Systemverschlüsselung mit Preboot-PIN, Keyfile übers Netzwerk

[Fenugi]

(TLDR unter dem Roman)

Hallo ihr Lieben,

um meine private IT-Umgebung weiter abzusichern, möchte ich die Festplatten meines Rechners (Fujitsu Celsius W520 Power, Xeon E3-1240 v2; Windows 10 Enterprise 20H2 im CSM-Modus) endlich einmal verschlüsseln. Am liebsten würde ich dazu Bitlocker mit Preboot-PIN verwenden, was jedoch einen großen Showstopper mit sich bringt: Der Remote-Neustart des Rechners wird nicht mehr möglich sein, da die PIN vor Ort eingegeben werden muss. Zwar verfügt der Rechner über Intel AMT, über das sich der Rechner remote herunterfahren, neustarten etc. lässt, aber das eingebaute KVM/VNC funktioniert mangels iGPU nicht, weshalb ich eine Lösung benötige, die bei Vorhandensein eines externen Faktors (über Netzwerk!) die Abfrage der Preboot-PIN überspringt.

Freudig bin ich zuletzt über Bitlocker Network Unlock gestolpert, das auf den ersten Blick meine Anforderung erfüllt, die Preboot-PIN zu überspringen, sofern auf einem anderen Rechner ein Keyfile vorhanden ist (ganz grob formuliert). Dummerweise wird dafür u.a. ein Windows Server mit WDS benötigt, was für mich nicht praktikabel ist (sofern mein Rechner die anderen Voraussetzungen bzgl. UEFI-DHCP etc. überhaupt unterstützt -- noch nicht geprüft).

Bei der weiteren Recherche habe ich einem Forum den Tip entdeckt, einen Raspberry per USB an den Rechner anzuschließen, sich über SSH auf den RBPi zu verbinden und die Preboot-PIN darüber einzugeben: https://github.com/n0rc/rpi-remote-keyboard
Das ist halt schon irgendwie ein hartes Gebastel, mal davon abgesehen, dass ich keinen RBPi habe. Wenns gar nicht anders gehen sollte, ist das aber eine Überlegung wert.

Hat jemand einen Vorschlag, wie und ob das Problem überhaupt lösbar ist? Dabei bin ich natürlich nicht auf Bitlocker festgefahren, wobei ich auf die Schnelle nichts bzgl. Veracrypt in die Richtung gelesen habe.

Vielen Dank im Voraus für jegliche Denkanstöße!
P. S.: Bin ITler, knallt mich also gern mit abgefahrenen Ideen zu!


TLDR: Mein Rechner soll inkl. Preboot-PIN verschlüsselt werden. Die PIN soll jedoch bei Vorhandensein eines externen Faktors nicht abgefragt werden. (z. B. ein Keyfile auf einem anderen Rechner per Netzwerk. Keine Smartcard, kein USB-Stick o.ä. im selben Rechner!)

 

[TorenAltair]

Da Du Windows 10 Enterprise hast, hast Du ja einen Lizenzvertrag mit Microsoft, die können Dir da direkt helfen bei der Absicherung.

 

[prian]

Suchst Du nach eine Lösung die das automatisch macht für Dich bei einem Restart?
Dann wird m.E. kein Weg an der MS-Lösung vorbeiführen.

Wenn Du nur im Notfall bei einem Restart die PIN remote eingeben musst, dann wird wohl kein Weg an einer Bastellösung vorbeiführen.

Ich lasse mich gerne von einer anderen Lösung überraschen und bin gespannt.

Grundsätzlich setzt Du wohl keine Hardware ein, die man für so ein Szenarion nutzen müsste (iGPU, ...), das macht das Ganze etwas komplzierter.

Das "WARUM das Ganze" stelle ich nicht zur Diskussion, würde mich nur brennend interessieren.

 

[RalphS]

Csm ist schon das erste Problem… solange das an ist, kann der Rest nicht viel erreichen.
Tpm verbaut?

 

[Chris_S04]

Wie RalphS schon sagt CSM und Network Unlock läuft nicht.

Ich habe im Firmenumfeld Mal mit BNE herumgespielt und habe festgestellt, dass das für einzelne Clients funzen kann, aber wenn man mehrere Cleints hat, v.a. unterschiedliche Modelle, wenn auch vom gleichen Hersteller (bei uns auch alles Fujitsu Endgeräte) wird es schwierig.
Ich hatte da die Erfahrung gemacht, dass viele Clients ganz bestimmte Einstellungen benötigen, damit das geht, die aber von Modell zu Modell wieder unterschiedlich waren, gerade was die Bootreihenfolge angeht. Und selbst dann hat das nicht immer zuverlässig funktioniert, bzw. ein Client war zufrieden ein anderer nicht. Der WDS war aber nicht das Problem, da der seine Anfragen beantwortet hat, sofern die kamen, was eben nicht immer der Fall war.

Mit anderen Faktoren kenne ich jetzt Out of the Box auch nur Dongles im Sinne von USB-Sticks oder Smartcards. Wenn die ausscheiden wird es eng.

Reicht dir eine Verschlüsselung per TPM allein nicht? Das wäre zumindest besser als gar nichts.

 

[Fenugi]

Erstmal vielen Dank für eure Antworten! Ich habe leider schon befürchtet, dass es die ultimative Lösung für mich in der Form wohl nicht gibt.

Das "WARUM das Ganze" stelle ich nicht zur Diskussion, würde mich nur brennend interessieren.

Abgesehen vom Spieltrieb wollte ich, wenn schon, die Verschlüsselung "richtig" angehen. Dazu gehört für mich ein Preboot-Passwort dazu; irgendwie kann ich mich mit dem Gedanken nicht so richtig anfreunden, direkt ins OS zu booten und dort "nur" durch das Loginpasswort geschützt zu sein. Aber weil ich oft nicht daheim bin, aber über VPN/RDP auf dem Rechner arbeite und diesen auch mal neustarten will, fällt eine (für mich) unumgehbare Preboot-Passworteingabe weg.

Bei solchen Themen stellt sich natürlich immer die Frage, gegen welchen Angreifer man sich schützen will. Meine IT drumherum ist, denke ich, ganz gut abgesichert, also bleibt eigentlich nur die Möglichkeit, dass jemand physisch einbricht und sich am Rechner zu schaffen macht oder diesen gleich komplett mitnimmt.
Zwar habe ich auf dem Rechner nichts "Kritisches" und bin auch nicht Staatsfeind Nr. 1, möchte mich aber neben Diebstahl auch gegen evtl. Hausdurchsuchungen absichern. Das klingt vielleicht paranoid, aber man weiß nie, wie sich die Gesetzeslage ändern kann/wird. Und gerade bei Letztem ist es mir lieber, wenn der Rechner nicht direkt ins OS bootet.

Tpm verbaut?

Jup, siehe Screenshot.

Mit anderen Faktoren kenne ich jetzt Out of the Box auch nur Dongles im Sinne von USB-Sticks oder Smartcards. Wenn die ausscheiden wird es eng.

Reicht dir eine Verschlüsselung per TPM allein nicht? Das wäre zumindest besser als gar nichts.

Danke für deinen Erfahrungsbericht mit Network Unlock. Schade, dass das microsofttypisch wieder so ein Moloch sein muss. Mir hätte ja schon eine Lösung gereicht, die beim Pre-Boot ein Keyfile über das Netzwerk abfragt (meinetwegen auch per HTTP, läuft ja eh über VPN an einen anderen Standort) und dann die PIN-Eingabe überspringt. Ganz simpel, scheint es aber nicht zu geben.

Ergänzung: Für Linux in Verbindung mit LUKS geht das wohl ziemlich genauso; ich hatte mir das schon für meine beiden VPS überlegt, aber dort habe ich natürlich einen KVM-Zugriff und kann darüber beim Neustart die Passphrase eingeben.

Zum TPM-Only hast du natürlich recht, und im Zweifelsfall werde ich das auch so umsetzen, anstatt gar nichts zu machen. Eine Smartcard o.ä. wäre nix für mich, da ich ja den umgekehrten Weg brauche: Während ich vor Ort bin, ist eine PIN-Eingabe OK, ansonsten halt (optional) nicht.

 

[Chris_S04]

Gerne, aber in dem Fall, weiß ich gar nicht ob MS das Problem ist. Im Grunde wird der WDS benötigt, da der ein PXE Relax bereitstellt und der Client das Zertifikat für den Network Unlock per PXE erhält. Dazu muss halt auch ein Zertifikat erstellt und auf die Clients ausgerollt werden und der WDS muss entweder als Option im DHCP oder als IP Helper im Subnetz des Clients eingetragen sein. So ein riesiger Act ist das eigentlich gar nicht.

Imho war da immer die Implementierung des DHCP Clients das Problem. Denn wie gesagt habe ich auf dem WDS den Traffic mitgeschnitten und gesehen, wenn ein Request reinkam, wurde der auch beantwortet und der Rechner hat keine PIN verlangt. Meistens kam der Request aber gar nicht erst und da hab ich nie herausfinden können wieso. Das Netzwerk und der Server waren es jedenfalls nicht, also tippe ich stark auf den DHCP Clients des BIOS Und wie gesagt manche Clients haben den Network Unlock nur gemacht, wenn die primäre Bootoption PXE war, andere nur, wenn es der Windows Boot Manager war, manche nie, bla blubb. Eine Anfrage bei Fujitsu direkt ob das bekannt wäre wurde leider nie beantwortet.

Das Feature wäre super, aber so war es für uns leider unbrauchbar. Außerdem, es setzt halt auch eine MS Infrastruktur voraus, also WDS und eine AD wäre gut, aber ich glaube nicht notwendig.

 

[Fenugi]

@Chris_S04 Als ich die Voraussetzungen überflogen habe, ist mir dennoch das Essen aus dem Gesicht gefallen. Ich administriere zwar schon ewig Windows Server und Exchange, aber halt eher im KMU-Bereich, und kann die Male, an denen ich ob der unnötigen Komplexität für die Realisierung vergleichsweise einfacher Funktionen im Strahl gekotzt habe, nicht mehr zählen. Ist halt alles auf Enterprise skaliert, und da kann ich das schon verstehen. Ich hätte mir jetzt aber gerne mehr Hemdsärmeligkeit gewünscht.

Zudem die Lösung für mich wohl eh nichts wäre, wenn der WDS außer Haus steht, weil DHCP in ein anderes Subnetz über VPN... mehr durch die Brust ins Auge geht wohl nicht.

Ich glaube, die Bastellösung mit dem Raspberry werde ich mir wohl bei Gelegenheit wirklich einmal ansehen. Alles Andere ist wohl nicht umsetzbar, bzw. mein Usecase ist dann doch zu speziell. Danke nochmal an alle, die sich in meinen Wahnsinn eingedacht haben.