F
Fenugi
Gast
(TLDR unter dem Roman)
Hallo ihr Lieben,
um meine private IT-Umgebung weiter abzusichern, möchte ich die Festplatten meines Rechners (Fujitsu Celsius W520 Power, Xeon E3-1240 v2; Windows 10 Enterprise 20H2 im CSM-Modus) endlich einmal verschlüsseln. Am liebsten würde ich dazu Bitlocker mit Preboot-PIN verwenden, was jedoch einen großen Showstopper mit sich bringt: Der Remote-Neustart des Rechners wird nicht mehr möglich sein, da die PIN vor Ort eingegeben werden muss. Zwar verfügt der Rechner über Intel AMT, über das sich der Rechner remote herunterfahren, neustarten etc. lässt, aber das eingebaute KVM/VNC funktioniert mangels iGPU nicht, weshalb ich eine Lösung benötige, die bei Vorhandensein eines externen Faktors (über Netzwerk!) die Abfrage der Preboot-PIN überspringt.
Freudig bin ich zuletzt über Bitlocker Network Unlock gestolpert, das auf den ersten Blick meine Anforderung erfüllt, die Preboot-PIN zu überspringen, sofern auf einem anderen Rechner ein Keyfile vorhanden ist (ganz grob formuliert). Dummerweise wird dafür u.a. ein Windows Server mit WDS benötigt, was für mich nicht praktikabel ist (sofern mein Rechner die anderen Voraussetzungen bzgl. UEFI-DHCP etc. überhaupt unterstützt -- noch nicht geprüft).
Bei der weiteren Recherche habe ich einem Forum den Tip entdeckt, einen Raspberry per USB an den Rechner anzuschließen, sich über SSH auf den RBPi zu verbinden und die Preboot-PIN darüber einzugeben: https://github.com/n0rc/rpi-remote-keyboard
Das ist halt schon irgendwie ein hartes Gebastel, mal davon abgesehen, dass ich keinen RBPi habe. Wenns gar nicht anders gehen sollte, ist das aber eine Überlegung wert.
Hat jemand einen Vorschlag, wie und ob das Problem überhaupt lösbar ist? Dabei bin ich natürlich nicht auf Bitlocker festgefahren, wobei ich auf die Schnelle nichts bzgl. Veracrypt in die Richtung gelesen habe.
Vielen Dank im Voraus für jegliche Denkanstöße!
P. S.: Bin ITler, knallt mich also gern mit abgefahrenen Ideen zu!
TLDR: Mein Rechner soll inkl. Preboot-PIN verschlüsselt werden. Die PIN soll jedoch bei Vorhandensein eines externen Faktors nicht abgefragt werden. (z. B. ein Keyfile auf einem anderen Rechner per Netzwerk. Keine Smartcard, kein USB-Stick o.ä. im selben Rechner!)
Hallo ihr Lieben,
um meine private IT-Umgebung weiter abzusichern, möchte ich die Festplatten meines Rechners (Fujitsu Celsius W520 Power, Xeon E3-1240 v2; Windows 10 Enterprise 20H2 im CSM-Modus) endlich einmal verschlüsseln. Am liebsten würde ich dazu Bitlocker mit Preboot-PIN verwenden, was jedoch einen großen Showstopper mit sich bringt: Der Remote-Neustart des Rechners wird nicht mehr möglich sein, da die PIN vor Ort eingegeben werden muss. Zwar verfügt der Rechner über Intel AMT, über das sich der Rechner remote herunterfahren, neustarten etc. lässt, aber das eingebaute KVM/VNC funktioniert mangels iGPU nicht, weshalb ich eine Lösung benötige, die bei Vorhandensein eines externen Faktors (über Netzwerk!) die Abfrage der Preboot-PIN überspringt.
Freudig bin ich zuletzt über Bitlocker Network Unlock gestolpert, das auf den ersten Blick meine Anforderung erfüllt, die Preboot-PIN zu überspringen, sofern auf einem anderen Rechner ein Keyfile vorhanden ist (ganz grob formuliert). Dummerweise wird dafür u.a. ein Windows Server mit WDS benötigt, was für mich nicht praktikabel ist (sofern mein Rechner die anderen Voraussetzungen bzgl. UEFI-DHCP etc. überhaupt unterstützt -- noch nicht geprüft).
Bei der weiteren Recherche habe ich einem Forum den Tip entdeckt, einen Raspberry per USB an den Rechner anzuschließen, sich über SSH auf den RBPi zu verbinden und die Preboot-PIN darüber einzugeben: https://github.com/n0rc/rpi-remote-keyboard
Das ist halt schon irgendwie ein hartes Gebastel, mal davon abgesehen, dass ich keinen RBPi habe. Wenns gar nicht anders gehen sollte, ist das aber eine Überlegung wert.
Hat jemand einen Vorschlag, wie und ob das Problem überhaupt lösbar ist? Dabei bin ich natürlich nicht auf Bitlocker festgefahren, wobei ich auf die Schnelle nichts bzgl. Veracrypt in die Richtung gelesen habe.
Vielen Dank im Voraus für jegliche Denkanstöße!
P. S.: Bin ITler, knallt mich also gern mit abgefahrenen Ideen zu!
TLDR: Mein Rechner soll inkl. Preboot-PIN verschlüsselt werden. Die PIN soll jedoch bei Vorhandensein eines externen Faktors nicht abgefragt werden. (z. B. ein Keyfile auf einem anderen Rechner per Netzwerk. Keine Smartcard, kein USB-Stick o.ä. im selben Rechner!)