Zum Inhalt wechseln


Foto

Verständnisfrage Bitlocker und TPM


  • Bitte melde dich an um zu Antworten
2 Antworten in diesem Thema

#1 CyberTim

CyberTim

    Newbie

  • 6 Beiträge

 

Geschrieben 09. Juni 2017 - 05:32

Hallo zusammen,

wir bereiten bei uns gerade die Einführung von Win10 vor. In dem Zusammenhang steht auch BitLocker im Raum.

Mein Ansatz ist der: Wir verschlüsseln mit Bitlocker und stützen uns dabei auf TPM. Um die ganzen Wiederhestellungsinfos nicht gesondert verwalten zu müssen, speichern wir diese im AD. Anleitungen gibt es dazu genüge. Die Bitlocker-Infos landen auch im AD und sind auslesbar. Die TPM Owner Infos kommen aber nicht im AD an. Nach etwas Recherche habe ich nun schon herausgefunden, dass MS hier etwas mit Win10 1607 geändert hat, so dass das beobachtete Verhalten normal ist.

Ich bin mir jetzt nur nicht ganz sicher, ob ich es richtig verstanden habe. Nach meinem Verständnis, brauche ich (zumindest für die Fälle, die mir einfallen) diese Infos auch gar nicht.

Bitlocker verschlüsselt die Platte. Beim Systemstart gibt TPM den Schlüssel frei, so dass auf die Platte zugegriffen werden kann.

1.       Wenn das Gerät gestohlen wird (und es aus ist), kann der Dieb nichts damit anfangen: An Windows kann er sich ohne Passwort nicht anmelden und das Passwort eines lokalen Users kann er nicht auf den üblichen Wegen knacken. Der Schutz ist also gegeben.

2.       Wenn das Gerät kaputt geht und ich die Platte in ein anderes Gerät einbauen muss, reichen mir die BitLocker-Infos, die ins AD geschrieben wurden, um auf die Platte zugreifen zu können. Der Notfall wäre also abgedeckt.

3.       Wenn der TPM-Chip kaputt gehen sollte, siehe 2.

Wo fehlen mir also die TPM Owner Infos? In welchen Fällen, könnte ich sie konkret brauchen?

 

Gruß

 

Tim

 


Bearbeitet von CyberTim, 09. Juni 2017 - 05:39.


#2 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 09. Juni 2017 - 05:55

Auch wenns bequem ist, aber ein gebootetes windows bietet immer noch genügend potentielle Schwachstellen. Ein Grund, warum mobile Geräte bei uns tpm und Pin nutzen müssen. Ansonsten hast du alles richtig zusammengefasst.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#3 CyberTim

CyberTim

    Newbie

  • 6 Beiträge

 

Geschrieben 09. Juni 2017 - 06:46

D.h. die Owner Infos sind praktisch unrelevant.

 

Und klar, wenn es gebootet ist, ist es nicht anders wie ein unverschlüsseltes System.

 

Die Frage ist halt immer die, gegen wen/was man sich schützen und welchen Aufwand man treiben möchte. Sehr interessant in diesem Zusammenhang ist die Präsentation von Sami Laiho: https://channel9.msd...a/2014/WIN-B314