Jump to content

Verschlüsselung von (virtuellen) Server?

ssd_rider

Von ssd_rider
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Dunkelmann Veteran

Dunkelmann   96

Geschrieben
Geschrieben

Moin,

 

Bitlocker ist bei laufenden Systemen, wie z.Bsp. einem Server, relativ unsicher. Bei laufendem System befindet sich der Entschlüsselungsschlüssel im RAM und kann abgegriffen werden.

Die Zielgruppe von Bitlocker sind mobile Geräte.

http://technet.microsoft.com/en-us/library/dn632180.aspx

http://blogs.msdn.com/b/si_team/archive/2008/02/25/protecting-bitlocker-from-cold-attacks-and-other-threats.aspx

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.789

Geschrieben
Geschrieben (bearbeitet)

Moin,

 

die Fragen nach dem Szenario und dem Hintergrund der Verschlüsselungsfrage sind durchaus berechtigt. Was hier über Bitlocker gesagt wird, ist allerdings teilweise falsch oder zu stark verkürzt.

 

Bitlocker ...

  • verschlüsselt die Platte vollständig
  • "merkt" nicht, wenn die Platte gestohlen wurde, sondern benötigt zum Entschlüsseln das richtige Kennwort
  • nutzt zum Enschlüsseln standardmäßig ein Kennwort, das im TPM-Chip eines Rechners hinterlegt ist. Das ist nach heutigem Stand als "sicher" zu betrachten, daher kann man die Platte in einem anderen Rechner nur lesen, wenn man das Kennwort kennt
  • lässt nur den Start desjenigen Betriebssystems zu, das die Verschlüsselung ausgeführt hat
  • gilt technisch immer noch als gut gemacht und "sicher"
  • schützt vor Offline-Angriffen, in denen das Betriebssystem nicht läuft
  • schützt nicht vor Online-Angriffen
  • lässt sich daher umgehen, wenn man den Rechner normal startet und sich an Windows anmeldet - wie trivial das wiederum ist, hängt vom gewählten Windows-Kennwort und der Absicherung des Betriebssystems ab
  • lässt sich daher eben i.d.R. nicht "einfach so" umgehen, wenn man lokal an dem betreffenden Rechner sitzt - die meisten Umgehungsangriffe für lokale Kennwörter setzen voraus, dass man den Rechner mit einem anderen Medium bootet, und genau davor schützt Bitlocker zuverlässig
  • lässt sich aber durchaus umgehen, wenn das laufende Betriebssystem andere Angriffe zulässt
  • ersetzt keine Absicherung des physischen RZ-Zugangs, wird durch einen abgesicherten Zugang aber auch selbst nicht obsolet
  • ersetzt auch keine anderen Maßnahmen zur Absicherung, sondern kann sie ergänzen
  • adressiert in erster Linie Mobilgeräte
  • ist auf Servern nur mit hohem Aufwand sinnvoll einzusetzen
  • ist aber auf Servern eben auch nicht per se unsinnig

 

Bitlocker ist bei laufenden Systemen, wie z.Bsp. einem Server, relativ unsicher. Bei laufendem System befindet sich der Entschlüsselungsschlüssel im RAM und kann abgegriffen werden.

 

 

das ist richtig (siehe oben), aber irrelevant. Wenn ich da rankomme, komme ich auch an die Daten des Systems. Warum sollte ich dann also noch den Key abgreifen? Ich kann mir die Daten doch einfach nehmen ...

Bitlocker hat noch nie den Anspruch gehabt, ein laufendes System zu schützen. Daher ist es da auch nicht "unsicher", sondern unwirksam. Genau wie dein Airbag dir auch nichts nützt, wenn du ausgestiegen bist und über die Straße gehst.

 

Gruß, Nils

bearbeitet von NilsK
  • Like 1
Link zu diesem Kommentar
Daniel -MSFT- Veteran

Daniel -MSFT-   129

Geschrieben
Geschrieben (bearbeitet)

Ergänzend zu Nils exzellenten Ausführungen noch der Hinweis: Bitlocker schützt Data at Rest. Bei Servern können verschiedene Gründe für den Einsatz von Bitlocker sprechen. So können möglicherweise Compliance-Anforderungen die Festplattenverschlüsselung erforderlich machen. PCI DSS wäre ein Kandidat:

 

 

PCI DSS Requirements Automated

Data classification and protection solutions help you meet PCI DSS requirements by securing cardholder data when it is stored in a database, transmitted from one server to another, or transmitted into your network when a cardholder makes a purchase. Using these solutions helps you address PCI DSS requirements 3, 4 and 7.

For the full text of each of these requirements, see Navigating PCI DSS – Understanding the Intent of the Requirements (PDF) on the PCI Security Standards Council's Web site.

Available Technologies

Microsoft offers a number of technologies that can help you classify and protect cardholder data, whether it is transmitted over your network, stored in a document on an employee’s computer, or stored to a database. These technologies include the following:

• BitLocker™ Drive Encryption. BitLocker Drive Encryption helps you protect cardholder data by providing drive encryption and integrity checking on early-boot components. Drive encryption protects data by preventing unauthorized users from breaking Windows file and system protection on lost or stolen computers. This protection is achieved by encrypting the entire Windows volume. With BitLocker, all user and system files are encrypted, including the swap and hibernation files. Integrity checking the early-boot components help to ensure that data decryption is performed only if those components appear unmolested and that the encrypted drive is located in the original computer.

Q: Doesn’t PCI DSS Requirments and Security Assessment Procedures, v1.2 Section 3.4.1 imply that Microsoft data protection technologies cannot be used?

A: No. That section says, in full:

"If disk encryption is used (rather than file- or column-level database encryption), logical access must be managed independently of native operating system access control mechanisms (for example, by not using local system user accounts). Decryption keys must not be tied to user accounts."

Microsoft data protection technologies do not tie decryption keys to user accounts. For example, BitLocker Drive Encryption never ties decryption keys (PINs or recovery passwords) to user accounts in Active Directory Domain Services (AD DS). Encrypting File System (EFS) does not tie decryption keys to user accounts either. Your organization can revoke a person’s ability to decrypt a document without changing system access privileges. In certain configurations, EFS attempts to optimize the user experience by automatically placing some decryption keys in the user profiles of specific users. However, this functionality can be changed through appropriate configuration.

http://download.microsoft.com/download/5/9/f/59fc8c44-bd4c-4ff3-9083-d25a75ad85cd/PCI_DSS_Compliance_Planning_Guide.docx

 

Anderes Beispiel ist das Management von Festplatten im Datacenter. Nicht jeder Dienstleister überwacht den Lifecycle bei jeder Festplatte, wie wir das z.B. in unseren Rechenzentren tun (die kommen da nicht unzerstört raus). Durch Bitlocker kannman sicherstellen, dass die Platten, sollten sie in unbefugte Hände gelangen, nicht ausgelesen werden können. Auch lassen sie sich leichter sicher löschen, da nur der Speicherort der verschlüsselten Kopien des Keys auf der Festplatte sicher überschrieben werden muss.

 

Siehe dazu auch:http://technet.microsoft.com/de-de/library/hh831507.aspx

 

A: Die Verwendung von BitLocker innerhalb eines virtuellen Computers wird nicht unterstützt. Führen Sie die BitLocker-Laufwerkverschlüsselung nicht innerhalb eines virtuellen Computers aus. Sie können BitLocker im Verwaltungsbetriebssystem des virtuellen Computers verwenden, um Volumes zu schützen, die Konfigurationsdateien, virtuelle Festplatten und Momentaufnahmen enthalten.

bearbeitet von Daniel -MSFT-
Link zu diesem Kommentar
AdminAIS Explorer

AdminAIS   0

Geschrieben
Geschrieben

wenn ich es schaffe mich an der Maschine anzumelden entschlüsselt mir BitLocker auch die Platten.

 

Wenn du ne zusätzliche Authentifizierung einstellst, z.B. nen Start-PIN oder was es da noch so gibt, ist es nicht mehr ganz so einfach da ran zu kommen! da müsste man nur bedenken, dass aus dem Energiesparmodus raus die PIN eingabe nicht kommt sondern nur aus dem Ruhezustand!

Link zu diesem Kommentar
Dukel Grand Master

Dukel   436

Geschrieben
Geschrieben

Wenn du ne zusätzliche Authentifizierung einstellst, z.B. nen Start-PIN oder was es da noch so gibt, ist es nicht mehr ganz so einfach da ran zu kommen! da müsste man nur bedenken, dass aus dem Energiesparmodus raus die PIN eingabe nicht kommt sondern nur aus dem Ruhezustand!

 

Das heißt aber auch, dass immer jemand vor Ort sein muss, der z.B. bei einem Reboot die PIN eingibt. Unter Umständen hat man damit Probleme mit der Verfügbarkeit der Systeme.

Link zu diesem Kommentar
AdminAIS Explorer

AdminAIS   0

Geschrieben
Geschrieben

Hmm, du hast offensichtlich nur einen Server, oder wie? ;)Ich sitz in den seltensten Fällen in der Nähe eines Servers, wenn ich ihn boote.

 

Bye

Norbert

 nee schon ein Paar mehr aber wenn wir die neu starten dann nur Sonntags und die meisten unserer Server (außer 2) sind in unserer VMWare Umgebung und da muss man nich daneben hocken sondern kann da mit dem vSphere Client rumbasteln! :p

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...