Seite 1 von 3 123 LetzteLetzte
Ergebnis 1 bis 15 von 38

Thema: Datenträger mit BitLocker verschlüsseln - Passworteingabe nötig?

  1. #1
    AntonB
    kennt sich schon aus

    Frage Datenträger mit BitLocker verschlüsseln - Passworteingabe nötig?

    Hallo liebes Forum!

    Ich habe 2 Festplatten in meinem System.

    Eine fürs Betriebssystem (SSD) und eine für die Daten (HDD). Ich dachte mir es wäre nicht schlecht, wenn die Datenfestplatte im Falle eines Diebstahls besser geschützt ist.

    Ich habe jetzt probiert die Datenfestplatte mit BitLocker von Windows 10 zu verschlüsseln mittels Passwort. Mein Mainboard unterstützt TPM, hat aber keinen Chip eingebaut. Den müsste ich nachkaufen, nur müsste ich viel Glück haben damit ich diesen überhaupt noch bekomme.

    Nun habe ich folgendes Problem:

    Ich habe sinnvollerweise nämlich mein Profil auf die Datenfestplatte ausgelagert, weil diese wöchentlich gesichert wird, aber durch die Verschlüsselung und der nicht vorhandenen Datenfestplatte beim Start kann er mein Windows-Profil klarerweise nicht laden.

    Würde das mit einem TPM Chip anders sein oder kann ich Windows so einstellen kann, das die Festplatte ganz normal beim Start von Windows entschlüsselt wird, sodass ich gleich bei der Anmeldung darauf zugreifen kann?

    Habe ich dann überhaupt noch eine Sicherheit, da das Passwort quasi in Windows gespeichert wird?

    Danke und lg

    Anton

  2.   Anzeige

     
  3. #2
    build10240
    gehört zum Inventar

    AW: Datenträger mit BitLocker verschlüsseln - Passworteingabe nötig?

    Warum verschlüsselst Du nicht einfach beide Datenträger? Dann kannst Du auch für alle anderen integrierten Datenträger das Passwort im System hinterlegen lassen, so daß der Datenträger gleich beim Systemstart entschlüsselt wird. Diese Möglichkeit bietet Windows nämlich nur an, wenn der Datenträger mit dem System auch verschlüsselt ist.

    Die Nutzung eines TPMs ist nur sinnvoll, wenn der Zugang zum TPM dann auch per Passwort o.ä. geschützt wird. Natürlich kann man auch nur das TPM nutzen, dann schützt die Bitlocker-Verschlüsselung jedoch nur vor der Verwendung der Datenträger in einem anderen Rechner. Außerdem gibt's bei TPMs gerne mal Sicherheitslücken, so daß ein TPM-Passwort umgangen werden kann.

    Wichtig ist bei Bitlocker, daß man sich den Wiederherstellungsschlüssel gut aufbewahrt. Es reicht hier explizit nicht, daß man glaubt das Passwort nicht zu vergessen. Es gibt diverse Situationen, bei denen man nur noch in den Wiederherstellungsmodus gelangt und dann nützt nur noch der Wiederherstellungsschlüssel, aber nicht das Passwort.

  4. #3
    AntonB
    kennt sich schon aus

    AW: Datenträger mit BitLocker verschlüsseln - Passworteingabe nötig?

    Okay, danke für den Hinweis.

    Dann werde ich wohl auch die Systemfestplatte verschlüsseln müssen oder gibt es eine andere Möglichkeit?

    Wie du schreibst wollte ich die Systemfestplatte nicht unbedingt verschlüsseln, weil sich dort keine sensiblen Daten befinden und ich eben die Situationen mit Problemen, wo ich von außen auf die Systemfestplatte zugreifen muss, um etwas zu reparieren oder eben nur mehr der Wiedeherstellungsschlüssel funktioniert, vermeiden wollte.

  5. #4
    build10240
    gehört zum Inventar

    AW: Datenträger mit BitLocker verschlüsseln - Passworteingabe nötig?

    Dann werde ich wohl auch die Systemfestplatte verschlüsseln müssen oder gibt es eine andere Möglichkeit?
    Sicherheit und Bequemlichkeit lassen sich nicht beliebig vereinbaren. Entweder nutzt Du ein Passwort oder verzichtest gleich ganz auf die Verschlüsselung. TPM ohne Passwort ist keine Lösung, weil das die Daten bei Diebstahl des gesamten PCs nicht schützt. Wie soll denn eine andere Methode aussehen, die sicher ist, aber keine Mühe macht?

    weil sich dort keine sensiblen Daten befinden
    Da Windows auf C: diverse Dinge loggt, die Auslagerungsdatei und diverse temporäre Dateien, Caches usw. auch von Anwendungsprogrammen auf C: befinden, finden sich auch dort genug sensible Daten.

    ich eben die Situationen mit Problemen, wo ich von außen auf die Systemfestplatte zugreifen muss, um etwas zu reparieren oder eben nur mehr der Wiedeherstellungsschlüssel funktioniert, vermeiden wollte.
    Im Zweifel kommt man mit dem Wiederherstellungsmodus von Bitlocker viel schneller in Kontakt als einem lieb ist. Das gilt unabhängig davon, ob zur Entschlüsselung das TPM (mit oder ohne Passwort), ein USB-Stick als Token oder ein in Windows hinterlegtes Passwort verwendet wird. Schon ein BIOS-Update oder auch nur ein Schluckauf von Bitlocker kann dazu führen, daß nur mehr der Wiederherstellungsschlüssel hilft. Deswegen weist Microsoft ja bei der Erstellung darauf hin, daß in jedem Fall dieser Schlüssel sehr gut aufbewahrt werden sollte.

  6. #5
    AntonB
    kennt sich schon aus

    AW: Datenträger mit BitLocker verschlüsseln - Passworteingabe nötig?

    So, nun habe ich mit dem Gruppenrichtlinieneditor die BitLocker Funktionen geändert, sodass ich es auch ohne TPM nur mit Passwort einrichten kann.

    Die Einrichtung funktionierte auch, nur nach dem Neustart bekam ich jetzt folgende Meldung:

    "Bitlocker konnte nicht aktiviert werden.

    Das angegebene Datenlaufwerk ist nicht für die automatische Entsperrung auf dem aktuellen Computer konfiguriert und kann nicht automatisch entsperrt werden.

    C: wurde nicht verschlüsselt."

    -fehler.gif

    Muss ich noch was einstellen, damit es für den Start des Betriebssystems gespeichert wird?

    Danke und lg

  7. #6
    build10240
    gehört zum Inventar

    AW: Datenträger mit BitLocker verschlüsseln - Passworteingabe nötig?

    Was hast Du denn verschlüsselt, nur das Datenlaufwerk oder auch C:?

  8. #7
    AntonB
    kennt sich schon aus

    AW: Datenträger mit BitLocker verschlüsseln - Passworteingabe nötig?

    Nur das Systemlaufwerk C: habe ich verschlüsselt.

    Folgende Einstellungen habe ich im Gruppenrichtlinien-Editor gemacht:

    -gruppenrichtlinien-editor.gif

    Sind diese richtig?
    Geändert von AntonB (21.04.2020 um 21:20 Uhr)

  9. #8
    John22
    gehört zum Inventar

    AW: Datenträger mit BitLocker verschlüsseln - Passworteingabe nötig?

    Ich habe auf meiner SSD auch nur das Systemlaufwerk C: mit Bitlocker verschlüsselt und D: offen gelassen. Man muss dann aber beim Zurückspielen eines Backups vorher in den Bitlocker-Eigenschaften für C: den Schutz anhalten, wenn das über das BIOS-Bootmenü erfolgt.
    Miniaturansichten angehängter Grafiken Miniaturansichten angehängter Grafiken -bitlocker-gruppenrichtlinien.jpg  

  10. #9
    AntonB
    kennt sich schon aus

    AW: Datenträger mit BitLocker verschlüsseln - Passworteingabe nötig?

    1. Kennwort

      So, ich habe jetzt mein Systemlaufwerk C: verschlüsselt, wenn auch nur derzeit mit dem Kennwort 123456789, da mein Kennwort mit Großbuchstaben, Zahlen und Underscore (_) beim Start einfach nicht angenommen wird.

      Die Kennwortaufforderung von BitLocker beim Start sagt mir immer falsches Kennwort. Festlegen beim Einrichten von BitLocker kann ich es aber. Was stimmt da nicht?
      Nach dem Einrichten mit meinem Benutzerkennwort erhalte ich die folgende Meldung: -fehler-komplexen-benutzerpasswort.gif


    2. Start ohne Passwort

    Wenn das mit dem Kennwort dann klappt, wie kann ich Windows dazu bringen, dass ich beim Start kein Kennwort eingeben muss?

    Danke

  11. #10
    IngoBingo
    gehört zum Inventar

    AW: Datenträger mit BitLocker verschlüsseln - Passworteingabe nötig?

    Ich würde einfach die Variante mit dem TPM wählen. Dass man aus einem TPM Passwörter extrahieren kann, mag nicht völlig unmöglich sein. Aber die Wahrscheinlichkeit ist gering. Bisher gab es m.W. einmal ein Firmwareproblem bei Infineon, durch das möglicherweise schwache Schlüssel verwendet wurden. Auch da kam man noch nicht einfach so an irgendwelche Passwörter. Ein TPM zu umgehen ist schon ziemlich aufwändig.

    Deine Sicherheit hängt bei der Variante ohne TPM nur am Pre-Boot-Passwort. Bei der Variante mit TPM ohne Pre-Boot-Passwort hängt sie am Windows Passwort. Letzteres kann man ausreichend lang wählen und verwendet dann stattdessen fürs tägliche Anmelden PIN oder Fingerprint, je nach verfügbarer Hardware. Damit erreicht man am Ende mehr.

  12. #11
    AntonB
    kennt sich schon aus

    AW: Datenträger mit BitLocker verschlüsseln - Passworteingabe nötig?

    Da ich kein TPM habe, muss ich leider die Variante ohne TPM machen.

    Genau, mein Windows Kennwort ist lange und sicher, da ich einen Fingerprint verwende fürs tägliche Anmelden.
    Deshalb bitte die Info, wie ich Windows konfigurieren kann, das ich nicht bei jedem Start das BitLocker Kennwort eingeben muss?

    Die zweite Frage wäre, wieso das Passwort (siehe Beitrag #9 Datenträger mit BitLocker verschlüsseln - Passworteingabe nötig?) nicht angenommen wird?

  13. #12
    PeteM92
    gehört zum Inventar

    AW: Datenträger mit BitLocker verschlüsseln - Passworteingabe nötig?

    Deshalb bitte die Info, wie ich Windows konfigurieren kann, das ich nicht bei jedem Start das BitLocker Kennwort eingeben muss?
    Ich denke, der Fingerprint-Leser wird über einen Windows-Treiber angesprochen. Dazu muß aber Windows gestartet werden. Windows wird aber erst gestartet, nachdem Du Dein Bitlocker Kennwort eingegeben hast.

  14. #13
    build10240
    gehört zum Inventar

    AW: Datenträger mit BitLocker verschlüsseln - Passworteingabe nötig?

    Zitat Zitat von AntonB Beitrag anzeigen
    So, ich habe jetzt mein Systemlaufwerk C: verschlüsselt, wenn auch nur derzeit mit dem Kennwort 123456789, da mein Kennwort mit Großbuchstaben, Zahlen und Underscore (_) beim Start einfach nicht angenommen wird.

    Die Kennwortaufforderung von BitLocker beim Start sagt mir immer falsches Kennwort. Festlegen beim Einrichten von BitLocker kann ich es aber. Was stimmt da nicht?
    Die Umgebung, in der beim Start das Bitlocker-Kennwort eingegeben werden muß, kann nur das US-amerikanische Tastaturlayout. Also entweder verwendest Du nur Zeichen, die dort auf derselben Taste wie im deutschen Tastaturlayout liegen, oder Du merkst Dir die zu drückenden "falschen" Tasten auf der deutschen Tastatur. Mit der Einfg-Taste kann man sich übrigens das Passwort statt der Punkte anzeigen lassen.

    Zitat Zitat von AntonB Beitrag anzeigen
    Genau, mein Windows Kennwort ist lange und sicher, da ich einen Fingerprint verwende fürs tägliche Anmelden.
    Deshalb bitte die Info, wie ich Windows konfigurieren kann, das ich nicht bei jedem Start das BitLocker Kennwort eingeben muss?
    Ohne TPM gar nicht, denn dann startet vor der Entschlüsselung eben nur diese einfache Umgebung von der EFI-Systempartition bzw. System-reserviert, die nur in der Lage ist das Bitlocker-Passwort entgegen zunehmen und damit die Partition C: zu entschlüsseln, damit dann letztendlich von dort winload.efi bzw. winload.exe gestartet werden kann.

    Mit TPM würdest Du dagegen darauf vertrauen, daß nach der Entschlüsselung durch das TPM und vor der Eingabe des Windows-Passworts kein Angriff auf das System möglich ist.
    Geändert von build10240 (28.04.2020 um 08:39 Uhr)

  15. #14
    IngoBingo
    gehört zum Inventar

    AW: Datenträger mit BitLocker verschlüsseln - Passworteingabe nötig?

    Zitat Zitat von AntonB Beitrag anzeigen
    Da ich kein TPM habe, muss ich leider die Variante ohne TPM machen.
    Oben hattest du noch die Überlegung, den TPM Chip einfach nachzukaufen.

    Ohne TPM musst du zwangsläufig das Pre-Boot-Passwort nutzen, wenn du verschlüsseln willst.

  16. #15
    AntonB
    kennt sich schon aus

    AW: Datenträger mit BitLocker verschlüsseln - Passworteingabe nötig?

    Ok, schade das ich ohne Passwort und ohne TPM Windows nicht starten kann.

    Ja es war meine Überlegung das TPM-Modul nachzukaufen, aber laut Hersteller gibt es das kaum noch.

    Wenn ich das TPM-Modul nachkaufe, sind dann meine Daten nicht nur für Diebstahl geschützt, sondern auch davor geschützt, dass jemand mit meiner Hardware (indem er den ganzen Rechner stiehlt) und einem bootfähigen Medium auf meine Datenfestplatte zugreifen kann?

    Oder muss er dazu noch immer zumindest das Windows-Kennwort hacken, um überhaupt ranzukommen?
    Geändert von AntonB (29.04.2020 um 15:58 Uhr)

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •