Muffel 11 Geschrieben 15. September 2009 Melden Geschrieben 15. September 2009 Unter Vista habe ich recht viele Erfahrungen mit Bitlocker, dessen Einrichtung und Ausfällen (Mainboard-Tausch oder einfach nur ein BIOS-Update) erlangt. Jeweils alles per TPM-Chip (ohne PIN, ohne USB). Jetzt will ich zum ersten Mal einen Windows Server 2008 installieren und von Anfang an Bitlocker mit einem TPM-Chip einsetzen. Beim googlen erscheint alles gleich. Aber eventuell liegen ja die Unterschiede im Detail. Gibt es da irgendwelche Unterschiede zu Vista zu beachten oder ist das alles vergleichbar? Zitieren
zahni 577 Geschrieben 15. September 2009 Melden Geschrieben 15. September 2009 Da Windows 2008 und Vista auf dem selben Code aufbauen, sollte das ähnlich sein. TPM ohne PIN ist ürigens relativ sinnfrei. Wenn das System ohne PBA nach dem Booten hochfährt, sind die Chancen recht gut, dass man trotzdem an die Daten rankommt. Also TPM nur mit PIN verwenden. Das ergibt sich dann aber die Frage nach dem Server: Die stehen ja hoffentlich im gesicherten Serveraum. oder in der Ferne. Wer soll die PIN eingeben, wenn der Server mal gebootet werden muß ? Oder wenn der Server keinen TPM-Chip hat, wer "zeigt" ihm den USB-Stick ? -Zahni Zitieren
Muffel 11 Geschrieben 15. September 2009 Autor Melden Geschrieben 15. September 2009 zahni schrieb: TPM ohne PIN ist ürigens relativ sinnfrei. Nö, ist es nicht. Man muss erst die Speicherriegel einfrieren, ihn ihm kalten Zustand ausbauen, und dann wo anders einbauen, um ihn auszulesen udn dann den AES-Schlüssel zu suchen. Alternativ per Reverse Engineering den TPM-Chip auseinandernehmen (röntgen, abschleifen) und auslesen, dann ggf. noch dekodieren und vor allem nachbauen. Nicht gerade Sachen, die man eben mal schnell macht. Oder wie wolltest du TPM knacken? PIN eingeben kann man remote übrigens mit Peppercon eRIC. Zitieren
zahni 577 Geschrieben 15. September 2009 Melden Geschrieben 15. September 2009 Das Problem: Der TPM-Chip ohne PIN den Schlüssel ohne weitere Vorkehrung raus. Du kannst das System also booten, wenn geklaut wurde. Dann gibt es noch div. andere Möglichkeiten an die Daten zu kommen. Z.B. übers LAN.. Das ist so, asl wenn Deine EC-Karte keine PIN-Nummer hätte. Nix Chip abschleifen... -Zahni Zitieren
NilsK 3.012 Geschrieben 15. September 2009 Melden Geschrieben 15. September 2009 Moin, BitLocker ist auch kein Allgemeinschutz! Es soll vor üblichen physischen Attacken, insbesondere Offline-Attacken schützen (System von einem anderen Medium booten, um die Daten der Festplatte offline auszulesen, insbesondere Admin-Konten). Vor Verwundbarkeiten des laufenden Systems (also Online-Attacken) schützt natürlich auch Pre-Boot Authentication nicht. In sofern hat BitLocker auch ohne PIN durchaus seinen Sinn. .: Daniel Melanchthon :. : Sicherheit von BitLocker gegen Offline-Angriffe Gruß, Nils Zitieren
zahni 577 Geschrieben 15. September 2009 Melden Geschrieben 15. September 2009 rNoch ein LinK dazu: How does using a BitLocker PIN with the TPM provide a higher level of protection? PS: Mir geht es natürlich um den Diebstahl eines Geräts. Daher auch meine Zweifel, ob das bei Servern sinnvoll ist. Die gehören hinter eine "dicke Tür" Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.