- Registriert
- Juni 2013
- Beiträge
- 392
Ich denke ich habs gerafft, ich danke euch! <3
Was genau macht BitLocker?
- Ersteller LoreFipsum
- Erstellt am
JackForceOne
Lieutenant
- Registriert
- Juni 2012
- Beiträge
- 1.007
Zum Thema Bitlocker mit TPM, aber ohne Pre-Boot Authentication gibt's hier auch noch ein nettes Video:
Sollte man auch laut Microsoft immer nutzen:
https://learn.microsoft.com/en-us/w...ity/data-protection/bitlocker/countermeasures
Sollte man auch laut Microsoft immer nutzen:
https://learn.microsoft.com/en-us/w...ity/data-protection/bitlocker/countermeasures
00Julius
Commander
- Registriert
- Feb. 2023
- Beiträge
- 2.619
Da gebe ich dir Recht, wenn es kein Anmeldelimit gibt.LoreFipsum schrieb:
Das ist zudem ein Grund, warum bei iOS die PIN inzwischen mind. 6 Stellen haben muss.
Mit „Nach 10 Anmeldeversuchen die persönlichen Daten löschen“, ist man schon recht sicher.
Erinnert mich ein wenig an Sicherheitslücken durch SMS-Authentisierung, bei dem die eigentliche Schwachstelle die Telekommunikationsanbieter selbst sind, die einfach Sims rausgeben ohne ausreichende Prüfung...Rickmer schrieb:Mir gefällt die Formulierung im Artikel trotzdem nicht
Ergänzung ()
Probier es doch mal selbst aus. Und schau, wie viele Versuche du in wie viel Zeit schaffst.LoreFipsum schrieb:
1lluminate23
Lt. Commander
- Registriert
- Aug. 2018
- Beiträge
- 1.113
Also was Bitlocker macht. Es verschlüsselt Datenträger und somit deren Dateien / Inhalt, den Unterschied und womit jemand besser klarkommt, also z. B. Veracyrpt oder Bitlocker ist jedem selbst überlassen. Videos zu Bitlocker gibt es genügend. Wenn ich auf Dienstreisen bin, nutze ich Bitlocker.
Gar nicht. Was hilft ist ein Hardwarekey als zweiter Faktor der eingesteckt sein muss, damit entschlüsselt wird. Wenn der natürlich auch geklaut wurde (weil der z.B. dauerhaft am Laptop eingesteckt ist...), dann hilft auch das nicht.LoreFipsum schrieb:
Sicherheit hast du immer nur bei konkreten Szenarien, es gibt kein "sicher", nur "sicher wenn Situation X eintritt".
- Registriert
- Juni 2013
- Beiträge
- 392
Sorry, dass ich das Thema noch mal aufmache: Wie erzwinge ich, dass Windows über Bitlocker/WindowsHello eine PIN erfordert für den Neustart? Ich möchte, dass bei jedem Energiesparmodus und bei jedem Neustart ein PIN eingegeben werden muss.
Und was hat Bitlocker mit Windows Hello zu tun? Fragen über Fragen.
Bei mir muss ich übrigens bei Energiesparmodus und Neustart mich neu anmelden via Windows Hello - egal ob das Gerät Bitlocker aktiviert hat oder nicht.
Was hast du denn hier eingestellt (unter Konten -> Anmeldeoptionen), wenn du Windows 11 haben solltest:
Bei mir muss ich übrigens bei Energiesparmodus und Neustart mich neu anmelden via Windows Hello - egal ob das Gerät Bitlocker aktiviert hat oder nicht.
Was hast du denn hier eingestellt (unter Konten -> Anmeldeoptionen), wenn du Windows 11 haben solltest:
Penman
Lieutenant
- Registriert
- Feb. 2009
- Beiträge
- 800
Ab Windows 7/10/11 Pro hast du Zugriff auf den Gruppenrichtlinieneditor. Dort kannst du eine Menge Details einstellen. Schau mal in den Artikel von Microsoft dazu.
Zum Verständnis:
Bitlocker ist ein Verschlüsselungssystem. Wie bereits erklärt, liegt der Schlüssel im TPM Modul. Deine SSD bzw. die Daten darauf sind quasi mit diesem verheiratet. Ist der TPM Chip nicht (mehr) verfügbar, wird Bitlocker dich wahrscheinlich nach den etwas längeren Wiederherstellungsschlüssel fragen, den du beim Einrichten hoffentlich irgendwo außerhalb der verschlüsselten Daten gespeichert hast.
Da hängt einfach ein Treiber direkt vor den gelesenen Daten vom Festspeicher und ver-/entschlüsselt diese. Der Schlüssel liegt dazu im RAM.
Und genau hier treffen wir auf ein Problem mit deiner Frage. Es ist nicht die Aufgabe von Bitlocker, ein laufendes System zu schützen. Dazu gehört auch der Suspend-to-RAM (Standby/Energiesparmodus). Die Idee hinter diesem Modus ist, dass der Rechner die ganze Hardware abschaltet, aber der RAM weiterhin mit Strom versorgt wird. Dazu werden ein paar Maßnahmen getroffen, um das Aufwachen zu ermöglichen. Das soll natürlich auch möglichst schnell gehen. Die Annahme ist also, dass die CPU aufwacht und einfach weitermacht. Ein Angriffsszenario dagegen war immer der berüchtigte Trockeneisangriff bei dem der RAM quasi eingefroren, entnommen und später ausgelesen wird. Theoretisch möglich, praktisch wohl seltenst umgesetzt.
Was dir helfen würde, wäre Suspend-to-Disk (Ruhezustand). Den hat Microsoft leider immer weiter verdrängt, aber der Modus sollte noch funktionieren. Dabei wird der Inhalt des RAMs auf den Festspeicher geschrieben und der Rechner komplett ausgeschaltet. Das dauert einen Moment und er muss auch wieder normal booten,, bis du die Bitlocker PIN eingegeben hast, aber es würde dein Ziel erreichen.
Sobald Bitlocker seinen Dienst getan hat, hängt die Sicherheit deines Systems am Login Bildschirm (winlogon). Von dort aus bestehen ganz andere Möglichkeiten als in der Preboot Phase (Netzwerk, Domäne, usw).
Sofern dein BIOS ebenfalls gesperrt ist und der Rechner nur mittels Trusted Boot seine SSDs booten darf (kein Netzwerkboot oder USB Sticks!), kann man auch mit einem Live Linux oder so nicht an deine Daten kommen. Zumindest ist der Aufwand erheblich erschwert.
Zum Verständnis:
Bitlocker ist ein Verschlüsselungssystem. Wie bereits erklärt, liegt der Schlüssel im TPM Modul. Deine SSD bzw. die Daten darauf sind quasi mit diesem verheiratet. Ist der TPM Chip nicht (mehr) verfügbar, wird Bitlocker dich wahrscheinlich nach den etwas längeren Wiederherstellungsschlüssel fragen, den du beim Einrichten hoffentlich irgendwo außerhalb der verschlüsselten Daten gespeichert hast.
Da hängt einfach ein Treiber direkt vor den gelesenen Daten vom Festspeicher und ver-/entschlüsselt diese. Der Schlüssel liegt dazu im RAM.
Und genau hier treffen wir auf ein Problem mit deiner Frage. Es ist nicht die Aufgabe von Bitlocker, ein laufendes System zu schützen. Dazu gehört auch der Suspend-to-RAM (Standby/Energiesparmodus). Die Idee hinter diesem Modus ist, dass der Rechner die ganze Hardware abschaltet, aber der RAM weiterhin mit Strom versorgt wird. Dazu werden ein paar Maßnahmen getroffen, um das Aufwachen zu ermöglichen. Das soll natürlich auch möglichst schnell gehen. Die Annahme ist also, dass die CPU aufwacht und einfach weitermacht. Ein Angriffsszenario dagegen war immer der berüchtigte Trockeneisangriff bei dem der RAM quasi eingefroren, entnommen und später ausgelesen wird. Theoretisch möglich, praktisch wohl seltenst umgesetzt.
Was dir helfen würde, wäre Suspend-to-Disk (Ruhezustand). Den hat Microsoft leider immer weiter verdrängt, aber der Modus sollte noch funktionieren. Dabei wird der Inhalt des RAMs auf den Festspeicher geschrieben und der Rechner komplett ausgeschaltet. Das dauert einen Moment und er muss auch wieder normal booten,, bis du die Bitlocker PIN eingegeben hast, aber es würde dein Ziel erreichen.
Sobald Bitlocker seinen Dienst getan hat, hängt die Sicherheit deines Systems am Login Bildschirm (winlogon). Von dort aus bestehen ganz andere Möglichkeiten als in der Preboot Phase (Netzwerk, Domäne, usw).
Sofern dein BIOS ebenfalls gesperrt ist und der Rechner nur mittels Trusted Boot seine SSDs booten darf (kein Netzwerkboot oder USB Sticks!), kann man auch mit einem Live Linux oder so nicht an deine Daten kommen. Zumindest ist der Aufwand erheblich erschwert.
Hier liegt ein grundsätzliches Missverständnis vor. Die Aufgabe von Bitlocker ist es NICHT, das Systemlaufwerk zu verschlüsseln.
Bitlocker ist eine Komponente in der Trusted Platform Infrastruktur. Ziel ist, einen PC (der ja aus verschiedenen Komponenten besteht) als Einheit begreifen und verwalten zu können.
Die Bitlocker-Verschlüsselung hängt auch nicht am Windows-Paßwort. Sie hängt an einem symmetrischen Schlüssel, der in einem "Tresor" liegt. Für diesen "Tresor" gibt es dann mehrere Zugangsmöglichkeiten.
1. Gar nichts. Der Tresor steht einfach offen. Windows startet, holt sich den symmetrischen Schlüssel und startet halt.
Das passiert, wenn man Bitlocker anhält. Notwendig insbesondere wenn man an der Trusted Platform selbst Veränderungen vornimmt, also insbesondere Firrmwareeinstellungen und -Updates, aber auch der Windows-Startkonfiguration selber oder wenn Windows-Updates an der Bitlockerkonfiguration rumfummeln => deswegen Bitlocker "anhalten" aka "Tresor aufmachen".
2. TPM. Das ist ab Windows 11 die "normale" Fassung. Der Schlüssel zum Tresor wandert ins TPM. Solange Schlüssel im TPM zum Tresor paßt, wird beim Systemstart -- konkreter, VOR dem Start von Windows -- kein anderer Tresorschlüssel verlangt. Anderenfalls wird nach Passwort, oder Pin, oder nach Recoverykey gefragt.
3. Paßwort, Pin (nur in Verbindung mit TPM), weitere Möglichkeiten. Microsoft nennt das Kollektiv Keyprotector. Dazu zählt auch Network Unlock (für Unternehmensnetzwerke).
Mit Richtlinien kann man das ganze vorkonfigurieren, aber im Gegensatz zu ein paar anderen Lösungen kann man Bitlocker mit Kommandozeile und/oder Powershell exakt so konfigurieren wie man das mit den Richtlinien auch könnte, letztere lohnen sich also nur wenn mehr als einen PC damit verwalten will und diese gleich konfiguriert werden sollen.
Den Status erfährt man am schnellsten mit
wo man sich dann anschauen kann was bei den Keyprotector eingetragen ist. Hier und mit bde-admin kann man die dann auch noch ergänzen.
Ein PC der mit Bitlocker systemlaufwerkverschlüsselt ist, und der kein Paßwort bei der Anmeldung verlangt, ist effektiv ungeschützt, solange der Systemdatenträger nicht ausgebaut oder das Mainboard/das TPM ersetzt oder zurückgesetzt wird (unter der Annahme daß TPM als Keyprotector eingerichtet ist).
So ein Datenträger ist lediglich im Hinblick auf data at rest geschützt, wenn der PC also ausgeschaltet ist und Windows nicht selbst gebootet wird (sondern zB von Linux oder einem anderen OS auf die Installation zugegriffen werden soll).
GÄBE es ein windows Passwort, wäre der Zustand prinzipiell derselbe, ABER man würde als Angreifer erstmal am Logonbildschirm hängenbleiben. Und wenn auf dem Gerät Netzwerkshares eingerichtet wurden mit Zugriff für "Jeden", dann wäre auch das Windows-Paßwort egal.
Die Implementierung von Bitlocker erfordert schon ein bißchen nachdenken. Was soll erreicht werden? Einfach anschalten hilft schon mal bißchen, das stimmt, aber der Schutz ist trotzdem nicht inhärent. Man muß in etwa wissen was man tut. Und wenn man Paßwort 12345 ist, egal ob für Bitlocker oder Windows oder beides, oder vielleicht schlimmer wenn das Bitlocker Paßwort gleich dem Administrator-Paßwort ist, naja, dann kann man sich das auch gleich wieder sparen.
Bitlocker ist eine Komponente in der Trusted Platform Infrastruktur. Ziel ist, einen PC (der ja aus verschiedenen Komponenten besteht) als Einheit begreifen und verwalten zu können.
Die Bitlocker-Verschlüsselung hängt auch nicht am Windows-Paßwort. Sie hängt an einem symmetrischen Schlüssel, der in einem "Tresor" liegt. Für diesen "Tresor" gibt es dann mehrere Zugangsmöglichkeiten.
1. Gar nichts. Der Tresor steht einfach offen. Windows startet, holt sich den symmetrischen Schlüssel und startet halt.
Das passiert, wenn man Bitlocker anhält. Notwendig insbesondere wenn man an der Trusted Platform selbst Veränderungen vornimmt, also insbesondere Firrmwareeinstellungen und -Updates, aber auch der Windows-Startkonfiguration selber oder wenn Windows-Updates an der Bitlockerkonfiguration rumfummeln => deswegen Bitlocker "anhalten" aka "Tresor aufmachen".
2. TPM. Das ist ab Windows 11 die "normale" Fassung. Der Schlüssel zum Tresor wandert ins TPM. Solange Schlüssel im TPM zum Tresor paßt, wird beim Systemstart -- konkreter, VOR dem Start von Windows -- kein anderer Tresorschlüssel verlangt. Anderenfalls wird nach Passwort, oder Pin, oder nach Recoverykey gefragt.
3. Paßwort, Pin (nur in Verbindung mit TPM), weitere Möglichkeiten. Microsoft nennt das Kollektiv Keyprotector. Dazu zählt auch Network Unlock (für Unternehmensnetzwerke).
Mit Richtlinien kann man das ganze vorkonfigurieren, aber im Gegensatz zu ein paar anderen Lösungen kann man Bitlocker mit Kommandozeile und/oder Powershell exakt so konfigurieren wie man das mit den Richtlinien auch könnte, letztere lohnen sich also nur wenn mehr als einen PC damit verwalten will und diese gleich konfiguriert werden sollen.
Den Status erfährt man am schnellsten mit
PowerShell:
Get-BitlockerVolume -Mountpoint C:wo man sich dann anschauen kann was bei den Keyprotector eingetragen ist. Hier und mit bde-admin kann man die dann auch noch ergänzen.
Ein PC der mit Bitlocker systemlaufwerkverschlüsselt ist, und der kein Paßwort bei der Anmeldung verlangt, ist effektiv ungeschützt, solange der Systemdatenträger nicht ausgebaut oder das Mainboard/das TPM ersetzt oder zurückgesetzt wird (unter der Annahme daß TPM als Keyprotector eingerichtet ist).
So ein Datenträger ist lediglich im Hinblick auf data at rest geschützt, wenn der PC also ausgeschaltet ist und Windows nicht selbst gebootet wird (sondern zB von Linux oder einem anderen OS auf die Installation zugegriffen werden soll).
GÄBE es ein windows Passwort, wäre der Zustand prinzipiell derselbe, ABER man würde als Angreifer erstmal am Logonbildschirm hängenbleiben. Und wenn auf dem Gerät Netzwerkshares eingerichtet wurden mit Zugriff für "Jeden", dann wäre auch das Windows-Paßwort egal.
Die Implementierung von Bitlocker erfordert schon ein bißchen nachdenken. Was soll erreicht werden? Einfach anschalten hilft schon mal bißchen, das stimmt, aber der Schutz ist trotzdem nicht inhärent. Man muß in etwa wissen was man tut. Und wenn man Paßwort 12345 ist, egal ob für Bitlocker oder Windows oder beides, oder vielleicht schlimmer wenn das Bitlocker Paßwort gleich dem Administrator-Paßwort ist, naja, dann kann man sich das auch gleich wieder sparen.
- Registriert
- Juni 2013
- Beiträge
- 392
@tollertyp: Ist so eingestellt wie bei dir und wird auch abgefragt, bei Neustart jedoch nicht. (Bezug: #29)
Ziel ist es, dass wenn jemand meinen PC während eines Einbruchs (wie bereits geschehen) mitnimmt, soll er zumindest keinen Zugriff auf meine Daten haben. Kann ich BitLocker irgendwie dazu bringen, dass er zusätzlich zum TPM noch zwangsläufig ein Passwort/PIN abfragt oder muss ich hierzu wirklich Software eines Drittanbieters besorgen? Was würdet ihr empfehlen?
Für mein Pixel 7 Pro gilt prinzipiell dasselbe, reicht hier die Standard-Android-Verschlüsselung? Hängt diese an meinem PIN oder gibt es da auch ein TPM?
@icked: Du sagst, BitLocker ist nicht für die Verschlüsselung (im Sinne von Sicherheit, so wie ich es verstehe) da. Das ergibt auch Sinn, denn für mein o.g. Szenario, was ja vermutlich das wahrscheinlichste Szenario für Datendiebstahl privat und in Unternehmen ist, hilft das ja einfach Null. Das TPM Modul klaut man ja direkt mit
Ziel ist es, dass wenn jemand meinen PC während eines Einbruchs (wie bereits geschehen) mitnimmt, soll er zumindest keinen Zugriff auf meine Daten haben. Kann ich BitLocker irgendwie dazu bringen, dass er zusätzlich zum TPM noch zwangsläufig ein Passwort/PIN abfragt oder muss ich hierzu wirklich Software eines Drittanbieters besorgen? Was würdet ihr empfehlen?
Für mein Pixel 7 Pro gilt prinzipiell dasselbe, reicht hier die Standard-Android-Verschlüsselung? Hängt diese an meinem PIN oder gibt es da auch ein TPM?
@icked: Du sagst, BitLocker ist nicht für die Verschlüsselung (im Sinne von Sicherheit, so wie ich es verstehe) da. Das ergibt auch Sinn, denn für mein o.g. Szenario, was ja vermutlich das wahrscheinlichste Szenario für Datendiebstahl privat und in Unternehmen ist, hilft das ja einfach Null. Das TPM Modul klaut man ja direkt mit
Darkman.X
Lieutenant
- Registriert
- Jan. 2005
- Beiträge
- 648
Es wurde im Thread schon erwähnt. Man kann Bitlocker bei der Einrichtung so konfigurieren, dass bei jedem Bootvorgang zuerst nach der PIN gefragt wird (gemeinsam mit oder ohne TPM, wie man möchte). Ich weiß nicht ob es über die GUI geht, aber es funktioniert definitiv über die gesonderten Powershell-Befehle oder mitLoreFipsum schrieb:
MANAGE-BDE (in Powershell und CMD ausführbar).Und per Gruppenrichtlinieneditor (in der Professional-Version von Windows) kann man auch einstellen, dass nicht nur eine numerische PIN, sondern auch ein alphanumerisches Passwort nutzbar ist.
Schutz während des laufenden Betriebes weiß ich nicht. Mit Windows Hello vielleicht?
Versuch doch selbst mal ohne dein Kennwort zu nutzen in dein bitlocker-geschütztes Windows einzubrechen und deine Daten zu stehlen.LoreFipsum schrieb:@icked: Du sagst, BitLocker ist nicht für die Verschlüsselung (im Sinne von Sicherheit, so wie ich es verstehe) da. Das ergibt auch Sinn, denn für mein o.g. Szenario, was ja vermutlich das wahrscheinlichste Szenario für Datendiebstahl privat und in Unternehmen ist, hilft das ja einfach Null. Das TPM Modul klaut man ja direkt mit
Und beschreibe, wie du es gemacht hast.
Dann reden wir weiter darüber, ob diese Form der Verschlüsselung für Privatmenschen ausreichend ist.
Ähnliche Themen
