bitlocker 0 Geschrieben 22. Mai 2017 Melden Teilen Geschrieben 22. Mai 2017 (bearbeitet) Hallo, Ich habe mir übers Wochenende das Betriessystem Laufwerk C:\ mit Bitlocker verschlüsselt. Nun musste ich mit erstaunen feststellen, dass mich das Setup gar nicht nach einem Verschlüsselungs Passwort gefragt hat zudem wird vor dem Bootvorgang ebenfalls nicht nach einem Passwort gefragt. Wenn ich irgendein anderes Festplatten-Laufwerk verschlüssele funktioniert das tadellos auch mit Passwort! Weshalb ist das so? Was bringt eine Verschlüsselung vom OS ohne Passwort? Ich hatte vor einigen Jahren schonmal Bitlocker und dort das C:\ verschlüsselt und wurde vor dem booten immer nach einem PW gefragt.Also eigentlich dass, was man vom Bitlocker erwartet. Hoffe, hier aufklärung zu finden ist nämlich echt komisch. Gruss Nicolas bearbeitet 22. Mai 2017 von bitlocker Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 22. Mai 2017 Melden Teilen Geschrieben 22. Mai 2017 Dann lies dir doch mal durch, wozu man das tpm nutzen kann. Und ein Verschlüsselungskennwort gibst du afair nicht ein, sondern ein startkennwort/pin. Das kann man aber auch jederzeit in den bitlockereinstellungen ändern. Es sei denn der Admin hat das per gpo anders konfiguriert. Dürfte bei dir aber eher unwahrscheinlich sein. ;) Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 22. Mai 2017 Melden Teilen Geschrieben 22. Mai 2017 (bearbeitet) Moin, "was man von Bitlocker erwartet", ist genau das: Das Systemlaufwerk wird verschlüsselt, und das dafür notwendige Kennwort liegt sicher im TPM des Rechners. Das TPM ist vergleichbar mit einer Smartcard, man kann den Schlüssel dort also nicht auslesen. Der Vorgang stellt sicher, dass das Betriebssystem nur in der geprüften Umgebung startet, also in genau dem Rechner und genau der Bootreihenfolge. Man kann die Disk nicht in einen anderen Rechner einbauen und starten, ebensowenig kann man von einem anderen Medium booten und auf die Daten der Disk zugreifen. Als zusätzliches Sicherheitsmerkmal kann man, wie Norbert schon sagt, einen Start-PIN vorgeben, sodass Bitlocker ohne gültige Eingabe nicht mal den Bootvorgang beginnt. Ohne PIN startet das Betriebssystem in dem Rechner aber "einfach so", sodass das laufende Betriebssystem die Kontrolle übernimmt. Wer sich dort nicht anmelden kann, kommt auch nicht an die Daten. Da man am Betriebssystem auch nicht vorbeikommt (solange dies sicher genug konfiguriert ist), erhält man ein (sehr) hohes Sicherheitsniveau. Was du erwartest, ist vermutlich das Vorgehen bei Bitlocker to go - hier wird ein Kennwort verwendet, um auf den Verschlüsselungsschlüssel zuzugreifen. Das verwendet man vorrangig für Wechseldatenträger, kann es aber auch für separate Datenplatten nutzen. Grundlagen und Hintergründe zu Bitlocker findest du in großer Menge im Web, ein Beispiel: [Whitepaper: Wie Bitlocker Windows-Geräte schützt | faq-o-matic.net]https://www.faq-o-matic.net/2014/01/31/whitepaper-wie-bitlocker-windows-gerte-schtzt/ EDIT: Hmpf, leider gibt es das Whitepaper nicht mehr. Es gibt aber trotzdem viel Material, das sich bei einer Websuche schnell findet. Gruß, Nils bearbeitet 22. Mai 2017 von NilsK Zitieren Link zu diesem Kommentar
bitlocker 0 Geschrieben 22. Mai 2017 Autor Melden Teilen Geschrieben 22. Mai 2017 Dann lies dir doch mal durch, wozu man das tpm nutzen kann. Und ein Verschlüsselungskennwort gibst du afair nicht ein, sondern ein startkennwort/pin. Das kann man aber auch jederzeit in den bitlockereinstellungen ändern. Es sei denn der Admin hat das per gpo anders konfiguriert. Dürfte bei dir aber eher unwahrscheinlich sein. ;) Ja ich nutzte keine GPO, PC ist auch in keiner Domäne. Ich hatte früher soweit ich weiss problemlos Bitlocker mit Kennwort und Pin installiert, jedoch diesesmal bekomme ich irgendwie nicht weiter... In den Bitlocker einstellungen kann ich nirgends eine Einstellung für Pin sehen. Wenn ich das Setup durchführe für eine OS Laufwerkverschlüsselung werde ich nie nach einer Pin oder Kennwort installation gefragt. Wie mache ich den das? Das TMP Modul ist relativ kompliziert diese ganzen Rechte die unter Windows im TPM unter Bereichseinstellungen eingestellt werden können. Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 22. Mai 2017 Melden Teilen Geschrieben 22. Mai 2017 Moin, meines Wissens sollte es immer noch so funktionieren wie bisher: https://docs.microsoft.com/en-us/windows/device-security/bitlocker/bitlocker-group-policy-settings#bkmk-unlockpol1 Gruß, Nils Zitieren Link zu diesem Kommentar
bitlocker 0 Geschrieben 22. Mai 2017 Autor Melden Teilen Geschrieben 22. Mai 2017 Moin, "was man von Bitlocker erwartet", ist genau das: Das Systemlaufwerk wird verschlüsselt, und das dafür notwendige Kennwort liegt sicher im TPM des Rechners. Das TPM ist vergleichbar mit einer Smartcard, man kann den Schlüssel dort also nicht auslesen. Der Vorgang stellt sicher, dass das Betriebssystem nur in der geprüften Umgebung startet, also in genau dem Rechner und genau der Bootreihenfolge. Man kann die Disk nicht in einen anderen Rechner einbauen und starten, ebensowenig kann man von einem anderen Medium booten und auf die Daten der Disk zugreifen. Als zusätzliches Sicherheitsmerkmal kann man, wie Norbert schon sagt, einen Start-PIN vorgeben, sodass Bitlocker ohne gültige Eingabe nicht mal den Bootvorgang beginnt. Ohne PIN startet das Betriebssystem in dem Rechner aber "einfach so", sodass das laufende Betriebssystem die Kontrolle übernimmt. Wer sich dort nicht anmelden kann, kommt auch nicht an die Daten. Da man am Betriebssystem auch nicht vorbeikommt (solange dies sicher genug konfiguriert ist), erhält man ein (sehr) hohes Sicherheitsniveau. Was du erwartest, ist vermutlich das Vorgehen bei Bitlocker to go - hier wird ein Kennwort verwendet, um auf den Verschlüsselungsschlüssel zuzugreifen. Das verwendet man vorrangig für Wechseldatenträger, kann es aber auch für separate Datenplatten nutzen. Grundlagen und Hintergründe zu Bitlocker findest du in großer Menge im Web, ein Beispiel: [Whitepaper: Wie Bitlocker Windows-Geräte schützt | faq-o-matic.net] https://www.faq-o-matic.net/2014/01/31/whitepaper-wie-bitlocker-windows-gerte-schtzt/ EDIT: Hmpf, leider gibt es das Whitepaper nicht mehr. Es gibt aber trotzdem viel Material, das sich bei einer Websuche schnell findet. Gruß, Nils Hallo Nils Aso so wie ich das lese muss also in der GPO zuerst was konfiguriert werden. Was mich auch noch erstaunt das es sogar ohne TPM-Modul klappt mit Pin, dabei ersetzt ein USB-Stick das TPM-Modul? Verstehe ich das richtig? Also muss das mit meinem PC der das TPM-Modul in der Hardware hat das Häkchen bei "Bitlocker ohne TPM-Modul zulassen" rausnehmen da ich das Modul habe und nur noch die Pineingabe auf zulassen stellen? Hätte ich hingegen kein TPM-Modul müsste ich das Häklein drin sein unter "BitLocker ohne kompatibles TPM zulassen"? Vermutlich war das bei meinem Arbeitgeber bereits so konfiguriert in der GPO sodass, BitLocker mir ein Passwort zur auswahl anbietet. -> Die Pin die ich vor dem Start eingebe ist die Entschlüsselungs-Pin mit welcher ich die HDD entschlüsseln kann? Das heisst ich könnte nicht mit Knoppix booten und C:\ auslesen weil die HDD mit BitLocker verschlüsselt ist. Richtig? Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 22. Mai 2017 Melden Teilen Geschrieben 22. Mai 2017 Moin, wenn ich mich richtig erinnere, heißt "... ohne TPM zulassen" nur, dass es ohne TPM möglich ist. Wenn ein TPM vorhanden ist, wird es m.W. auch genutzt. Du hast ja eins im Rechner, also brauchst du die Option auch nicht. Nein, der PIN ist natürlich nicht der Schlüssel. Den Schlüssel bekommst du aus dem TPM nicht raus. Der PIN weist in dem Fall Bitlocker an, das TPM erst anzusprechen, wenn der PIN richtig ist. Als zusätzlicher Schutz, der mit der eigentlichen Verschlüsselung aber nichts zu tun hat. Gruß, Nils Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 22. Mai 2017 Melden Teilen Geschrieben 22. Mai 2017 Kleine Ergänzung: Nach meiner Kenntnis ist der Schlüssel im TPM gespeichert und die PIN wird an den TPM geschickt, der den Schlüssel nur bei korrekter PIN rausrückt. Wird "zu oft" die falsche PIN gesendet, sperrt sich der TPM uns lässt sich nur durch einen Reset "wiederbeleben". Der ehemals gespeicherte Schlüssel ist dann aber weg. Das alles nicht direkt was mit dem Bitlocker zu tun. Zitieren Link zu diesem Kommentar
Piranha 18 Geschrieben 22. Mai 2017 Melden Teilen Geschrieben 22. Mai 2017 Wird "zu oft" die falsche PIN gesendet, sperrt sich der TPM uns lässt sich nur durch einen Reset "wiederbeleben". Der ehemals gespeicherte Schlüssel ist dann aber weg. Das alles nicht direkt was mit dem Bitlocker zu tun. ...wenn man Glueck hat - habe schon drei Faelle erlebt wo man das gesamte Motherboard tauschen musste, weil sich eben der TPM nicht mehr reseten lies. Kein Fehler unsererseits - der Laptophersteller hat dies auch zugegeben und meinte dieses Problem sei bekannt.... Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 23. Mai 2017 Melden Teilen Geschrieben 23. Mai 2017 Das ist dann aber eher selten. Vielleicht der Hersteller wechseln? Zitieren Link zu diesem Kommentar
bitlocker 0 Geschrieben 24. Mai 2017 Autor Melden Teilen Geschrieben 24. Mai 2017 (bearbeitet) Kleine Ergänzung: Nach meiner Kenntnis ist der Schlüssel im TPM gespeichert und die PIN wird an den TPM geschickt, der den Schlüssel nur bei korrekter PIN rausrückt. Wird "zu oft" die falsche PIN gesendet, sperrt sich der TPM uns lässt sich nur durch einen Reset "wiederbeleben". Der ehemals gespeicherte Schlüssel ist dann aber weg. Das alles nicht direkt was mit dem Bitlocker zu tun. Bevor wir da einander vorbeireden geht es um den der gespeicherte Schlüssel also der Wiederherstellungsschlüssel oder Schlüssel auf einem USB-Stick mitdem der PC entsperrt werden kann. Man kann ja entweder das System mit Pin oder mit einem USB-Stick mit einem Schlüssel drauf entsperren oder? Verstehe nicht genau diese ganzen Unterschiede ist dieser Wiederherstellungsschlüssel nur ein Verschlüsster (ersatz) Pin falls der richtige verloren geht oder wenn man einen USB-Stick verwendet und der USB-Stick mit dem Schlüssel nicht mehr funktioniert? Was mich noch irritiert ist wie soll den BitLocker verschlüsseln können wenn TPM gar nicht existiert? Anscheinend geht das trotzdem jedoch nur wenn der USB-Stick als Schlüssel dient. bearbeitet 24. Mai 2017 von bitlocker Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 24. Mai 2017 Melden Teilen Geschrieben 24. Mai 2017 Bevor wir da einander vorbeireden Ich denke genau das passiert hier... Kannst du bitte in maximal fünf Sätzen beschreiben was das Problem ist welches du lösen willst und am Schluss eine Frage dazu formulieren die wir dir beantworten können. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 24. Mai 2017 Melden Teilen Geschrieben 24. Mai 2017 (bearbeitet) Wenn ich mich recht erinnere, gibt es bei der USB-Stick-Variante keine extra PIN. Bitlocker holt sich den Schlüssel vom Stick und legt los. Falls der Stick kaputt oder verloren geht, bittet Windows darum einem (Wiederherstellungs-)Schlüssel auszudrucken oder anderweitig aufzubewahren. Wenn das Gerät "sicher" sein soll, den USB-Stick einfach nicht in die Buchse stecken. Geht das Gerät ohne Stick verloren, sind die Daten sicher. Bei anderen Lösungen, welche ohne Stick nach dem Passwort fragen, ist der Schlüssel irgendwo auf der HDD gespeichert mit dem Passwort verschlüsselt. Ob das sicher genug ist, muss jeder für sich entscheiden. TPM ist deutlich sicherer, da hier der Schlüssel im TPM gespeichert ist (und nur der Schlüssel). Der Bitlocker liest den Schlüssel aus dem TPM aus. BIOS bzw. UEFI können vorher zusätzlich noch div. Integritätstests durchführen, z.B. für BIOS-Einstellungen. Z.B. kann ein Admin im BIOS den Boot über USB verbieten und diese Einstellungen an den TPM koppeln. Verstellt jemand diese Einstellungen, wird er TPM ungültig und behält den Schlüssel für sich. Ob das bei jedem PC/Notebook funktioniert, kann ich nicht sagen. Wenn Einem das immer noch nicht reicht, kann man dem TPM zusätzlich eine PIN-Abfrage verpassen. Hier fragt der Bitlocker dann nach der PIN und übergibt sie an den TPM. Wozu der Wiederherstellungsschlüssel hier gebraucht wird, sollte klar sein. Wenn der TPM den Schlüssel "verschluckt" hat. Bei der Verwendung des TPMs muss man keinen USB-Stick anstecken. Den braucht man nur im Notfall oder man gibt den Wiederherstellungsschlüssel manuell ein. bearbeitet 24. Mai 2017 von zahni Zitieren Link zu diesem Kommentar
bitlocker 0 Geschrieben 26. Mai 2017 Autor Melden Teilen Geschrieben 26. Mai 2017 Ich denke genau das passiert hier... Kannst du bitte in maximal fünf Sätzen beschreiben was das Problem ist welches du lösen willst und am Schluss eine Frage dazu formulieren die wir dir beantworten können. Nun habe ich das so eingestellt wie hier beschrieben. Jedoch habe ich noch Fragen zur Funktionsweise mit und ohne TPM? Mit TPM: 1.) Es lässt sich zum Entschlüsseln entweder einen Pin benutzten oder einen USB-Stick mit einem Art vor definierten Pin der wie ein Schlüssel für ein Fahrzeug dient. Bei beiden varianten existiert noch ein Wiederherstellungsschlüssel der im Notfall eingesetzt werden kann wenn USB-Stick zerstört ist oder Pin verloren gegangen ist? Verstehe ich das so richtig? Ohne TPM: 2.) Entweder auch mit Pin oder mit USB-Stick als schlüssel UND dabei muss jedoch noch ein zusätzlicher USB-Stick existieren welchen den geheimen Schlüssel speichert welches normalerweise der TMP-Chip macht? Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 26. Mai 2017 Melden Teilen Geschrieben 26. Mai 2017 Moin, So in etwa. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.