bitlocker

Ok dann testé ich mal soweit alles aus und sehe dann ob ich noch offene Fragen habe. Erstmals Danke. :-)

Ich denke genau das passiert hier...

 

Kannst du bitte in maximal fünf Sätzen beschreiben was das Problem ist welches du lösen willst und am Schluss eine Frage dazu formulieren die wir dir beantworten können.

Nun habe ich das so eingestellt wie hier beschrieben. Jedoch habe ich noch Fragen zur Funktionsweise mit und ohne TPM?

Mit TPM:

1.) Es lässt sich zum Entschlüsseln entweder einen Pin benutzten oder einen USB-Stick mit einem Art vor definierten Pin der wie ein Schlüssel für ein Fahrzeug dient. Bei beiden varianten existiert noch ein Wiederherstellungsschlüssel der im Notfall eingesetzt werden kann wenn USB-Stick zerstört ist oder Pin verloren gegangen ist? Verstehe ich das so richtig? 

Ohne TPM:

2.) Entweder auch mit Pin oder mit USB-Stick als schlüssel UND dabei muss jedoch noch ein zusätzlicher USB-Stick existieren welchen den geheimen Schlüssel speichert welches normalerweise der TMP-Chip macht?

Kleine Ergänzung: Nach meiner Kenntnis ist  der  Schlüssel  im TPM gespeichert und die PIN wird an den TPM geschickt, der den Schlüssel nur bei korrekter PIN rausrückt. Wird "zu oft"  die falsche PIN gesendet, sperrt sich der TPM uns lässt sich nur durch einen Reset "wiederbeleben". Der ehemals gespeicherte Schlüssel ist dann aber weg. Das alles nicht direkt was mit dem Bitlocker zu tun.

Bevor wir da einander vorbeireden geht es um den der gespeicherte Schlüssel also der Wiederherstellungsschlüssel oder Schlüssel auf einem USB-Stick mitdem der PC entsperrt werden kann. Man kann ja entweder das System mit Pin oder mit einem USB-Stick mit einem Schlüssel drauf entsperren oder?

Verstehe nicht genau diese ganzen Unterschiede ist dieser Wiederherstellungsschlüssel nur ein Verschlüsster (ersatz) Pin falls der richtige verloren geht oder wenn man einen USB-Stick verwendet und der USB-Stick mit dem Schlüssel nicht mehr funktioniert?

Was mich noch irritiert ist wie soll den BitLocker verschlüsseln können wenn TPM gar nicht existiert? Anscheinend geht das trotzdem jedoch nur wenn der USB-Stick als Schlüssel dient.

Moin,

 

"was man von Bitlocker erwartet", ist genau das: Das Systemlaufwerk wird verschlüsselt, und das dafür notwendige Kennwort liegt sicher im TPM des Rechners. Das TPM ist vergleichbar mit einer Smartcard, man kann den Schlüssel dort also nicht auslesen.

 

Der Vorgang stellt sicher, dass das Betriebssystem nur in der geprüften Umgebung startet, also in genau dem Rechner und genau der Bootreihenfolge. Man kann die Disk nicht in einen anderen Rechner einbauen und starten, ebensowenig kann man von einem anderen Medium booten und auf die Daten der Disk zugreifen. Als zusätzliches Sicherheitsmerkmal kann man, wie Norbert schon sagt, einen Start-PIN vorgeben, sodass Bitlocker ohne gültige Eingabe nicht mal den Bootvorgang beginnt. Ohne PIN startet das Betriebssystem in dem Rechner aber "einfach so", sodass das laufende Betriebssystem die Kontrolle übernimmt. Wer sich dort nicht anmelden kann, kommt auch nicht an die Daten. Da man am Betriebssystem auch nicht vorbeikommt (solange dies sicher genug konfiguriert ist), erhält man ein (sehr) hohes Sicherheitsniveau.

 

Was du erwartest, ist vermutlich das Vorgehen bei Bitlocker to go - hier wird ein Kennwort verwendet, um auf den Verschlüsselungsschlüssel zuzugreifen. Das verwendet man vorrangig für Wechseldatenträger, kann es aber auch für separate Datenplatten nutzen.

 

Grundlagen und Hintergründe zu Bitlocker findest du in großer Menge im Web, ein Beispiel:

 

[Whitepaper: Wie Bitlocker Windows-Geräte schützt | faq-o-matic.net]

https://www.faq-o-matic.net/2014/01/31/whitepaper-wie-bitlocker-windows-gerte-schtzt/

 

EDIT: Hmpf, leider gibt es das Whitepaper nicht mehr. Es gibt aber trotzdem viel Material, das sich bei einer Websuche schnell findet.

 

Gruß, Nils

Hallo Nils

Aso so wie ich das lese muss also in der GPO zuerst was konfiguriert werden. Was mich auch noch erstaunt das es sogar ohne TPM-Modul klappt mit Pin, dabei ersetzt ein USB-Stick das TPM-Modul? Verstehe ich das richtig? 

Also muss das mit meinem PC der das TPM-Modul in der Hardware hat das Häkchen bei "Bitlocker ohne TPM-Modul zulassen" rausnehmen da ich das Modul habe und nur noch die Pineingabe auf zulassen stellen?

Hätte ich hingegen kein TPM-Modul müsste ich das Häklein drin sein unter "BitLocker ohne kompatibles TPM zulassen"?

Vermutlich war das bei meinem Arbeitgeber bereits so konfiguriert in der GPO sodass, BitLocker mir ein Passwort zur auswahl anbietet.

-> Die Pin die ich vor dem Start eingebe ist die Entschlüsselungs-Pin mit welcher ich die HDD entschlüsseln kann? Das heisst ich könnte nicht mit Knoppix booten und C:\ auslesen weil die HDD mit BitLocker verschlüsselt ist. Richtig?

Dann lies dir doch mal durch, wozu man das tpm nutzen kann. Und ein Verschlüsselungskennwort gibst du afair nicht ein, sondern ein startkennwort/pin. Das kann man aber auch jederzeit in den bitlockereinstellungen ändern. Es sei denn der Admin hat das per gpo anders konfiguriert. Dürfte bei dir aber eher unwahrscheinlich sein. ;)

Ja ich nutzte keine GPO, PC ist auch in keiner Domäne. Ich hatte früher soweit ich weiss problemlos Bitlocker mit Kennwort und Pin installiert, jedoch diesesmal bekomme ich irgendwie nicht weiter...

In den Bitlocker einstellungen kann ich nirgends eine Einstellung für Pin sehen. Wenn ich das Setup durchführe für eine OS Laufwerkverschlüsselung werde ich nie nach einer Pin oder Kennwort installation gefragt. Wie mache ich den das? Das TMP Modul ist relativ kompliziert diese ganzen Rechte die unter Windows im TPM unter Bereichseinstellungen eingestellt werden können.

Hallo,

Ich habe mir übers Wochenende das Betriessystem Laufwerk C:\ mit Bitlocker verschlüsselt. Nun musste ich mit erstaunen feststellen, dass mich das Setup gar nicht nach einem Verschlüsselungs Passwort gefragt hat zudem wird vor dem Bootvorgang ebenfalls nicht nach einem Passwort gefragt.

Wenn ich irgendein anderes Festplatten-Laufwerk verschlüssele funktioniert das tadellos auch mit Passwort!

Weshalb ist das so? Was bringt eine Verschlüsselung vom OS ohne Passwort?

Ich hatte vor einigen Jahren schonmal Bitlocker und dort das C:\ verschlüsselt und wurde vor dem booten immer nach einem PW gefragt.Also eigentlich dass, was man vom Bitlocker erwartet.

Hoffe, hier aufklärung zu finden ist nämlich echt komisch.

Gruss

Nicolas