win 10 bitlocker richtig konfigurieren (systemplatte)
- Ersteller vulgo
- Erstellt am
Du hast also Grund zu der Annahme, daß jemand der Zugriff auf deine Hardware hat an deine Daten dran will. Noch dazu hat der potentielle Angreifer kein Problem damit, daß du den Zugriff nach der Tat in jedem Fall bemerkst.
Wäre ich so ein hochkarätiges Ziel würde ich meine Daten garantiert nicht auf meiner Arbeitsmaschine vorhalten und auch garantiert nicht Bitlocker einsetzen. Stattdessen würde ich zu einem NAS auf Linux- oder BSD-Basis mit vollständiger AES-Verschlüsselung greifen. Natürlich sollte die Arbeitsmaschine trotzdem so gut wie möglich gesichert sein.
Nachtrag:
Eine gute Alternative wäre auch die fraglichen Daten auf einem verschlüsselten USB-Stick ständig mitzuführen. Der Kingston Ironkey wäre da eine mögliche Option.
Wäre ich so ein hochkarätiges Ziel würde ich meine Daten garantiert nicht auf meiner Arbeitsmaschine vorhalten und auch garantiert nicht Bitlocker einsetzen. Stattdessen würde ich zu einem NAS auf Linux- oder BSD-Basis mit vollständiger AES-Verschlüsselung greifen. Natürlich sollte die Arbeitsmaschine trotzdem so gut wie möglich gesichert sein.
Nachtrag:
Eine gute Alternative wäre auch die fraglichen Daten auf einem verschlüsselten USB-Stick ständig mitzuführen. Der Kingston Ironkey wäre da eine mögliche Option.
Tramizu
Vice Admiral
- Registriert
- Sep. 2014
- Beiträge
- 6.281
Das wurde so ca. vor zwei Jahren direkt über Windows aktiviert. Ins Bios brauchst du dazu nicht. Nach der Aktivierung verschlüsselt Windows die Platte und anschließend, dann noch neu starten. Er bootet/initialisiert ja erst die Hardware und wenn der Ladebildschirm von Windows kommen soll, dann musst du das Passwort erst mal eingeben, damit er Windows bootet.vulgo schrieb:du meinst vom UEFI oder eine eigene Lösung? und wenn man das nicht macht? Ich würde gerne mit ganz normalem Passwort verschlüsseln. das muss ich dann zwar jedes Mal eingeben, aber das geht eh schnell
Marco01_809
Lt. Commander
- Registriert
- Mai 2011
- Beiträge
- 1.975
Verschlüsselung mit (ausschließlich) TPM als Sicherheitsmerkmal ist grundsätzlich nicht sicher da es möglich ist die Keys auszulesen und das Speichermedium damit zu entschlüsseln, siehe dazu meine Posts hier. Bei der Win 10 Home-Edition ist das aber soweit ich weiß die einzige Möglichkeit, da hier die Gruppenrichtlinien und die BitLocker-Einrichtung fehlen. Es gibt lediglich einen Knopf zum aktivieren der Verschlüsselung in der Settings App.
Hat man die Pro Edition kann man in den Gruppenrichtlinien den TPM deaktivieren bzw. Passworteingabe erzwingen. Wenn man schon dabei ist kann man auch gleich die Hardwareverschlüsselung durch die SSD/HDDs deaktivieren. Die meisten Hersteller kriegen es nicht hin, das so zu implementieren das man es nicht umgehen kann. Dann verschlüsselt BitLocker in Software, das ist deutlich sicherer, kostet aber ein bisschen I/O-Leistung. Die Gruppenrichtlinien wurden in diesem Thread besprochen.
Hat man die Pro Edition kann man in den Gruppenrichtlinien den TPM deaktivieren bzw. Passworteingabe erzwingen. Wenn man schon dabei ist kann man auch gleich die Hardwareverschlüsselung durch die SSD/HDDs deaktivieren. Die meisten Hersteller kriegen es nicht hin, das so zu implementieren das man es nicht umgehen kann. Dann verschlüsselt BitLocker in Software, das ist deutlich sicherer, kostet aber ein bisschen I/O-Leistung. Die Gruppenrichtlinien wurden in diesem Thread besprochen.
Und dann greifst du von deiner unverschlüsselten Workstation darauf zu? Windows und auch die Programme kopieren dir alles Mögliche in den Cache, erstellen unverschlüsselte Thumbnails und die Daten landen auch im Swap auf der unverschlüsselten Platte. Ein Geniestreich.Serana schrieb:
BFF
¯\_(ツ)_/¯
- Registriert
- Okt. 2017
- Beiträge
- 29.221
Hallo @vulgo
Hier -> https://administrator.de/contentid/387449 hat jemand recht viel zu Bitlocker zusammen getragen.
Schau einfach drueber.
BFF
Hier -> https://administrator.de/contentid/387449 hat jemand recht viel zu Bitlocker zusammen getragen.
Schau einfach drueber.
BFF
Der von dir zitierte Artikel beschreibt einen Angriff der nur möglich ist wenn der Angreifer physischen Zugriff auf die Hardware hat UND billigend in Kauf nimmt, daß die Hardware danach wahrscheinlich Elektroschrott ist. Wenn du also glaubst von dieser Sicherheitslücke eventuell betroffen zu sein bist du entweder überängstlich oder ein sogenanntes high profile target.vulgo schrieb:
@Marco01_809
Wenn ich von so einem Angriffsszenario ausgehe, dann gehe ich automatisch davon aus, daß sich z.B. Nachrichtendienste nicht nur für mich interessieren, sondern mir auch gegebenenfalls unbemerkt einen Hausbesuch abstatten. In so einem Fall ist natürlich alles an vorhandener IT-Hardware entsprechend gesichert.
Auf der einen Seite sollte man natürlich nicht so sorglos sein, daß der Rechner für jedes Scriptkiddie offensteht. Auf der andern Seite sollten die Methoden aber noch verhältnismäßig sein. Klar kann man sein System auch so absichern, daß auch Gegner wie BND und NSA Probleme hätten an die Daten zu kommen. Die Frage ist nur ob dieser Aufwand wirklich nötig ist.
@Marco01_809
danke für den langen beitrag und die links. da gibts jetzt viel zu lesen, aber das hilft bestimmt weiter. Ich nutze Win10 pro und bin der einzige nutzer, kann ich mir dann diese gruppenrichtlinien ersparen? bzw. verwendet windows dann standardmäßig die hardwareverschlüsselung der ssds wenn ich das per key mache?
zum windows home, falls man das über TPM macht, dann kann der datenträger zb im falle eines hardwaredefekts. nicht in anderen PC entsperrt werden oder?
@BFF
danke, werde ich mir auch durchlesen 🙂
@Serana
zum glück gibt es nur diese zwei szenarien. ich frage mich, was für nützlichkeiten du mit deiner wertvollen lebenszeit (ernsthaft) hier beitragen willst. diese löterei sieht jetzt auch nicht besonders anspruchsvoll aus. da habe ich schon schlimmeres gelötet. der aufwand dafür hält sich meiner meinung sehr in grenzen. aber vlt. gibts ja findige "bastler" die adapter bauen, die man nur draufstecken muss. das könnte dann jeder in kurzer zeit. kannst du so etwas ausschließen? vlt. gibt es so etwas ja bereits.
Ansonsten ist der punkt geklärt und ich hatte grundsätzlich nie vor per TMP zu verschlüsseln. dafür muss ich nicht in der mange von geheimdiensten sein aber andere hier als überängstlich darzustellen halte ich für unreif oder überheblich. du magst für dich deine schlüsse ziehen, aber lass doch bitte mein leben mich selbst gestalten ohne mich dafür voreilig zu verurteilen.
danke für den langen beitrag und die links. da gibts jetzt viel zu lesen, aber das hilft bestimmt weiter. Ich nutze Win10 pro und bin der einzige nutzer, kann ich mir dann diese gruppenrichtlinien ersparen? bzw. verwendet windows dann standardmäßig die hardwareverschlüsselung der ssds wenn ich das per key mache?
zum windows home, falls man das über TPM macht, dann kann der datenträger zb im falle eines hardwaredefekts. nicht in anderen PC entsperrt werden oder?
@BFF
danke, werde ich mir auch durchlesen 🙂
@Serana
zum glück gibt es nur diese zwei szenarien. ich frage mich, was für nützlichkeiten du mit deiner wertvollen lebenszeit (ernsthaft) hier beitragen willst. diese löterei sieht jetzt auch nicht besonders anspruchsvoll aus. da habe ich schon schlimmeres gelötet. der aufwand dafür hält sich meiner meinung sehr in grenzen. aber vlt. gibts ja findige "bastler" die adapter bauen, die man nur draufstecken muss. das könnte dann jeder in kurzer zeit. kannst du so etwas ausschließen? vlt. gibt es so etwas ja bereits.
Ansonsten ist der punkt geklärt und ich hatte grundsätzlich nie vor per TMP zu verschlüsseln. dafür muss ich nicht in der mange von geheimdiensten sein aber andere hier als überängstlich darzustellen halte ich für unreif oder überheblich. du magst für dich deine schlüsse ziehen, aber lass doch bitte mein leben mich selbst gestalten ohne mich dafür voreilig zu verurteilen.
Zuletzt bearbeitet:
