dormi98 15 Geschrieben 18. Juli 2019 Melden Teilen Geschrieben 18. Juli 2019 (bearbeitet) Hallo zusammen! Ich versuche gerade einen älteren Dell Server der nur über TPM 1.2 verfügt mit Bitlocker zu sichern. OS: Windows Server 2019 Standard TPM ist vorbereitet und gelöscht. Eigentlich wollte ich nur die D: Partition verschlüsseln aber das bringt nichts, da es kein automatisches Entsperren gibt wenn die C: Partition nicht verschlüsselt ist. Nach jedem Neustart manuell entsperren ist keine Alternative. Versucht man nun Bitlocker für das Laufwerk C: zu aktivieren kommt die Fehlermeldung: Es fand keine ordnungsgemäße Kommunikation zwischen BIOS und dem TPM (Trusted Platform Module) statt. Interessanterweise kann ich das Laufwerk D: aber sehr wohl mit Bitlocker verschlüsseln Windows Server 2019 unterstützt doch TPM 1.2 auch, warum will er dann nicht? Alles was ich an Updates für die Hardware gefunden habe ist auch installiert. Für TPM gab es von Dell aber nichts. Fragen: Gibt's einen Weg das doch zum Laufen zu bekommen? Könnte es an den TPM Befehlen liegen? Gibt es vielleicht einen anderen Weg die Daten zu verschlüsseln, ohne beim Neustart etwas eingeben zu müssen? - Kann auch ein Produkt eines anderen Herstellers sein. Besten Dank im Voraus bearbeitet 18. Juli 2019 von dormi98 Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 18. Juli 2019 Melden Teilen Geschrieben 18. Juli 2019 3 minutes ago, dormi98 said: Gibt es vielleicht einen anderen Weg die Daten zu verschlüsseln, ohne beim Neustart etwas eingeben zu müssen? Wenn du das hinbekommst muss man nur den kompletten Server klauen statt der Festplatten um an die Daten zu kommen. Warum möchtest du mit Bitlocker verschlüsseln? Zitieren Link zu diesem Kommentar
dormi98 15 Geschrieben 18. Juli 2019 Autor Melden Teilen Geschrieben 18. Juli 2019 Naja, beim Bitlocker geht es ja darum, dass ich eben nicht auf irgendwas zugreifen kann sofern ich mich nicht entweder anmelden kann oder den Bitlocker Key habe. Insofern kommt man nur mit Klauen eines Geräts welches mit Bitlocker verschlüsselt ist und kein Login hat nicht an die Daten. Daher wäre Bitlocker eben das mittel der Wahl - aber wie gesagt es muss nicht Bitlocker sein. Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 18. Juli 2019 Melden Teilen Geschrieben 18. Juli 2019 Was ist _dein_ Ziel? Wofür Bitlocker da ist weiß ich. Aber vor welchen Gefahren willst du dich schützen? Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 18. Juli 2019 Melden Teilen Geschrieben 18. Juli 2019 Eventuell, falls möglich, Windows mit UEFI und GPT neu installieren: https://www.dell.com/support/article/de/de/dedhs1/sln300937/beheben-eines-tpm-fehlers-der-während-der-bitlocker-verschlüsselung-auf-einem-dell-pc-angezeigt-wird?lang=de Zitieren Link zu diesem Kommentar
dormi98 15 Geschrieben 18. Juli 2019 Autor Melden Teilen Geschrieben 18. Juli 2019 Ich möchte eben verhindern, dass jemand das Gerät einfach mitnehmen kann und damit sofort Zugriff auf die Daten hat. Oder die Festplatten ausbauen kann und auf die Daten zugreifen kann. Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 18. Juli 2019 Melden Teilen Geschrieben 18. Juli 2019 42 minutes ago, dormi98 said: Ich möchte eben verhindern, dass jemand das Gerät einfach mitnehmen kann und damit sofort Zugriff auf die Daten hat. Oder die Festplatten ausbauen kann und auf die Daten zugreifen kann. Festplatten ausbauen ist kein Thema. Aber wenn du kein Passwort für Bitlocker beim booten eingeben musst, kann man den Server klauen und hat die unverschlüsselten Daten verfügbar. Um an die Daten heranzukommen wird nochmal eine Herausforderung sein, aber das ist sicher machbar. Kann man so machen, muss einem aber bewusst sein. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.484 Geschrieben 18. Juli 2019 Melden Teilen Geschrieben 18. Juli 2019 Dazu müsste aber jemand physisch an den Server kommen, was bei uns z.B. nahezu unmöglich ist, es sei denn, er kommt mit einem Bagger durch die Wand Just my2cents Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 18. Juli 2019 Melden Teilen Geschrieben 18. Juli 2019 4 minutes ago, Nobbyaushb said: Dazu müsste aber jemand physisch an den Server kommen, was bei uns z.B. nahezu unmöglich ist, es sei denn, er kommt mit einem Bagger durch die Wand Just my2cents Dann braucht man auch nicht verschlüsseln. Zitieren Link zu diesem Kommentar
dormi98 15 Geschrieben 18. Juli 2019 Autor Melden Teilen Geschrieben 18. Juli 2019 Habe gerade noch einmal kontrolliert. UEFI und GPT sind aktiviert. Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 18. Juli 2019 Melden Teilen Geschrieben 18. Juli 2019 vor 3 Stunden schrieb Dukel: Aber wenn du kein Passwort für Bitlocker beim booten eingeben musst, kann man den Server klauen und hat die unverschlüsselten Daten verfügbar. Um an die Daten heranzukommen wird nochmal eine Herausforderung sein, aber das ist sicher machbar. Kann man so machen, muss einem aber bewusst sein. Nicht ganz: Wenn der Server einen TPM hat (Schlüsselspeicher) und der Server nicht von USB, PXE o.ä. booten kann, muss ich sich ein Dieb nach dem Boot zwangsweise an Windows authentifizieren. Hier helfen auch keine Hack-Tools die irgendwie das Admin-PW zurücksetzen. Einige TPM-Implementationen überwachen übrigens auch die Hardware-Konfig und die BIOS-Setup-Einstellungen. Sobald dort dann etwas geändert wird, ohne den Bitlocker vorher anzuhalten, weigert sich der TPM den Schlüssel herauszugeben und Windows will den Recovery-Key wissen. Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 18. Juli 2019 Melden Teilen Geschrieben 18. Juli 2019 Sobald man gebootet hat und das System ist entschlüsselt (bzw. der Key im Ram) gibt es Möglichkeiten (wenn auch nicht ganz so einfache als komplett ohne Verschlüsselung) an die Daten heranzukommen. Es sollte reichen, wenn man den Server ans Netzwerk hängt und mittels Brute Force oder ausnutzen von Sicherheitslücken an die Daten oder an einen Zugang kommt. Wenn man ein Passwort braucht um zu booten für Bitlocker hat der Dieb keine Chance (es sei denn er klaut die USV gleich mit und hällt den Server am Leben). Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 18. Juli 2019 Melden Teilen Geschrieben 18. Juli 2019 vor einer Stunde schrieb Dukel: wenn man den Server ans Netzwerk hängt und mittels Brute Force oder ausnutzen von Sicherheitslücken an die Daten oder an einen Zugang kommt. Wie ich schrieb: Man muss sich authentifizieren. Zu einem Gesamtkonzept gehört natürlich auch, dass man Sicherheitsupdates installiert. Und so einfach kommt man dann doch nicht an der Schlüssel ran. Das erfordert tiefgreifende Kenntnisse, die mir beispielsweise spontan fehlen würden. Der Server wird sicher nicht von der NSA geklaut. Das Gleiche gilt auch, wenn man Bitlocker auf einem mobilen Gerät einsetzt. Und die findet man mitunter im Soft-Standby vor. Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 18. Juli 2019 Melden Teilen Geschrieben 18. Juli 2019 Klar die Hürde ist höher, aber ich behaupte, dass es nicht unmöglich ist. Alles nur eine Frage der Anforderungen und das sollte einem halt bewusst sein. Zitieren Link zu diesem Kommentar
dormi98 15 Geschrieben 18. Juli 2019 Autor Melden Teilen Geschrieben 18. Juli 2019 Die Höhe der Hürde wäre auf jeden Fall ausreichend. Aber auf jeden Fall besser als so wie jetzt (unverschlüsselt). Ich habe gerade gesehen, dass man TPM 2.0 Chips nachrüsten kann. Bei einigen Geräten geht das. Ich sehe mir den Server bei meinem nächsten Besuch nächster Woche genauer an und sehe mir an ob das bei diesem auch geht. Außer natürlich jemand kann mir bis dahin sagen was ich ändern müsste dass es mit der aktuellen Hardware auch funktioniert. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.