Jump to content

Bitlocker verschlüsselung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

Ich habe mir übers Wochenende das Betriessystem Laufwerk C:\ mit Bitlocker verschlüsselt. Nun musste ich mit erstaunen feststellen, dass mich das Setup gar nicht nach einem Verschlüsselungs Passwort gefragt hat zudem wird vor dem Bootvorgang ebenfalls nicht nach einem Passwort gefragt.

 

Wenn ich irgendein anderes Festplatten-Laufwerk verschlüssele funktioniert das tadellos auch mit Passwort!

 

Weshalb ist das so? Was bringt eine Verschlüsselung vom OS ohne Passwort?

 

Ich hatte vor einigen Jahren schonmal Bitlocker und dort das C:\ verschlüsselt und wurde vor dem booten immer nach einem PW gefragt.Also eigentlich dass, was man vom Bitlocker erwartet.

 

 

Hoffe, hier aufklärung zu finden ist nämlich echt komisch.

 

 

 

Gruss

Nicolas

bearbeitet von bitlocker
Link zu diesem Kommentar

Dann lies dir doch mal durch, wozu man das tpm nutzen kann. Und ein Verschlüsselungskennwort gibst du afair nicht ein, sondern ein startkennwort/pin. Das kann man aber auch jederzeit in den bitlockereinstellungen ändern. Es sei denn der Admin hat das per gpo anders konfiguriert. Dürfte bei dir aber eher unwahrscheinlich sein. ;)

Link zu diesem Kommentar

Moin,

 

"was man von Bitlocker erwartet", ist genau das: Das Systemlaufwerk wird verschlüsselt, und das dafür notwendige Kennwort liegt sicher im TPM des Rechners. Das TPM ist vergleichbar mit einer Smartcard, man kann den Schlüssel dort also nicht auslesen.

 

Der Vorgang stellt sicher, dass das Betriebssystem nur in der geprüften Umgebung startet, also in genau dem Rechner und genau der Bootreihenfolge. Man kann die Disk nicht in einen anderen Rechner einbauen und starten, ebensowenig kann man von einem anderen Medium booten und auf die Daten der Disk zugreifen. Als zusätzliches Sicherheitsmerkmal kann man, wie Norbert schon sagt, einen Start-PIN vorgeben, sodass Bitlocker ohne gültige Eingabe nicht mal den Bootvorgang beginnt. Ohne PIN startet das Betriebssystem in dem Rechner aber "einfach so", sodass das laufende Betriebssystem die Kontrolle übernimmt. Wer sich dort nicht anmelden kann, kommt auch nicht an die Daten. Da man am Betriebssystem auch nicht vorbeikommt (solange dies sicher genug konfiguriert ist), erhält man ein (sehr) hohes Sicherheitsniveau.

 

Was du erwartest, ist vermutlich das Vorgehen bei Bitlocker to go - hier wird ein Kennwort verwendet, um auf den Verschlüsselungsschlüssel zuzugreifen. Das verwendet man vorrangig für Wechseldatenträger, kann es aber auch für separate Datenplatten nutzen.

 

Grundlagen und Hintergründe zu Bitlocker findest du in großer Menge im Web, ein Beispiel:

 

[Whitepaper: Wie Bitlocker Windows-Geräte schützt | faq-o-matic.net]
https://www.faq-o-matic.net/2014/01/31/whitepaper-wie-bitlocker-windows-gerte-schtzt/

 

EDIT: Hmpf, leider gibt es das Whitepaper nicht mehr. Es gibt aber trotzdem viel Material, das sich bei einer Websuche schnell findet.

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar

Dann lies dir doch mal durch, wozu man das tpm nutzen kann. Und ein Verschlüsselungskennwort gibst du afair nicht ein, sondern ein startkennwort/pin. Das kann man aber auch jederzeit in den bitlockereinstellungen ändern. Es sei denn der Admin hat das per gpo anders konfiguriert. Dürfte bei dir aber eher unwahrscheinlich sein. ;)

 

Ja ich nutzte keine GPO, PC ist auch in keiner Domäne. Ich hatte früher soweit ich weiss problemlos Bitlocker mit Kennwort und Pin installiert, jedoch diesesmal bekomme ich irgendwie nicht weiter...

 

In den Bitlocker einstellungen kann ich nirgends eine Einstellung für Pin sehen. Wenn ich das Setup durchführe für eine OS Laufwerkverschlüsselung werde ich nie nach einer Pin oder Kennwort installation gefragt. Wie mache ich den das? Das TMP Modul ist relativ kompliziert diese ganzen Rechte die unter Windows im TPM unter Bereichseinstellungen eingestellt werden können.

Link zu diesem Kommentar

Moin,

 

"was man von Bitlocker erwartet", ist genau das: Das Systemlaufwerk wird verschlüsselt, und das dafür notwendige Kennwort liegt sicher im TPM des Rechners. Das TPM ist vergleichbar mit einer Smartcard, man kann den Schlüssel dort also nicht auslesen.

 

Der Vorgang stellt sicher, dass das Betriebssystem nur in der geprüften Umgebung startet, also in genau dem Rechner und genau der Bootreihenfolge. Man kann die Disk nicht in einen anderen Rechner einbauen und starten, ebensowenig kann man von einem anderen Medium booten und auf die Daten der Disk zugreifen. Als zusätzliches Sicherheitsmerkmal kann man, wie Norbert schon sagt, einen Start-PIN vorgeben, sodass Bitlocker ohne gültige Eingabe nicht mal den Bootvorgang beginnt. Ohne PIN startet das Betriebssystem in dem Rechner aber "einfach so", sodass das laufende Betriebssystem die Kontrolle übernimmt. Wer sich dort nicht anmelden kann, kommt auch nicht an die Daten. Da man am Betriebssystem auch nicht vorbeikommt (solange dies sicher genug konfiguriert ist), erhält man ein (sehr) hohes Sicherheitsniveau.

 

Was du erwartest, ist vermutlich das Vorgehen bei Bitlocker to go - hier wird ein Kennwort verwendet, um auf den Verschlüsselungsschlüssel zuzugreifen. Das verwendet man vorrangig für Wechseldatenträger, kann es aber auch für separate Datenplatten nutzen.

 

Grundlagen und Hintergründe zu Bitlocker findest du in großer Menge im Web, ein Beispiel:

 

[Whitepaper: Wie Bitlocker Windows-Geräte schützt | faq-o-matic.net]

https://www.faq-o-matic.net/2014/01/31/whitepaper-wie-bitlocker-windows-gerte-schtzt/

 

EDIT: Hmpf, leider gibt es das Whitepaper nicht mehr. Es gibt aber trotzdem viel Material, das sich bei einer Websuche schnell findet.

 

Gruß, Nils

Hallo Nils

 

Aso so wie ich das lese muss also in der GPO zuerst was konfiguriert werden. Was mich auch noch erstaunt das es sogar ohne TPM-Modul klappt mit Pin, dabei ersetzt ein USB-Stick das TPM-Modul? Verstehe ich das richtig? 

 

Also muss das mit meinem PC der das TPM-Modul in der Hardware hat das Häkchen bei "Bitlocker ohne TPM-Modul zulassen" rausnehmen da ich das Modul habe und nur noch die Pineingabe auf zulassen stellen?

 

Hätte ich hingegen kein TPM-Modul müsste ich das Häklein drin sein unter "BitLocker ohne kompatibles TPM zulassen"?

 

Vermutlich war das bei meinem Arbeitgeber bereits so konfiguriert in der GPO sodass, BitLocker mir ein Passwort zur auswahl anbietet.

 

 

-> Die Pin die ich vor dem Start eingebe ist die Entschlüsselungs-Pin mit welcher ich die HDD entschlüsseln kann? Das heisst ich könnte nicht mit Knoppix booten und C:\ auslesen weil die HDD mit BitLocker verschlüsselt ist. Richtig?

Link zu diesem Kommentar

Moin,

 

wenn ich mich richtig erinnere, heißt "... ohne TPM zulassen" nur, dass es ohne TPM möglich ist. Wenn ein TPM vorhanden ist, wird es m.W. auch genutzt. Du hast ja eins im Rechner, also brauchst du die Option auch nicht.

 

Nein, der PIN ist natürlich nicht der Schlüssel. Den Schlüssel bekommst du aus dem TPM nicht raus. Der PIN weist in dem Fall Bitlocker an, das TPM erst anzusprechen, wenn der PIN richtig ist. Als zusätzlicher Schutz, der mit der eigentlichen Verschlüsselung aber nichts zu tun hat.

 

Gruß, Nils

Link zu diesem Kommentar

Kleine Ergänzung: Nach meiner Kenntnis ist  der  Schlüssel  im TPM gespeichert und die PIN wird an den TPM geschickt, der den Schlüssel nur bei korrekter PIN rausrückt. Wird "zu oft"  die falsche PIN gesendet, sperrt sich der TPM uns lässt sich nur durch einen Reset "wiederbeleben". Der ehemals gespeicherte Schlüssel ist dann aber weg. Das alles nicht direkt was mit dem Bitlocker zu tun.

Link zu diesem Kommentar

Wird "zu oft"  die falsche PIN gesendet, sperrt sich der TPM uns lässt sich nur durch einen Reset "wiederbeleben". Der ehemals gespeicherte Schlüssel ist dann aber weg. Das alles nicht direkt was mit dem Bitlocker zu tun.

...wenn man Glueck hat - habe schon drei Faelle erlebt wo man das gesamte Motherboard tauschen musste, weil sich eben der TPM nicht mehr reseten lies.

Kein Fehler unsererseits - der Laptophersteller hat dies auch zugegeben und meinte dieses Problem sei bekannt....

Link zu diesem Kommentar

Kleine Ergänzung: Nach meiner Kenntnis ist  der  Schlüssel  im TPM gespeichert und die PIN wird an den TPM geschickt, der den Schlüssel nur bei korrekter PIN rausrückt. Wird "zu oft"  die falsche PIN gesendet, sperrt sich der TPM uns lässt sich nur durch einen Reset "wiederbeleben". Der ehemals gespeicherte Schlüssel ist dann aber weg. Das alles nicht direkt was mit dem Bitlocker zu tun.

 

Bevor wir da einander vorbeireden geht es um den der gespeicherte Schlüssel also der Wiederherstellungsschlüssel oder Schlüssel auf einem USB-Stick mitdem der PC entsperrt werden kann. Man kann ja entweder das System mit Pin oder mit einem USB-Stick mit einem Schlüssel drauf entsperren oder?

 

Verstehe nicht genau diese ganzen Unterschiede ist dieser Wiederherstellungsschlüssel nur ein Verschlüsster (ersatz) Pin falls der richtige verloren geht oder wenn man einen USB-Stick verwendet und der USB-Stick mit dem Schlüssel nicht mehr funktioniert?

 

Was mich noch irritiert ist wie soll den BitLocker verschlüsseln können wenn TPM gar nicht existiert? Anscheinend geht das trotzdem jedoch nur wenn der USB-Stick als Schlüssel dient.

bearbeitet von bitlocker
Link zu diesem Kommentar

Wenn ich mich recht  erinnere, gibt es  bei der  USB-Stick-Variante keine  extra PIN. Bitlocker holt sich den Schlüssel vom Stick und legt los. Falls der  Stick kaputt  oder verloren geht, bittet  Windows darum einem (Wiederherstellungs-)Schlüssel auszudrucken oder anderweitig aufzubewahren. Wenn das Gerät "sicher"  sein soll, den USB-Stick einfach nicht in die  Buchse stecken. Geht das Gerät ohne Stick verloren, sind die Daten sicher. Bei anderen Lösungen, welche  ohne Stick nach dem Passwort fragen, ist der  Schlüssel irgendwo auf der  HDD gespeichert mit dem Passwort verschlüsselt. Ob das sicher genug ist, muss jeder für sich entscheiden.

 

TPM ist  deutlich sicherer, da hier der  Schlüssel im TPM gespeichert ist (und nur der Schlüssel). Der  Bitlocker liest  den  Schlüssel aus dem TPM aus. BIOS bzw. UEFI  können vorher zusätzlich noch div. Integritätstests durchführen, z.B. für BIOS-Einstellungen. Z.B. kann ein Admin im BIOS den Boot über USB verbieten und diese Einstellungen an den TPM koppeln. Verstellt jemand diese Einstellungen, wird er  TPM ungültig und behält den Schlüssel für sich.

Ob das bei jedem PC/Notebook funktioniert, kann ich nicht sagen.

 

Wenn Einem das immer noch nicht reicht, kann man dem TPM zusätzlich eine PIN-Abfrage verpassen. Hier fragt der Bitlocker dann nach der PIN und übergibt sie an den TPM.

 

Wozu der Wiederherstellungsschlüssel hier gebraucht  wird, sollte klar sein. Wenn der  TPM den Schlüssel "verschluckt" hat.

 

Bei der Verwendung  des  TPMs muss man keinen USB-Stick anstecken. Den braucht man nur im Notfall oder man gibt den Wiederherstellungsschlüssel manuell ein. 

bearbeitet von zahni
Link zu diesem Kommentar

Ich denke genau das passiert hier...

 

Kannst du bitte in maximal fünf Sätzen beschreiben was das Problem ist welches du lösen willst und am Schluss eine Frage dazu formulieren die wir dir beantworten können.

 

Nun habe ich das so eingestellt wie hier beschrieben. Jedoch habe ich noch Fragen zur Funktionsweise mit und ohne TPM?

 

Mit TPM:

 

1.) Es lässt sich zum Entschlüsseln entweder einen Pin benutzten oder einen USB-Stick mit einem Art vor definierten Pin der wie ein Schlüssel für ein Fahrzeug dient. Bei beiden varianten existiert noch ein Wiederherstellungsschlüssel der im Notfall eingesetzt werden kann wenn USB-Stick zerstört ist oder Pin verloren gegangen ist? Verstehe ich das so richtig? 

 

 

Ohne TPM:

 

2.) Entweder auch mit Pin oder mit USB-Stick als schlüssel UND dabei muss jedoch noch ein zusätzlicher USB-Stick existieren welchen den geheimen Schlüssel speichert welches normalerweise der TMP-Chip macht?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...