Ergebnis 1 bis 14 von 14

Thema: Korrekte Einrichtung der Laufwerksverschlüsselung mit Bit Locker

  1. #1
    ibu
    treuer Stammgast

    Korrekte Einrichtung der Laufwerksverschlüsselung mit Bit Locker

    Moin.

    Ich habe bisher keine Erfahrung mit der Laufwerksverschlüsselung BitLocker.

    Es geht um einen neuen Rechner Lenovo X390 mit Win 10 Pro, alle aktuellen Updates sind eingespielt.

    Der Nutzer ist mit einem Microsoftkonto angemeldet.

    Im Dialog "BitLocker verwalten" habe ich Bitlocker aktiviert, die Option "Ganzes Laufwerk" gewählt, den Wiederherstellungsschlüssel ausgedruckt und zusätzlich gespeichert und dann entsprechend der Aufforderung des Dialoges einen Neustart durchgeführt.

    Nach dem Neustart erscheint zu meinem Erstaunen keinerlei Fortschrittsdialog oder sonst eine Meldung zu BitLocker und dessen Status. Es war auch nur die normale Anmeldung des Nutzers nötig.

    In "Bitlocker verwalten" wird nur lapidar angezeigt "Windows (C) BitLocker verschlüsselt

    Ist all das ein Zeichen, dass alles geklappt hat? Muss ich noch etwas kontrollieren, beachten?

    Danke.


    P.S.: Fragen zu MS Office sind hier im Forum offtopic, richtig? Es geht nur um Windows, oder?
    Falls ja: Könnt ihr ein deutschsprachiges Forum zu MS Office empfehlen?
    Ich möchte etwas zu Volumenlizenzen fragen.
    Geändert von ibu (20.02.2020 um 11:27 Uhr)

  2.   Anzeige

     
  3. #2
    hansjorg71
    gehört zum Inventar Avatar von hansjorg71

    AW: Korrekte Einrichtung der Laufwerksverschlüsselung mit Bit Locker

    Hallo,
    Im Dialog "BitLocker verwalten" habe ich Bitlocker aktiviert, die Option "Ganzes Laufwerk" gewählt, den Wiederherstellungsschlüssel ausgedruckt und zusätzlich gespeichert und dann entsprechend der Aufforderung des Dialoges einen Neustart durchgeführt.
    wenn du den Schlüssel auf einem USB-Stick gespeichert hast und dieser beim Booten angeschlossen ist , bekommst du auch keinerlei Meldungen !

    1. Computer ohne TPM-Chip - Wenn im Computer kein TPM-Chip integriert ist, speichert BitLocker Daten auf einem USB-Stick. Dieser muss mit dem Computer verbunden sein, damit BitLocker booten kann.

    2. Computer mit TPM-Chip - Hier entschlüsselt BitLocker die Daten mit der im TPM gespeicherten Prüfsumme.

    3. TPM und PIN - Zusätzlich müssen Anwender bei jedem Neustart des Computers eine PIN eingeben.

    4. TPM und Startschlüssel - Statt der PIN verwendet der Computer einen Startschlüssel, der von einem USB-Stick bezogen wird.

    5. Recovery-Schlüssel - Diese Funktion benötigen Sie, wenn sich die Hardware des Computers ändert oder Anwender ihre PIN nicht mehr kennen.

    Gruß

    Ps. Fragen zu Office kein Problem !

  4. #3
    ibu
    treuer Stammgast

    AW: Korrekte Einrichtung der Laufwerksverschlüsselung mit Bit Locker

    Der USB-Stick steckt nicht.

    Es erscheint dennoch keine Meldung beim Anmelden/Neustart.

    Dann kann ich also davon ausgehen, dass die von Dir erwähnte Variante 3 automatisch verwendet wird?

    Mit PIN ist also extra PIN für BitLocker gemeint, sondern die normale PIN, die Anwender verwenden, wenn sie für das Anmelden ein MS-Konto eingerichtet haben, richtig?

  5. #4
    hansjorg71
    gehört zum Inventar Avatar von hansjorg71

    AW: Korrekte Einrichtung der Laufwerksverschlüsselung mit Bit Locker

    Hallo, dann ist bei dir die Nr:2 zuständig TPM-Chip !
    hast du eine Pin erstellt ?

    Gruß
    Ps. Schnellstart deaktiviert ?

    Ps. hast du das so gemacht wie hier beschrieben ?
    Windows 10: BitLocker aktivieren (TPM + PIN) – SID-500.COM

  6. #5
    ibu
    treuer Stammgast

    AW: Korrekte Einrichtung der Laufwerksverschlüsselung mit Bit Locker

    Ich wurde beim Aktivierungsprozess von BL weder nach der Erstellung einer PIN gefragt, noch danach "Schnellstart" zu wählen.

    Für die Anmeldung bei WIN 10 habe ich eine PIN eingerichtet.

    Die Einrichtung habe ich ansonsten so vorgenommen, wie es in dem von Dir genannten Link gezeigt wird.

    Nur die PIN habe ich nicht eingerichtet.

    Und während des Einrichtungsprozesses wurde ich zu TPM nichts gefragt.

    Verstehe ich es richtig, dass die PIN für Bitlocker nur eine Option und kein Muss ist?

  7. #6
    hansjorg71
    gehört zum Inventar Avatar von hansjorg71

    AW: Korrekte Einrichtung der Laufwerksverschlüsselung mit Bit Locker

    Hallo,
    Verstehe ich es richtig, dass die PIN für Bitlocker nur eine Option und kein Muss ist?
    JA ist nur eine Option aber totale Sicherheit !

    Gruß
    Ps. hast du TPM eingerichtet ?
    -tpm-aktivieren.jpg -tpm-2.0.jpg muss die Version 2.0 sein !

  8. #7
    ibu
    treuer Stammgast

    AW: Korrekte Einrichtung der Laufwerksverschlüsselung mit Bit Locker

    Alles klar, vielen Dank.

    Dann ist also nichts weiter zu tun.

    TPM 2.0 ist aktiv. Lässt sich außer über den GM auch über über "Windows Einstellungen > Sicherheit > Gerätesicherheit > Sicherheitschip" einsehen.

    Etwas schade, dass MS nach dem Neustart keine Meldung anzeigt "BL erfolgreich eingerichtet. Diese Optionen haben Sie noch."

    Aber solche Kritik ist hier meiner Erfahrung nach nicht so beliebt, daher auch nur kurz als Statement, ohne jeden Diskussionswunsch

  9. #8
    build10240
    gehört zum Inventar

    AW: Korrekte Einrichtung der Laufwerksverschlüsselung mit Bit Locker

    Die Windowsanmeldung hat mit Bitlocker nichts zu tun. Wie sollte das auch möglich sein, wenn alle Informationen zur Windowsanmeldung auf der bitlockerverschlüsselten Partition C: liegen. Auch die Windowsanmelde-PIN hat nichts mit Bitlocker zu tun.

    Wird bei Bitlocker das TPM ohne PIN oder USB-Schlüssel verwendet, ist das nicht sicher, denn das sorgt eigentlich nur dafür, dass die Festplatte nur an diesem Rechner entschlüsselt werde kann. Entweder TPM mit PIN Windows 10: Zusatzliche PIN-Abfrage fur Bitlocker beim Windows-Start einrichten - TecChannel Workshop TPM mit USB-Schlüssel oder ganz auf TPM verzichten und ein Bitlocker-Kennwort verwenden. Lässt sich aber alles nicht im normalen Bitlocker-Dialog einstellen, sondern nur in den Gruppenrichtlinien

  10. #9
    ibu
    treuer Stammgast

    AW: Korrekte Einrichtung der Laufwerksverschlüsselung mit Bit Locker

    @build

    Vielen Dank für die Infos!
    Was genau ist bitte mit "denn das sorgt eigentlich nur dafür, dass die Festplatte nur an diesem Rechner entschlüsselt werde kann" gemeint.

    Angenommen ein Dieb lässt die Festplatte in dem Rechner, aber er kann ja Windows mangels Login nicht starten.

    Kann er dann von außen, die noch eingebaute Festplatte auslesen?

    Zum USB-Schlüssel: der kann ja auch gestohlen werden.

    Eine zweite zusätzliche PIN verwenden zu müssen, würde den Mitarbeitern jedenfalls nicht gefallen.

  11. #10
    mh0001
    gehört zum Inventar

    AW: Korrekte Einrichtung der Laufwerksverschlüsselung mit Bit Locker

    Angenommen ein Dieb lässt die Festplatte in dem Rechner, aber er kann ja Windows mangels Login nicht starten.
    Theoretisch ist das so wie du sagst, ja. Allerdings fällt dadurch eben eine Sicherheitsstufe weg, und du musst dich darauf verlassen, dass das Betriebssystem dann "dicht" ist und sich keiner unter Ausnutzung einer Sicherheitslücke etc. dran vorbeimogeln kann. Das ganze ist dann also genau so sicher wie deine Windows-Installation.

    Darum ist "TPM only" ja auch Standard. Es sorgt dafür, dass nur das auf dem Bitlocker-Laufwerk installierte Windows im Zusammenspiel mit dem TPM in der Lage ist, das Laufwerk zu entsperren. Dafür nimmt die Windows-Installation ja das TPM in Besitz. D.h. schonmal, dass jemand, der mit einer Live-DVD oder Bootstick rangeht, von einem anderen gestarteten OS aus keinen Zugriff erhält, weil das TPM diesen eben nur für das eine installierte Windows freigibt. Genauso funktioniert es dann natürlich nicht, die Festplatte auszubauen und woanders auszulesen.

    "TPM+PIN" sorgt dann eben einfach dafür, dass einem nicht authentifizierten Nutzer nicht mal genehmigt wird, das Laufwerk zu entsperren und Windows zu booten. Ist dann eine zusätzliche Sicherheitsstufe, wenn man sich nicht darauf verlassen will, dass die Software "hält".
    Oder wenn man z.B. Windows Hello für biometrische Authentifizierung verwendet um tagsüber das Gerät schnell beim Aufwecken aus dem Standby, Rückkehr an den Arbeitsplatz etc. zu entsperren, aber dennoch möchte dass wenn man den PC ausmacht, dieser mit einer PIN abgeriegelt ist statt nur mit Fingerabdruck oder Gesichtsscan.

  12. #11
    _Sabine_
    gehört zum Inventar

    AW: Korrekte Einrichtung der Laufwerksverschlüsselung mit Bit Locker

    Zitat Zitat von ibu Beitrag anzeigen
    kann ja auch gestohlen werden
    Durchaus. Es gibt keine 100%tige Sicherheit. Irgendwo ist immer eine Schwachstelle. (Etwa ein PW eingeben, wenn um einen herum X Leute stehen und ggf. interessiert auf den Monitor schauen.)

    Man muss generell halt schauen, wo für einen selbst / den Anwendungsfall der Kompromiss aus Sicherheit & Bequemlichkeit liegt. Geht es zudem nicht mehr nur um die private Nutzung, dann kann es auch durchaus sein, dass es für Branche X / Anwendungsfall Y bestimmte Kriterien gibt, die eingehalten werden müssen. Da wäre es völlig egal, ob es dem Mitarbeiter gefallen würde oder nicht.

    Zum Rest (TPM + PIN) hat mh001 ja schon alles Wichtige geschrieben.

  13. #12
    ibu
    treuer Stammgast

    AW: Korrekte Einrichtung der Laufwerksverschlüsselung mit Bit Locker

    Danke für eure Hinweise.

    Weitere Logins zur Erhöhung der Sicherheit kann man natürlich machen.

    Aber der Lenovo x390 hat einen Fingerabdrucksensor. Mal sehen, ob man den als zusätzliche Barriere einrichten kann. Aber vermutlich geht das nur als Ersatz eines textuellen Logins.

    Auf meiner ToDo steht aber noch was anderes: Fido2

    Ich möchte gerne herausfinden, ob man ein modernes Smartphone als Authentifizierung und zur Entsperrung eines Windows-Rechners verwenden.

    Das erscheint mir sehr viel angenehmer in der Handhabung zu sein, als das Hantieren mit einem zusätzlichen Stick oder einem zusätzlichen Login.

    Aber das wäre Thema für einen anderen Thread

  14. #13
    PeteM92
    gehört zum Inventar

    AW: Korrekte Einrichtung der Laufwerksverschlüsselung mit Bit Locker

    Auf meiner ToDo steht aber noch was anderes: Fido2

    Ich möchte gerne herausfinden, ob man ein modernes Smartphone als Authentifizierung und zur Entsperrung eines Windows-Rechners verwenden.
    Das sind zwei unterschiedlich Dinge.
    Zu Fido2 gab es in jüngerer Zeit ein paar Artikel in der Zeitschrift c´t. Da kann man sich schlau lesen.

    Das Smartphone kann man für die 2-Faktor-Authentifizierung einrichten. Ob das langfristig praktisch ist, muß man ausprobieren.

  15. #14
    ibu
    treuer Stammgast

    AW: Korrekte Einrichtung der Laufwerksverschlüsselung mit Bit Locker

    Yep. Die c't liegt hier schon

    Bin gespannt, ob man einen PC mit TPM-Chip allein über ein geeignetes Smartphone entsperren kann.

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •