Bitlocker ausreichend?

[FragenderFrager 0]

Ich versuche meine Büro IT so sicher wie möglich zu gestalten.

Der Schutz von Internetzugriff von außen ist das eine Physikalischer Einbruch das andere.

Was ist wenn jemand einbricht und sämtliche Hardware mitnimmt. Das wäre dann ja auch ein DSGVO Desaster.

Reicht hier Bitlocker Verschlüsselung für alle Laufwerke aus? Kann man dann wenn man die Festplatten ausbaut und an ein Linux System hängt nicht darauf zugreifen?

Ist die Verschlüsselung ausreichend?

[zahni 554]

Bei der Verwendung eines TPM-Chips als Schlüsselspeicher ist Bitlocker ausreichend.

Auch ein externes "offline"-Hacken der SAM-Datenbank ist so ohne Kenntnis des Schlüssels nicht möglich.

 

bearbeitet 28. November 2019 von zahni

[FragenderFrager 0]

Wenn das Mainboard einen TPM Steckplatz hat aber noch kein Modul verbaut hat, woher bekommt man ein kompatibles? Ist Asus mit MSI Kompatibel etc? Habe ein MSI Mainboard und lieferbar sind eher Asus, Gigabyte und Asrock Module. Sollten die auch funktionieren?

[DocData 85]

TPM ist seit JAHREN Standard.

[Dukel 454]

Hier muss man trotzdem bedenken, dass auch mit einem TPM der komplette Server geklaut werden kann. Hier sollte der Zugang zum Server beschränkt werden!

Man kann zwar TPM und PIN / Passwort nutzen (dann müsste jemand den Server mit USV klauen und schnell an den Strom hängen!), braucht dann aber nach jedem Start / Reboot jemand, der das Passwort eingibt.

[daabm 1.354]

Wenn Du soviele Sorgen hast: Hol Dir jemand, der sich damit auskennt.

[karl65 1]

Ist Bitlocker in dem Fall wirklich ausreichend? Oder gibt es dort Hintertüren?

bearbeitet 28. November 2019 von karl65

[mwiederkehr 373]

Es gab mal Angriffe, bei denen der Schlüssel durch Mitlesen der Kommunikation auf dem LPC-Bus ausgelesen werden konnte. Trivial ist das aber nicht.

 

Wer ganz auf Nummer sicher gehen will, verwendet zusätzlich zum TPM eine PIN.

[FragenderFrager 0]

vor einer Stunde schrieb Dukel:

Hier muss man trotzdem bedenken, dass auch mit einem TPM der komplette Server geklaut werden kann. Hier sollte der Zugang zum Server beschränkt werden!

Man kann zwar TPM und PIN / Passwort nutzen (dann müsste jemand den Server mit USV klauen und schnell an den Strom hängen!), braucht dann aber nach jedem Start / Reboot jemand, der das Passwort eingibt.

Selbst wenn er in einem Safe steht, kann man ja alles aufbrechen mit genug Zeit und Geduld. Das sollte aber ja nicht passieren wenn jemand Anwesen ist. Außer man wird bei einem Überfall gefesselt oder schlimmeres, dann könnte man aber durch Folter auch gleich zur Rausgabe der Passwörter gezwungen werden.

 

Bei nicht Anwesenheit soll der Server aus sein. Wie macht man das mit einem Server der im Serverschrankrack steht? Man muss ihn dann ja hoch und runterfahren und Passwort eingeben. Koppelt man das an Clients die ihn per Wake on Lan starten? Wer gibt dann aber wo das Passwort ein?

vor einer Stunde schrieb daabm:

Wenn Du soviele Sorgen hast: Hol Dir jemand, der sich damit auskennt.

wenn ich es nicht selber gemacht hab, weiß ich ja nicht ob es vernünftig ist. außerdem ist das ja wie mit Geheimraum und Handwerkern die ihn gebaut haben. Die müssten danach eigentlich verschwinden sonst ist es nichtmehr geheim.

 

vor 2 Stunden schrieb DocData:

TPM ist seit JAHREN Standard.

dh? in vielen Mainboards ist der Steckplatz vorgesehen aber kein Modul drauf, das muss nachgekauft werden.

[daabm 1.354]

Dann bau Dir deinen Geheimraum. Viel Vergnügen Ich bin raus.