Wie schützt Bitlocker - bin ich blöd?

Z

Zogrod

Enthusiast
Thread Starter
Mitglied seit
18.03.2008
Beiträge
168
Ort
Köln
Hi,

habe mir gerade ein neues System aufgesetzt und wollte mal Bitlocker probieren (mit TPM).

Frage: Wo kann ich denn ein langes und kompliziertes PW setzen? Wann muss ich es denn eingeben? Ist es das "normale" Windows PW? Was bringt mir den ein relativ einfaches PW oder eine simple PIN?

Nach der Verschlüsselung fährt mein Rechner einfach hoch, wo soll denn da der Schutz sein??
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Den BitLocker-Key setzt Du nicht selbst, sondern der wird vom Betriebssystem im Zusammenspiel mit dem TPM erstellt. Bei der Einrichtung der BitLocker-Verschlüsselung sollte dir auch ein Wiederherstellungsschlüssel angezeigt bzw. zum Speichern angeboten worden sein, der sollte irgendwo sicher aufbewahrt werden.

Zusätzlich zum BitLocker-Schlüssel, der eine Entschlüsselung unmöglich macht, wenn man die Festplatte irgendwo anders anschließt, sollte auch noch ein PIN gesetzt werden (Erklärung auf der Microsoft-Website).
 
Das war mir am Anfang auch ein bisschen suspekt, aber die Idee ist eigentlich ganz simpel.

BitLocker verschlüsselt deinen Datenträger mit einem Masterkey. Diesen Masterkey wiederrum verschlüsselst du mit deinem selbst festgelegten Passwort. Klassisch gibst du dieses selbst festgelegte Passwort bei jedem Boot ein. Mit einem TPM jedoch generiert dir Windows auch dieses "selbst festgelegte" Passwort und legt dieses im TPM ab. Selber hast du also nur den Wiederherstellungsschlüssel. Der im TPM abgelegte Key kann NUR vom Windows-Kernel/Bootloader gelesen werden, von niemandem sonst. Der holt sich dann beim Booten das Passwort aus dem TPM raus und kann damit auf den Datenträger zugreifen. Damit dieser Kernel wiederrum nicht bearbeitet wird und das aus dem TPM gelesene Passwort irgendwo ausgibt oder hinschickt, wird auf Secure Boot gesetzt. Dies verhindert dann effektiv, dass der Bootloader oder Kernel manipuliert wird. Somit hast du dann eine verschlüsselte Bootfestplatte ohne irgendein Passwort beim Booten eingeben zu müssen.

Falls du das nicht möchtest oder dir das noch immer suspekt ist, kannst du das VOR der Verschlüsselung auch irgendwo in den Gruppenrichtlinien deaktivieren. Musst aber selbst nochmal googeln, ich hab das nicht mehr im Kopf. Ob diese ganze Methodik sicherer ist als eine klassische Passworteingabe beim Boot muss jeder für sich entscheiden. Der kritische Punkt ist ab dann nämlich der Windows-Anmeldebildschirm. Und da gab es in der Vergangenheit schon einmal einen Bug, mit dem man da recht einfach vorbei kam.
 
Zuletzt bearbeitet:
Fallwrrk schrieb:
Das war mir am Anfang auch ein bisschen suspekt, aber die Idee ist eigentlich ganz simpel.

BitLocker verschlüsselt deinen Datenträger mit einem Masterkey. Diesen Masterkey wiederrum verschlüsselst du mit deinem selbst festgelegten Passwort. Klassisch gibst du dieses selbst festgelegte Passwort bei jedem Boot ein. Mit einem TPM jedoch generiert dir Windows auch dieses "selbst festgelegte" Passwort und legt dieses im TPM ab. Selber hast du also nur den Wiederherstellungsschlüssel. Der im TPM abgelegte Key kann NUR vom Windows-Kernel/Bootloader gelesen werden, von niemandem sonst. Der holt sich dann beim Booten das Passwort aus dem TPM raus und kann damit auf den Datenträger zugreifen. Damit dieser Kernel wiederrum nicht bearbeitet wird und das aus dem TPM gelesene Passwort irgendwo ausgibt oder hinschickt, wird auf Secure Boot gesetzt. Dies verhindert dann effektiv, dass der Bootloader oder Kernel manipuliert wird. Somit hast du dann eine verschlüsselte Bootfestplatte ohne irgendein Passwort beim Booten eingeben zu müssen.

Falls du das nicht möchtest oder dir das noch immer suspekt ist, kannst du das VOR der Verschlüsselung auch irgendwo in den Gruppenrichtlinien deaktivieren. Musst aber selbst nochmal googeln, ich hab das nicht mehr im Kopf. Ob diese ganze Methodik sicherer ist als eine klassische Passworteingabe beim Boot muss jeder für sich entscheiden. Der kritische Punkt ist ab dann nämlich der Windows-Anmeldebildschirm. Und da gab es in der Vergangenheit schon einmal einen Bug, mit dem man da recht einfach vorbei kam.
Zum Vergrößern anklicken....

Mein Problem ist eher, dass ja jeder einfach meinen Rechner hochfahren kann. Out of the box schützt Bitlocker nur davor, dass einer die Platte ausbaut und irgendwo anders anschließt. Da sind die Daten dann nicht lesbar, da mit einem langen Key verschlüsselt.

Das viel größere Problem ist aber doch eher, dass einer den ganzen Laptop/Rechner klaut und einfach einschaltet :stupid:.

Schützen kann man ihn nur mit einer PIN, was man erst umständlich aktivieren muss. Die PIN ist auch nicht besonders kompliziert.

Die Lösung habe ich mir zusammengegooglet: Zwar ist die PIN kurz, TPM hat jedoch eine Brute Force Protection. Man kann die Eingabeversuche und anschließende Sperrung konfigurieren: Z.B. nach drei Fehlversuchen drei Stunden Sperrung. Auch das muss man aber in den Richtlinien einstellen.

Nur dadurch wird es meiner Meinung nach überhaupt sinnvoll.

Insgesamt ziemlich bescheuert gemacht von MS ...
 
Zogrod schrieb:
Mein Problem ist eher, dass ja jeder einfach meinen Rechner hochfahren kann. Out of the box schützt Bitlocker nur davor, dass einer die Platte ausbaut und irgendwo anders anschließt. Da sind die Daten dann nicht lesbar, da mit einem langen Key verschlüsselt.

Das viel größere Problem ist aber doch eher, dass einer den ganzen Laptop/Rechner klaut und einfach einschaltet :stupid:.
Zum Vergrößern anklicken....

Nein, schützen tust du ihn mit dem stinknormalen Windows-Benutzerpasswort. Wenn irgendeiner einfach nur den PC einschaltet, dann hängt er am Anmeldebildschirm fest.
 
TPM nein, weil sobald das OS gebootet ist, greift das normale Rechtemanagement des Betriebssystems. Brute Force ja, das war die Passworteingabe unter Windows schon immer. Bei falschen Passwort ist diese nach dem vierten oder fünften Versuch so langsam, dass es sich eh nicht mehr lohnt per Brute Force da ranzugehen.

Festplatte eingebaut, PC einfach starten = PC bleibt beim Anmeldebildschirm stehen und will Benutzerpasswort = weiter geht's nicht.
Festplatte ausgebaut, Zugriff per anderem Betriebssystem = Daten verschlüsselt, kein Zugriff.

Die Idee mit dem Festplattenpasswort auf dem TPM haben sogar die Linux-Nutzer aufgeschnappt, und du weißt bestimmt wie empfindlich die beim Thema Sicherheit häufig sind. Glaub mir, das passt schon. Im Endeffekt muss sich natürlich jeder selber aussuchen was er will. Wenn der PC trotz verschlüsselter Festplatte einfach bootet, haben bestimmt einige Leute n mulmiges Gefühl. Aber unsicherer als die klassische Passworteingabe ist der TPM-Weg nicht.
 
Zuletzt bearbeitet:
da muss aber gesagt werden das nur die Benutzerkonten gesperrt Werden
Installiert man ein OS neben des anderen kann das andere OS auf die Daten außer der Benutzerordner gelesen werden
Ist immer spannend wen Leute nicht die Bibliotheken nutzen
Das ganze Konzept fußt darauf das MS davon ausgeht das man alles am desktop speichert und in den Bibliotheken
andere HDD sind nicht berücksichtigt
Wenn Datenverschlüsselung dann externes Programm wie veracrypt quasi Nachfolger von truecrypt
Das OS Benutzername Passwort macht nur Sinn beim PC die von mehreren Nutzern genutzt werden bzw Der PC öffentlich nutzbar ist
TPM klingt gut ist aber auch nicht Sicher, weil die Kontrolle vom mainboard Hersteller ausgeht (der chip hat einen masterkey)
zudem gewährt man Microsoft kompletten zugriff auf alle Dateien die bei Anmeldung an MS account vom PC freigegeben sind.
MS account nach MS Vorstellung = Benutzeraccount des OS
Das lässt sich mit eine Offline account umgehen das rate ich jeden
Win 10 ist mittlerweile recht gut einstellbar.
ich update das OS nur wegen der Sicherheitslücken (spectre) Immer ein Spaß bei neuen builds
 
Fallwrrk schrieb:
TPM nein, weil sobald das OS gebootet ist, greift das normale Rechtemanagement des Betriebssystems. Brute Force ja, das war die Passworteingabe unter Windows schon immer. Bei falschen Passwort ist diese nach dem vierten oder fünften Versuch so langsam, dass es sich eh nicht mehr lohnt per Brute Force da ranzugehen.

Festplatte eingebaut, PC einfach starten = PC bleibt beim Anmeldebildschirm stehen und will Benutzerpasswort = weiter geht's nicht.
Festplatte ausgebaut, Zugriff per anderem Betriebssystem = Daten verschlüsselt, kein Zugriff.

Die Idee mit dem Festplattenpasswort auf dem TPM haben sogar die Linux-Nutzer aufgeschnappt, und du weißt bestimmt wie empfindlich die beim Thema Sicherheit häufig sind. Glaub mir, das passt schon. Im Endeffekt muss sich natürlich jeder selber aussuchen was er will. Wenn der PC trotz verschlüsselter Festplatte einfach bootet, haben bestimmt einige Leute n mulmiges Gefühl. Aber unsicherer als die klassische Passworteingabe ist der TPM-Weg nicht.
Zum Vergrößern anklicken....

Die Frage ist nur, ob beim Windows-PW die Platte schon entschlüsselt ist (muss sie ja). Und ob dann der Schlüssel irgendwo schon im RAM oder sonstwie auslesbar ist = nicht sicher.

Daher Pre-Boot-PIN, wie auch bei allen anderen Vollverschlüsselungen.

Die macht aber nur Sinn, wenn sie Bruteforce sicher ist, da sonst leicht zu knacken.
 
Der Schlüssel liegt IMMER im RAM, egal ob klassisch oder per TPM, weil ansonsten könnten Daten nicht mehr entschlüsselt werden, wenn sie gelesen werden müssen.
 
Fallwrrk schrieb:
Der Schlüssel liegt IMMER im RAM, egal ob klassisch oder per TPM, weil ansonsten könnten Daten nicht mehr entschlüsselt werden, wenn sie gelesen werden müssen.
Zum Vergrößern anklicken....

Könnte man den auslesen, wenn ich schon im Windows-Anmeldescreen bin?

Das geht nämlich bei pre-boot-Verschlüsselung meines Wissens nicht.
 
Nein, kann man nicht, da nicht jeder X-beliebige Prozess den gesamten Arbeitsspeicherinhalt lesen kann, Probleme wie Meltdown etc. mal außen vorgenommen.
 
Fallwrrk schrieb:
Nein, schützen tust du ihn mit dem stinknormalen Windows-Benutzerpasswort. Wenn irgendeiner einfach nur den PC einschaltet, dann hängt er am Anmeldebildschirm fest.
Zum Vergrößern anklicken....
Also bei unseren Firmenlaptops muss ich bei jedem Boot noch die Bitlocker-PIN eingeben. Da ist nichts vom Windows-Login geschützt. Muss man wohl entsprechend einrichten, wenn da auch keiner zugreifen können soll, wenn der ganze Rechner (z.B. ein Laptop) abhanden kommt.
Wenn Windows schonmal booten kann, muss ja zumindest schon Zugriff auf einen bestimmten Teil der Festplatte vorhanden sein, sonst könnte sich das Windows ja selbst nicht booten.
 
Liesel Weppen schrieb:
Also bei unseren Firmenlaptops muss ich bei jedem Boot noch die Bitlocker-PIN eingeben. Da ist nichts vom Windows-Login geschützt. Muss man wohl entsprechend einrichten, wenn da auch keiner zugreifen können soll, wenn der ganze Rechner (z.B. ein Laptop) abhanden kommt.
Wenn Windows schonmal booten kann, muss ja zumindest schon Zugriff auf einen bestimmten Teil der Festplatte vorhanden sein, sonst könnte sich das Windows ja selbst nicht booten.
Zum Vergrößern anklicken....

Genau das meine ich. Habe da Zweifel, ob das ausreichend sicher ist.

Daher Boot-PIN.
 
Ausreichend sicher für welche Fälle überhaupt?
Wenn du nicht grad als ViP gilst, wird ein Dieb maximal schauen ob vieleicht grakeine Pin erforderlich ist und ansonsten die Festplatte durch eine andere ersetzen, bevor er das Teil verscherbelt.
 
Zogrod schrieb:
Genau das meine ich. Habe da Zweifel, ob das ausreichend sicher ist.

Daher Boot-PIN.
Zum Vergrößern anklicken....

Wie ich sagte, unsere Firmenrechner haben Bitlocker mit Boot-PW. Irgendwie wirds also wohl gehen. Vielleicht mglw. aber nicht mit "nur" Windows Home?
 
Anmelden, um zu antworten.

Ähnliche Themen

T
Optimierung Ryzen 9 7900X3D
Antworten
2
Aufrufe
124
Tech1Konni
T
D
[Guide] Mein neuer Home-Server / NAS im kleinsten Server-PC der Welt [Mini-PC mit Xeon und ECC RAM]
Antworten
11
Aufrufe
925
dakazze
D
chiemsee
Keepass: der freie Password-Manager - welche Plugins setzt ihr denn ein!?
Antworten
7
Aufrufe
1K
toscdesign
toscdesign
nord-rider
AMD Ryzen 9800X3D Komplett PC Zusammenbau Review mit neuster Hardware. Fotos Inside
Antworten
7
Aufrufe
802
Rudi-Redsock
Rudi-Redsock
Beinfreiheit
[User-Review] Lesertest mit ADATA/XPG und ASUS
Antworten
4
Aufrufe
323
FirstAid
FirstAid
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh