Windows 10 sicher? Bzw. Möglichkeiten es sicherer zu machen?

Paddii

Lt. Commander
Registriert
Okt. 2008
Beiträge
1.348
Hallo zusammen,

ich nutze jetzt schon seit Ewigkeiten Windows 10 mit Bitlocker und einem Offline Account mit Passwort.

Jetzt habe ich mich nur gefragt, ist das so wirklich sicher? Trotz Bitlocker ist die einzige "Sicherheitsstufe" ja nur das Windows Account Passwort. Damit hat man ja Vollzugriff auf alles, unabhängig von der Verschlüsselung. Ist es denn möglich den Windows Login zu umgehen, oder kann man den als "Sicher" bezeichnen?

Gibt es denn irgendeine Möglichkeit ein System mit Windows 10, Bitlocker (Virtuelles TPM) und einem (Non Pro) Asus Mainboard einigermaßen sicher zu bekommen?

Es geht mir jetzt weniger darum das Ding "NSA fest" zu machen, sondern einfach darum die vorhanden möglichen Möglichkeiten auszunutzen um den PC vor Fremdzugriffen so gut wie möglich zu schützen.

Liebe Grüße
 
Gibts den Hinweise das du Ziel bist? Oder ist das jetzt eher überbegründet Angst?
Wenn es halbwegs sicher sein soll würde ich vermutlich erst gar nicht auf Windows setzten.
 
Technisch ist das sehr sicher solange der Rechner aus ist und kein anderer den Schlüssel hat...

Welche Lücken siehst du dran zu kommen? 😗

Ist Windows an und ist es vorbei mit der Sicherheit!
 
Definieren wir mal "Fremdzugriff".

Geht es darum, daß neugierige Freunde & Verwandte, WG-Mitbewohner oder der eventuell auch zu neugierige Partner keinen Zugriff haben soll?

Muss ja nicht mal was "schlimmes" sein, wie Sex-Bilder, wo WG-Freunde keinen Zugriff haben müssen...

Dort wäre es meiner Meinung nach das einfachste, verschiedene Benutzerkonten auf dem Rechner anzulegen mit verschiedenen Zugriffsrechten. Ordner und Dateien kann man auch einzeln sperren. Müsste sogar mit Windows-eigenen Mitteln recht gut gehen.

Ansonsten: eine externe Platte nehmen, z.B. die Western Digital Passport Reihe. Die Platten haben eine AES 256 Verschlüsselung und eine Software zum Verschlüsseln sollte auch auf der Platte sein.

Geht es um andere Dinge, wo man in rechtliche oder moralische Schieflage kommen kann, da sollte man dann eher über seinen Lebenswandel nachdenken, statt über eine Verschlüsselung.
 
Windows Account erstellen und 2FA aktivieren. Aber eigentlich ists mit Bitlocker für Normalsterbliche sicher genug.
Aber wenn an Bitlocker vorbei bist kommst eigentlich immer irgendwie an die Daten.

Wie oben schon gesagt gingen halt noch extra Systeme mit eigener Verschlüsselung.
 
Diebstahlschutz im Sinne von Auslesen des Datenträgers: Wenn du Bitlocker nicht traust, dann Veracrypt.
Zugriffsschutz: Da gibt es vieles, ich würde aber alles abwegen, 2 Faktor wäre mir an einem PC oder Notebook zu umständlich, dann eher ein USB Fingerabdruckscanner für 25€.
 
Coca_Cola schrieb:
Gibts den Hinweise das du Ziel bist? Oder ist das jetzt eher überbegründet Angst?
Wenn es halbwegs sicher sein soll würde ich vermutlich erst gar nicht auf Windows setzten.

Ist nichts akutes. Mir ist halt nur aufgefallen, dass der Windows 10 PC eigentlich Zugriff auf "alles" hat (Verschlüsseltes NAS, iOS Geräte, Passwörter, etc.), aber im Grunde nur vom Windows Account PW geschützt wird.
Das ist alles was man umgehen muss um auf alles zugreifen zu können.

Das hat mich dann doch etwas verunsichert.

TheGreatMM schrieb:
Technisch ist das sehr sicher solange der Rechner aus ist und kein anderer den Schlüssel hat...

Welche Lücken siehst du dran zu kommen? 😗

Ist Windows an und ist es vorbei mit der Sicherheit!

Selbst aus ist es ja nicht sicher. Wenn man den PC einschaltet entschlüsselt das TPM direkt Bitlocker und die einzige "Sicherheitsebene" ist nur noch das Nutzer PW.


corvus schrieb:
Windows Account erstellen und 2FA aktivieren. Aber eigentlich ists mit Bitlocker für Normalsterbliche sicher genug.
Aber wenn an Bitlocker vorbei bist kommst eigentlich immer irgendwie an die Daten.

Wie oben schon gesagt gingen halt noch extra Systeme mit eigener Verschlüsselung.
john.smiles schrieb:
Diebstahlschutz im Sinne von Auslesen des Datenträgers: Wenn du Bitlocker nicht traust, dann Veracrypt.
Zugriffsschutz: Da gibt es vieles, ich würde aber alles abwegen, 2 Faktor wäre mir an einem PC oder Notebook zu umständlich, dann eher ein USB Fingerabdruckscanner für 25€.

Sorry für die Frage, aber was hat denn 2FA mit dem Windows Login zu tun? Wenn man ein Online Konto verwendet kann man zwar 2FA einstellen, aber dabei geht es doch mehr um den Login ins Konto und nicht um den Windows Login?

Ich hatte vorher auch ein Online Konto + 2FA und musste zumindest beim Login nie einen 2. Faktor eingeben, nur das Online Konto PW.

cloudman schrieb:
Intel PTT wäre eine Option. Siehe z. B. https://www.legitreviews.com/how-to...tel-ptt-and-no-tpm-for-better-security_211713

2 Faktor ist auch eine gute Idee

PTT ist ja eigentlich nur ein virtuelles TPM, ohne extra TPM Chip. Das nutze ich derzeit auch.
 
Stell doch BitLocker so ein, dass es nach einer (enhanced) PIN fragt, bevor es entschlüsselt.
 
  • Gefällt mir
Reaktionen: Paddii und BeBur
Bitlocker/Datenträgerverschlüsselung bringt nur was wenn die Kiste aus. Also es ist im Grunde nur ein Schutz gegen Diebstahl des PC's/der HDD um zu verhindern dass die Diebe/oder ggf. auch Ermittungsbehörden die den PC Beschlagnahmen an die Daten kommen(bei Geheimdiensten wäre ich mir nicht sicher ob die da ne Hintertür haben).

Sobald die Kiste läuft/ein User angemeldet ist die Verschlüsselung offen und bringt einem Gar nix. Das Größte Sicherheitsrisiko ist der Anwender selbst der auf Verseuchten Internetseiten Rumsurft, verseuchte Mails öffnet, oder sich gar Software/Games etc. aus Tauschbörsen besorgt.

Des weiteren ist Verschlüsselung mitunter auch ein Risiko, ein Stromausfall/Systemcrash kann dafür sorgen dass die ganze HDD nur noch Datenmüll ist. Ohne Verschlüsselung sind in der Regel maximal einzelne Dateien im Eimer. Wenn man ein vernünftiges Backupkonzept hat und Anwendet, ist das natürlich egal.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: areiland
Ltcrusher schrieb:
Ansonsten: eine externe Platte nehmen, z.B. die Western Digital Passport Reihe. Die Platten haben eine AES 256 Verschlüsselung und eine Software zum Verschlüsseln sollte auch auf der Platte sein.
Bei externen Platten wurde schon häufiger gezeigt, dass die angeprisene Verschlüssung schlecht implementiert ist.

john.smiles schrieb:
dann eher ein USB Fingerabdruckscanner für 25€
Fingerabdruck ist auch nur mäßig sicher.

rocketworm schrieb:
Des weiteren ist Verschlüsselung mitunter auch ein Risiko, ein Stromausfall/Systemcrash kann dafür sorgen dass die ganze HDD nur noch Datenmüll ist.
Kannst du diese These mit Fakten untermauern?
 
Paddii schrieb:
Sorry für die Frage, aber was hat denn 2FA mit dem Windows Login zu tun? Wenn man ein Online Konto verwendet kann man zwar 2FA einstellen, aber dabei geht es doch mehr um den Login ins Konto und nicht um den Windows Login?

Ging anfangs im Businessbereich müsste inzwischen aber auch mit den normalen Live-Logins bei Windows Hello gehen. Wobei selbst noch nicht getestet.
 
Paddii schrieb:
Ist nichts akutes. Mir ist halt nur aufgefallen, dass der Windows 10 PC eigentlich Zugriff auf "alles" hat (Verschlüsseltes NAS, iOS Geräte, Passwörter, etc.), aber im Grunde nur vom Windows Account PW geschützt wird.
Das ist alles was man umgehen muss um auf alles zugreifen zu können.
Nur wenn du auf dem NAS, iOS... alles frei gibts. Hat im Grunde auch nichts mit Windows zu tun und wäre mit Linux, Mac etc auch nicht anders.
Willst du mit einem Account auf alles Zugriff haben oder nicht?
Du musst auch keinen Admin Account verwenden.
Ist nicht so bequem klar aber Sicherheit gibt es nicht umsonst.

.
 
Sofern du bitlocker nutzt, das von selber startet (ohne Eingabe) braucht der Knacker nur dein Windows Konto zu häcken, was bei einem offline Konto und wissen wie, machbar ist.
 
Bob.Dig schrieb:
Stell doch BitLocker so ein, dass es nach einer (enhanced) PIN fragt, bevor es entschlüsselt.

Danke für den tipp. War mir nicht klar das man das mit TPM kombinieren kann.

chrigu schrieb:
Sofern du bitlocker nutzt, das von selber startet (ohne Eingabe) braucht der Knacker nur dein Windows Konto zu hacken, was bei einem offline Konto und wissen wie, machbar ist.

Das genau war halt meine Angst.


Reicht den bei TPM + Pin in Kombination eine "Pin" aus, oder sollte man hier ein langes PW nehmen?
 
Ich denk ein kurzes tut's auch. Aber eigentlich ist länger besser.
 
Zurück
Oben