Jump to content

Bitlocker in Server 2019


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen!

 

Ich versuche gerade einen älteren Dell Server der nur über TPM 1.2  verfügt mit Bitlocker zu sichern. 

OS: Windows Server 2019 Standard

TPM ist vorbereitet und gelöscht. 

Eigentlich wollte ich nur die D: Partition verschlüsseln aber das bringt nichts, da es kein automatisches Entsperren gibt wenn die C: Partition nicht verschlüsselt ist. 

Nach jedem Neustart manuell entsperren ist keine Alternative.

Versucht man nun Bitlocker für das Laufwerk C: zu aktivieren kommt die Fehlermeldung:

 

Es fand keine ordnungsgemäße Kommunikation zwischen BIOS und dem TPM (Trusted Platform Module) statt. 

 

Interessanterweise kann ich das Laufwerk D: aber sehr wohl mit Bitlocker verschlüsseln

 

Windows Server 2019 unterstützt doch TPM 1.2 auch, warum will er dann nicht? 

Alles was ich an Updates für die Hardware gefunden habe ist auch installiert. Für TPM gab es von Dell aber nichts. 

 

Fragen:

Gibt's einen Weg das doch zum Laufen zu bekommen?

Könnte es an den TPM Befehlen liegen? 

Gibt es vielleicht einen anderen Weg die Daten zu verschlüsseln, ohne beim Neustart etwas eingeben zu müssen? - Kann auch ein Produkt eines anderen Herstellers sein. 

 

Besten Dank im Voraus

bearbeitet von dormi98
Link zu diesem Kommentar

Naja, beim Bitlocker geht es ja darum, dass ich eben nicht auf irgendwas zugreifen kann sofern ich mich nicht entweder anmelden kann oder den Bitlocker Key habe.

Insofern kommt man nur mit Klauen eines Geräts welches mit Bitlocker verschlüsselt ist und kein Login hat nicht an die Daten. 

Daher wäre Bitlocker eben das mittel der Wahl - aber wie gesagt es muss nicht Bitlocker sein.

 

Link zu diesem Kommentar
42 minutes ago, dormi98 said:

Ich möchte eben verhindern, dass jemand das Gerät einfach mitnehmen kann und damit sofort Zugriff auf die Daten hat. 

Oder die Festplatten ausbauen kann und auf die Daten zugreifen kann.  

Festplatten ausbauen ist kein Thema.

Aber wenn du kein Passwort für Bitlocker beim booten eingeben musst, kann man den Server klauen und hat die unverschlüsselten Daten verfügbar. Um an die Daten heranzukommen wird nochmal eine Herausforderung sein, aber das ist sicher machbar. Kann man so machen, muss einem aber bewusst sein.

Link zu diesem Kommentar
vor 3 Stunden schrieb Dukel:

Aber wenn du kein Passwort für Bitlocker beim booten eingeben musst, kann man den Server klauen und hat die unverschlüsselten Daten verfügbar. Um an die Daten heranzukommen wird nochmal eine Herausforderung sein, aber das ist sicher machbar. Kann man so machen, muss einem aber bewusst sein.

Nicht ganz: Wenn der Server einen TPM hat (Schlüsselspeicher) und der Server nicht von USB, PXE o.ä. booten kann, muss ich sich ein Dieb nach dem Boot zwangsweise an Windows authentifizieren. Hier helfen auch keine Hack-Tools die irgendwie das Admin-PW zurücksetzen. Einige TPM-Implementationen überwachen übrigens auch die Hardware-Konfig und die BIOS-Setup-Einstellungen. Sobald dort dann etwas geändert wird, ohne den Bitlocker vorher anzuhalten, weigert sich der TPM den Schlüssel herauszugeben und Windows will den Recovery-Key wissen.

Link zu diesem Kommentar

Sobald man gebootet hat und das System ist entschlüsselt (bzw. der Key im Ram) gibt es Möglichkeiten (wenn auch nicht ganz so einfache als komplett ohne Verschlüsselung) an die Daten heranzukommen. Es sollte reichen, wenn man den Server ans Netzwerk hängt und mittels Brute Force oder ausnutzen von Sicherheitslücken an die Daten oder an einen Zugang kommt.

Wenn man ein Passwort braucht um zu booten für Bitlocker hat der Dieb keine Chance (es sei denn er klaut die USV gleich mit und hällt den Server am Leben).

Link zu diesem Kommentar
vor einer Stunde schrieb Dukel:

wenn man den Server ans Netzwerk hängt und mittels Brute Force oder ausnutzen von Sicherheitslücken an die Daten oder an einen Zugang kommt.

Wie ich schrieb: Man muss sich authentifizieren. Zu einem Gesamtkonzept gehört natürlich auch, dass man Sicherheitsupdates installiert. Und so einfach kommt man dann doch nicht an der Schlüssel ran. Das erfordert tiefgreifende Kenntnisse, die mir beispielsweise spontan fehlen würden.

Der Server wird sicher nicht von der NSA geklaut.

Das Gleiche gilt auch, wenn man Bitlocker auf einem mobilen Gerät einsetzt. Und die findet man mitunter im Soft-Standby vor.

Link zu diesem Kommentar

Die Höhe der Hürde wäre auf jeden Fall ausreichend. 

Aber auf jeden Fall besser als so wie jetzt (unverschlüsselt). 

Ich habe gerade gesehen, dass man TPM 2.0 Chips nachrüsten kann. Bei einigen Geräten geht das. Ich sehe mir den Server bei meinem nächsten Besuch nächster Woche genauer an und sehe mir an ob das bei diesem auch geht. 

Außer natürlich jemand kann mir bis dahin sagen was ich ändern müsste dass es mit der aktuellen Hardware auch funktioniert. 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...