ist da sehr neugierig. In meinem Fall geht es natürlich nicht um OK, Kinderpornos oder Terrorpläne, sondern eher einfach um klassische Schlapphut-Spionage. Du weißt ja sicher auch, dass die selbst das Telefon der Kanzlerin Merkel verwanzt hatten.

Die Einreise in den USA war übrigens damals über Kanada mit einem Mietwagen mit US-Kennzeichen, das war denen sowieso alleine schon alles sehr suspekt. In einem meiner zwei Pässe hatte ich noch ein 6 Monate älteres Visum neben dem aktuell gültigen.

Die haben mir glatt das Notebook weggenommen und vermutlich auch ein Image von der Platte gezogen, denn das Teil haben die definitiv aufgeschraubt. Hat alles ein paar Stunden Zeit gekostet, aber dann anstandslos alles zurück bekommen und mir eine gute Fahrt gewünscht inklusive "Welcome to America"... hey ich bin aus Kanada eingereist... aber einen dummen Kommentar habe ich mir verkniffen.