Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

Sicherheit BitLocker: Interne Laufwerke durch USB-Stick automatisch entsperren

L

Lichtograf

Herzlich willkommen
Hallo zusammen,

bei der Verschlüsselung meiner Systemfestplatte ("c") mit BitLocker habe ich die Einstellung so gewählt, dass der Schlüssel auf einem USB-Stick gespeichert ist und damit beim Starten automatisch (bei gestecktem USB) entsperrt wird. Funktioniert.

Nur kann ich bei zwei weiteren verschlüsselten Festplatten diese Methode nicht anwenden, der Punkt "mit USB entsperren" taucht dort nicht auf. Nur "Kennwort" oder "Smartcard" werden angeboten.

Auch mit gpedit.msc konnte ich bei den Betriebssystemlaufwerken nichts dahingehend finden.
Habt ihr irgendwelche Ideen, wie ich BitLocker bei den zusätzlichen Festplatten mittels USB-Stick entsperren kann?

Und noch eine weitere Frage dazu: Ich habe 3 HDDs im Rechner, alle per BitLocker verschlüsselt. Laufwerk "c" wird ja beim Systemstart über den USB-Stick automatisch entsperrt. Wenn ich jetzt auf den zwei anderen Platten bei den BitLocker-Optionen angeben würde "auf diesem Rechner automatisch entsperren" und jemand tauscht das Bootlaufwerk "c" aus - bleiben dann die zwei anderen Platten verschlüsselt oder werden sie automatisch beim Rechnerstart entsperrt, da sie sich ja am gleichen PC befinden?

Ich würde halt gerne den Worstcase verhindern, dass bei einem Diebstahl des Rechners meine Daten "einfach" zu lesen sind.


Gruß Markus
 
Anzeige
mit BitLocker habe ich die Einstellung so gewählt, dass der Schlüssel auf einem USB-Stick gespeichert ist und damit beim Starten automatisch (bei gestecktem USB) entsperrt wird. Funktioniert.
Zum Vergrößern anklicken....
Ja, aber nur solange der USB-Stick nicht kaputt geht. Deswegen solltest Du das Wiederherstellungskennwort an einem sicheren Ort deponiert haben.

Nur kann ich bei zwei weiteren verschlüsselten Festplatten diese Methode nicht anwenden, der Punkt "mit USB entsperren" taucht dort nicht auf. Nur "Kennwort" oder "Smartcard" werden angeboten.
Zum Vergrößern anklicken....
Interne oder externe Festplatten? Bei externen Festplatten gibt es meines Wissens nur die Optionen Kennwort oder Smartcard.

Wenn ich jetzt auf den zwei anderen Platten bei den BitLocker-Optionen angeben würde "auf diesem Rechner automatisch entsperren" und jemand tauscht das Bootlaufwerk "c" aus - bleiben dann die zwei anderen Platten verschlüsselt oder werden sie automatisch beim Rechnerstart entsperrt, da sie sich ja am gleichen PC befinden?
Zum Vergrößern anklicken....
Die Informationen zur Entschlüsselung sind dann auf dem Laufwerk C: im installierten Windows gespeichert. Wenn auf das nicht mehr zugegriffen werden kann, d.h. schon wenn dieses Windows nicht mehr startet, lassen sich die betreffenden Laufwerke nur noch mit dem Wiederherstellungskennwort entschlüsseln.

Ganz allgemein sind die Wiederherstellungskennworte aller verschlüsselten Laufwerke wichtig. Denn es gibt weit mehr Szenarien als vergessenes Kennwort oder beschädigter USB-Stick, bei denen ein Bitlocker-Laufwerk in den Wiederherstellungsmodus geht. Schon ein BIOS-Update oder der Tausch von Hardware im PC kann dazu führen, daß sich ein Laufwerk unumkehrbar in den Wiederherstellungsmodus begibt. In dem Fall reicht auch ein bekanntes Kennwort oder ein vorhandener USB-Stick mit den Entsperrdaten nicht mehr.
 
Hallo build und vielen Dank für deine ausführliche Antwort, auch für die Sicherheitshinweise. Ich habe die einzelnen BitLocker-Wiederherstellungsschlüssel auf einer verschlüsselten NAS und auf verschlüsselten und räumlich verteilten Backup-Systemen, da sollte also nichts in Vergessenheit geraten. Ich bin da etwas paranoid :)

Aber ja, man kann vermutlich nicht oft genug auf sowas hinweisen. Und der Hinweis mit dem BIOS-Update oder Hardwareaustausch war auch neu für mich.

Die zwei "nichtsystem"-Platten laufen als interne (SATA) Platten. Wenn aber deren Schlüssel auf der verschlüsselten Windows-Systemplatte abgelegt werden dann kann ich guten Gewissens die automatischen Entschlüsselung aktivieren. Klar, ein Restrisiko bei Daten- oder Hardwarediebstahl bleib, aber ich denke dass der Aufwand einer Entschlüsselung für ein Privat-PC sicherlich zu groß ist.


Gruß Markus
 
aber ich denke dass der Aufwand einer Entschlüsselung für ein Privat-PC sicherlich zu groß ist.
Zum Vergrößern anklicken....
Gelangt jemand in den Besitz eines abgeschalteten Systems mit Bitlocker-Verschlüsselung mit einem Kennwort und ohne TPM, dann ist die Verschlüsselung quasi unknackbar. Die bekannten Lücken in Bitlocker beziehen sich immer auf ein laufendes oder im Standby befindliches System. Bitlocker nutzt AES mit 128 Bit oder wahlweise 256 Bit Schlüssellänge, das ist derzeit außerhalb von NSA und Co. nicht knackbar. Wenn also das Kennwort nicht gerade einfach oder zu kurz ist oder am PC klebt, hat ein Dieb keine Chance an die Daten zu gelangen.

Wie schon beschrieben, ist es sehr viel wahrscheinlicher, daß man sich selbst aussperrt als daß jemand unberechtigt Zugang erlangt.
 
Zuletzt bearbeitet:
" Wenn also das Kennwort nicht gerade einfach oder zu kurzt ist oder am PC klebt,"
Zum Vergrößern anklicken....

Neeein - sowas würde ich ja nie machen ....

[fummelt gerade hektisch seinen mit der Aufschrift "BitLocker-Wiederherstellungsschlüssel" versehenen und mittels Faden festgemachten USB-Stick vom PC ab]

Ok - etwas zu früh gefreut - die "auf diesem PC automatisch entsperren" Methode funzt nicht.

Ich habe die Option erstmal über die Bitlocker Einstellungen gesetzt (BitLocker verwalten...) - hat nach Neustart nicht funktioniert.
Dann im BitLocker-Fenster beim manuellen Entsperren die Option angeklickt - half auch nicht bei Neustart.

Jetzt bin ich wieder am Anfang und etwas ratlos :rolleyes:
 
Zuletzt bearbeitet von einem Moderator:
@John22,
wenn Du "powercfg -H off" als Admin ausgeführt hast, dann gibt es auf Deinem Rechner keinen Ruhezustand mehr.
 
Der Ruhezustand ist in Verbindung mit Bitlocker sicher! Der PC geht nach Aktivierung des Ruhezustands komplett aus, die Hardware wird stromlos gemacht und der RAM geleert. Die Bitlocker-Partitionen sind somit wieder vollständig gesperrt, genauso als ob der PC normal heruntergefahren wurde.

Darum ist die Empfehlung für sicherheitskritische PCs mit Bitlocker ja gerade auch, den Standby-Modus zu deaktivieren und dafür den Ruhezustand zu aktivieren, bzw. letzteren als Standby-Ersatz zu benutzen. Das ergibt sich daraus, dass die Datei, in die beim Ruhezustand der Speicherinhalt geschrieben wird, immer auf der verschlüsselten OS-Partition abgelegt wird und somit ebenfalls verschlüsselt ist.
 
Also ich komme nicht wirklich weiter.

Habe mittlerweile die zwei internen Platten entschlüsselt, BitLocker deaktiviert, den Virenscanner komplett gelöscht (da war mal ein Hinweis dazu zu lesen), Bitlocker wieder aktiviert und a) mit Hilfe der Konsole (manage-bde –autounlock -enable <LF>) und b) mit der BitLocker-Systemsteuerung wieder probiert, die Platten nach dem hochfahren automatisch entsperren zu lassen.

Alles ohne Erfolg :mad:

Was habe ich übersehen? Was könnte ich noch ausprobieren?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben