Anzeige

Am Puls von Microsoft

Anzeige

Datenträger mit BitLocker verschlüsseln - Passworteingabe nötig?

AntonB

kennt sich schon aus
Hallo liebes Forum!

Ich habe 2 Festplatten in meinem System.

Eine fürs Betriebssystem (SSD) und eine für die Daten (HDD). Ich dachte mir es wäre nicht schlecht, wenn die Datenfestplatte im Falle eines Diebstahls besser geschützt ist.

Ich habe jetzt probiert die Datenfestplatte mit BitLocker von Windows 10 zu verschlüsseln mittels Passwort. Mein Mainboard unterstützt TPM, hat aber keinen Chip eingebaut. Den müsste ich nachkaufen, nur müsste ich viel Glück haben damit ich diesen überhaupt noch bekomme.

Nun habe ich folgendes Problem:

Ich habe sinnvollerweise nämlich mein Profil auf die Datenfestplatte ausgelagert, weil diese wöchentlich gesichert wird, aber durch die Verschlüsselung und der nicht vorhandenen Datenfestplatte beim Start kann er mein Windows-Profil klarerweise nicht laden.

Würde das mit einem TPM Chip anders sein oder kann ich Windows so einstellen kann, das die Festplatte ganz normal beim Start von Windows entschlüsselt wird, sodass ich gleich bei der Anmeldung darauf zugreifen kann?

Habe ich dann überhaupt noch eine Sicherheit, da das Passwort quasi in Windows gespeichert wird?

Danke und lg

Anton
 
Anzeige
Warum verschlüsselst Du nicht einfach beide Datenträger? Dann kannst Du auch für alle anderen integrierten Datenträger das Passwort im System hinterlegen lassen, so daß der Datenträger gleich beim Systemstart entschlüsselt wird. Diese Möglichkeit bietet Windows nämlich nur an, wenn der Datenträger mit dem System auch verschlüsselt ist.

Die Nutzung eines TPMs ist nur sinnvoll, wenn der Zugang zum TPM dann auch per Passwort o.ä. geschützt wird. Natürlich kann man auch nur das TPM nutzen, dann schützt die Bitlocker-Verschlüsselung jedoch nur vor der Verwendung der Datenträger in einem anderen Rechner. Außerdem gibt's bei TPMs gerne mal Sicherheitslücken, so daß ein TPM-Passwort umgangen werden kann.

Wichtig ist bei Bitlocker, daß man sich den Wiederherstellungsschlüssel gut aufbewahrt. Es reicht hier explizit nicht, daß man glaubt das Passwort nicht zu vergessen. Es gibt diverse Situationen, bei denen man nur noch in den Wiederherstellungsmodus gelangt und dann nützt nur noch der Wiederherstellungsschlüssel, aber nicht das Passwort.
 
Okay, danke für den Hinweis.

Dann werde ich wohl auch die Systemfestplatte verschlüsseln müssen oder gibt es eine andere Möglichkeit?

Wie du schreibst wollte ich die Systemfestplatte nicht unbedingt verschlüsseln, weil sich dort keine sensiblen Daten befinden und ich eben die Situationen mit Problemen, wo ich von außen auf die Systemfestplatte zugreifen muss, um etwas zu reparieren oder eben nur mehr der Wiedeherstellungsschlüssel funktioniert, vermeiden wollte.
 
Dann werde ich wohl auch die Systemfestplatte verschlüsseln müssen oder gibt es eine andere Möglichkeit?
Sicherheit und Bequemlichkeit lassen sich nicht beliebig vereinbaren. Entweder nutzt Du ein Passwort oder verzichtest gleich ganz auf die Verschlüsselung. TPM ohne Passwort ist keine Lösung, weil das die Daten bei Diebstahl des gesamten PCs nicht schützt. Wie soll denn eine andere Methode aussehen, die sicher ist, aber keine Mühe macht?

weil sich dort keine sensiblen Daten befinden
Da Windows auf C: diverse Dinge loggt, die Auslagerungsdatei und diverse temporäre Dateien, Caches usw. auch von Anwendungsprogrammen auf C: befinden, finden sich auch dort genug sensible Daten.

ich eben die Situationen mit Problemen, wo ich von außen auf die Systemfestplatte zugreifen muss, um etwas zu reparieren oder eben nur mehr der Wiedeherstellungsschlüssel funktioniert, vermeiden wollte.
Im Zweifel kommt man mit dem Wiederherstellungsmodus von Bitlocker viel schneller in Kontakt als einem lieb ist. Das gilt unabhängig davon, ob zur Entschlüsselung das TPM (mit oder ohne Passwort), ein USB-Stick als Token oder ein in Windows hinterlegtes Passwort verwendet wird. Schon ein BIOS-Update oder auch nur ein Schluckauf von Bitlocker kann dazu führen, daß nur mehr der Wiederherstellungsschlüssel hilft. Deswegen weist Microsoft ja bei der Erstellung darauf hin, daß in jedem Fall dieser Schlüssel sehr gut aufbewahrt werden sollte.
 
So, nun habe ich mit dem Gruppenrichtlinieneditor die BitLocker Funktionen geändert, sodass ich es auch ohne TPM nur mit Passwort einrichten kann.

Die Einrichtung funktionierte auch, nur nach dem Neustart bekam ich jetzt folgende Meldung:

"Bitlocker konnte nicht aktiviert werden.

Das angegebene Datenlaufwerk ist nicht für die automatische Entsperrung auf dem aktuellen Computer konfiguriert und kann nicht automatisch entsperrt werden.

C: wurde nicht verschlüsselt."

fehler.gif

Muss ich noch was einstellen, damit es für den Start des Betriebssystems gespeichert wird?

Danke und lg
 
Nur das Systemlaufwerk C: habe ich verschlüsselt.

Folgende Einstellungen habe ich im Gruppenrichtlinien-Editor gemacht:

Gruppenrichtlinien-Editor.gif

Sind diese richtig?
 
Zuletzt bearbeitet:
Ich habe auf meiner SSD auch nur das Systemlaufwerk C: mit Bitlocker verschlüsselt und D: offen gelassen. Man muss dann aber beim Zurückspielen eines Backups vorher in den Bitlocker-Eigenschaften für C: den Schutz anhalten, wenn das über das BIOS-Bootmenü erfolgt.
 

Anhänge

  • Bitlocker-Gruppenrichtlinien.jpg
    Bitlocker-Gruppenrichtlinien.jpg
    196,2 KB · Aufrufe: 235
  1. Kennwort

    So, ich habe jetzt mein Systemlaufwerk C: verschlüsselt, wenn auch nur derzeit mit dem Kennwort 123456789, da mein Kennwort mit Großbuchstaben, Zahlen und Underscore (_) beim Start einfach nicht angenommen wird.

    Die Kennwortaufforderung von BitLocker beim Start sagt mir immer falsches Kennwort. Festlegen beim Einrichten von BitLocker kann ich es aber. Was stimmt da nicht?
    Nach dem Einrichten mit meinem Benutzerkennwort erhalte ich die folgende Meldung: Fehler mit komplexen Benutzerpasswort.gif


  2. Start ohne Passwort
Wenn das mit dem Kennwort dann klappt, wie kann ich Windows dazu bringen, dass ich beim Start kein Kennwort eingeben muss?

Danke
 
Ich würde einfach die Variante mit dem TPM wählen. Dass man aus einem TPM Passwörter extrahieren kann, mag nicht völlig unmöglich sein. Aber die Wahrscheinlichkeit ist gering. Bisher gab es m.W. einmal ein Firmwareproblem bei Infineon, durch das möglicherweise schwache Schlüssel verwendet wurden. Auch da kam man noch nicht einfach so an irgendwelche Passwörter. Ein TPM zu umgehen ist schon ziemlich aufwändig.

Deine Sicherheit hängt bei der Variante ohne TPM nur am Pre-Boot-Passwort. Bei der Variante mit TPM ohne Pre-Boot-Passwort hängt sie am Windows Passwort. Letzteres kann man ausreichend lang wählen und verwendet dann stattdessen fürs tägliche Anmelden PIN oder Fingerprint, je nach verfügbarer Hardware. Damit erreicht man am Ende mehr.
 
Da ich kein TPM habe, muss ich leider die Variante ohne TPM machen.

Genau, mein Windows Kennwort ist lange und sicher, da ich einen Fingerprint verwende fürs tägliche Anmelden.
Deshalb bitte die Info, wie ich Windows konfigurieren kann, das ich nicht bei jedem Start das BitLocker Kennwort eingeben muss?

Die zweite Frage wäre, wieso das Passwort (siehe Beitrag #9 Datenträger mit BitLocker verschlüsseln - Passworteingabe nötig?) nicht angenommen wird?
 
Deshalb bitte die Info, wie ich Windows konfigurieren kann, das ich nicht bei jedem Start das BitLocker Kennwort eingeben muss?
Ich denke, der Fingerprint-Leser wird über einen Windows-Treiber angesprochen. Dazu muß aber Windows gestartet werden. Windows wird aber erst gestartet, nachdem Du Dein Bitlocker Kennwort eingegeben hast.
 
So, ich habe jetzt mein Systemlaufwerk C: verschlüsselt, wenn auch nur derzeit mit dem Kennwort 123456789, da mein Kennwort mit Großbuchstaben, Zahlen und Underscore (_) beim Start einfach nicht angenommen wird.

Die Kennwortaufforderung von BitLocker beim Start sagt mir immer falsches Kennwort. Festlegen beim Einrichten von BitLocker kann ich es aber. Was stimmt da nicht?
Die Umgebung, in der beim Start das Bitlocker-Kennwort eingegeben werden muß, kann nur das US-amerikanische Tastaturlayout. Also entweder verwendest Du nur Zeichen, die dort auf derselben Taste wie im deutschen Tastaturlayout liegen, oder Du merkst Dir die zu drückenden "falschen" Tasten auf der deutschen Tastatur. Mit der Einfg-Taste kann man sich übrigens das Passwort statt der Punkte anzeigen lassen.

Genau, mein Windows Kennwort ist lange und sicher, da ich einen Fingerprint verwende fürs tägliche Anmelden.
Deshalb bitte die Info, wie ich Windows konfigurieren kann, das ich nicht bei jedem Start das BitLocker Kennwort eingeben muss?
Ohne TPM gar nicht, denn dann startet vor der Entschlüsselung eben nur diese einfache Umgebung von der EFI-Systempartition bzw. System-reserviert, die nur in der Lage ist das Bitlocker-Passwort entgegen zunehmen und damit die Partition C: zu entschlüsseln, damit dann letztendlich von dort winload.efi bzw. winload.exe gestartet werden kann.

Mit TPM würdest Du dagegen darauf vertrauen, daß nach der Entschlüsselung durch das TPM und vor der Eingabe des Windows-Passworts kein Angriff auf das System möglich ist.
 
Zuletzt bearbeitet:
Ok, schade das ich ohne Passwort und ohne TPM Windows nicht starten kann.

Ja es war meine Überlegung das TPM-Modul nachzukaufen, aber laut Hersteller gibt es das kaum noch.

Wenn ich das TPM-Modul nachkaufe, sind dann meine Daten nicht nur für Diebstahl geschützt, sondern auch davor geschützt, dass jemand mit meiner Hardware (indem er den ganzen Rechner stiehlt) und einem bootfähigen Medium auf meine Datenfestplatte zugreifen kann?

Oder muss er dazu noch immer zumindest das Windows-Kennwort hacken, um überhaupt ranzukommen?
 
Zuletzt bearbeitet:
Aber mit einem USB-Stick: "Bitlocker kann aber auch das Systemlaufwerk TPM-loser PCs verschlüsseln. Um Windows zu starten, müssen Sie dann ein Passwort eingeben oder einen USB-Stick mit einer Schlüsseldatei anstecken – den können Sie nach dem Startvorgang wieder abziehen." Aber wohl nicht so empfehlenswert wenn man ein Notebook hat und dieses auch an anderen Orten nutzt und den USB-Stick vergisst oder verliert.
 
Auch eher nicht empfehlenswert, weil USB-Sticks gerne mal kaputt gehen oder der geklaut werden könnte und man den Stick für echte Sicherheit immer mitführen müsste.
 
Oder gibt es andere sinnvolle Alternativen (ohne TPM), wo ich nicht ständig beim Systemstart ein Passwort eingeben muss?

Wenn ich den TPM-Chip nachkaufe, die Festplatten damit verschlüssle ohne Pre-Boot-Passwort, kann dann jeder, indem er den ganzen PC stiehlt, die Daten entschlüsseln oder müsste er dazu noch das Windows-Passwort oder den TPM-Chip hacken?
 
Oder gibt es andere sinnvolle Alternativen (ohne TPM), wo ich nicht ständig beim Systemstart ein Passwort eingeben muss?
Welchen Sinn macht es, die Festplatte zu verschlüsseln, wenn dann das System ohne Passworteingabe starten soll?
 
Welchen Sinn macht es, die Festplatte zu verschlüsseln,
Genau. Kann man also 1) Bitlocker direkt weglassen. Oder 2) Gleich den passenden Schlüssel dazu notieren.
 
Anzeige
Oben