Sicherheit Richtige Vorgehensweise bei Bitlocker

[DanielRt]

Liebes Forum,

ich habe einige Fragen zur richtigen Vorgehensweise bei der Verschlüsselung mit Bitlocker. Ich möchte möglichst hohe Sicherheit erreichen, ohne das alles furchtbar kompliziert wird.

Aktuell machen wir das so:
Systemplatte wird mit einem Passwort verschlüsselt, welches min. 20 Zeichen lang ist (dabei nur Buchstaben und Zahlen). Eine zweite Festplatte oder Partition - falls vorhanden - wird automatisch entsperrt.

Jetzt sind seit kurzem auch einige Geräte dabei, welche ein TPM-Modul verbaut haben. Das macht leider alles etwas umständlicher, da man hier z.B. nur maximal 20 Zeichen als Passwort wählen kann. Außerdem muss man extra einstellen, dass man überhaupt auch andere Zeichen verwenden kann.

Meine Fragen:
Bei den TPM-Geräten: Reichen hier auch Passwörter mit einer Länge von 15-20 Zeichen?
Wie sicher ist es, wenn die zweite (Daten-)Platte sich automatisch entschlüsselt? Sollte man hier lieber auch mit einem Passwort arbeiten?

Gibt es irgendwo einen Artikel, der einem die vorgehensweise von Bitlocker möglichst einfach erklärt?

Liebe Grüße,
Daniel

 

[Sonnschein]

Hallo und willkommen Daniel,

mir ist noch nicht ganz klar, warum du verschlüsseln möchtest.
Das Szenario mit einem verlorenen/vergessen Notebook ist für mich nachvollziehbar und macht durch aus Sinn. Aber du willst anscheinend stationäre Geräte verschlüsseln?

Wenn du Bitlocker in der Googlesuche eingibst, springen zich Webseiten auf, die sich um deine Fragen drehen.

 

[DanielRt]

Danke für die Antwort,

ja es geht hauptsächlich um Laptops. Aber auch um stadtionäre Geräte, falls einmal eingebrochen wird. Googlesuche habe ich eh schon probiert, aber speziell zu meinen Fragen habe ich nichts gefunden. Die allgemeinen Erklärungen zum Bitlocker fand ich zum Teil nicht einfach zu verstehen. Aber ich werde nochmal weiter suchen.

Liebe Grüße

 

[_Sabine_]

20 Zeichen ist sicherlich schon recht ordentlich.
Wenn dir das zu wenig ist -> TPM deaktivieren und dann kannst du auch wieder Passwörter verwenden, die länger sind.

Speziell in deinem Fall würde es auch schon was bringen, wenn du mehr als Zahlen & Buchstaben verwendest. Allein durch die zusätzlich Verwendung von Sonderzeichen (Darauf achten beim Start hat man ein US Tastaturlayout) erhöhst du die Sicherheit. (Gibt halt 20-30+ Möglichkeiten mehr für jede Stelle.)

Zusätzlich könntest du in den Gruppenrichtlinien auch noch mal schauen, was sonst noch für Einstellungen vorliegen. So ist etwa auch die Voreinstellung bei der Verschlüsselung nicht unbedingt die stärkste, die Bitlocker kann.

Solltest du ein MS-Konto in Verbindung mit dem Admin-Account verwenden, dann solltest du auch mal schauen, ob da nicht das Bitlocker-PW ggf. unbeabsichtigt in der MS-Cloud gelandet ist. Wäre auch ein Angriffsvektor, der nicht unbedingt sein muss.


Zur automatischen Entschlüsselung: Macht es halt leichter. Für einen selbst und theoretisch natürlich auch für Angreifer. Muss man selber wissen wie bequem man es möchte, wobei natürlich auch eine Eingabe vom PW über die Tastatur immer abgefangen werden kann.

Es gilt ja auch sich genug Gedanken gemacht zu haben, wie man all die Recovery-Keys und PW handhabt / speichert / hinterlegt. Kann man sich ja nicht alles merken.

Angriffsvektoren gibt es somit genug. Aber IMO sind 20 Stellen, maximale Komplexität und maximale Verschlüsselung für Hausgebrauch ausreichend, da kann man auch für weitere Platten das PW speichern, wenn die eh jeden (zweiten) Tag verwendet wird.

Braucht mehr Schutz (oder meint es), dann greift man eh zu anderer Software (wie etwa VeraCrypt) und nicht Closed-US-Software, wobei: Wieso verwendet man dann überhaupt Windows? Ich würde sagen mit einer ordentlichen Absicherung für Windows ist man besser gerüstet, als 99,9% der User. Allein dadurch ist man schon für Angreifer uninteressant.

mir ist noch nicht ganz klar, warum du verschlüsseln möchtest.

Von Diebstahl bis Reklamation gibt es viele gute Gründe Daten sicher zu speichern. Ansonsten ist es hier im Thread aber auch völlig irrelevant, da es ihm gar nicht darum ging um den Sinn & Notwendigkeit von Verschlüsselung zu diskutieren.

 

[build10240]

Automatische Entschlüssung von Datenlaufwerken heißt nur, daß der Schlüssel im System hinterlegt wird. Sinnvoll und möglich ist das nur, wenn das Systemlaufwerk selbst verschlüsselt ist. Ohne die Verschlüsselung des Systemlaufwerks zu knacken, kommt also ein Angreifer auch nicht an die Daten auf den Datenlaufwerken. Solange das Systemlaufwerk entsperrt ist, könnte aber jeder Angreifer sich den Schlüssel für die Datenlaufwerke besorgen. Muß jeder selbst für sich beantworten, ob das ein tragbares Risiko ist.

Einen Wiederherstellungsschlüssel sollte man auf jeden Fall auch für derart verschlüsselte Datenlaufwerke anlegen und speichern, denn wenn das Systemlaufwerk beschädigt oder das System nicht mehr bootbar wäre, wäre der Wiederherstellungsschlüssel der einzige Weg zu den Daten auf den Datenlaufwerken.

 

[sneaker]

20 Zeichen ist sicherlich schon recht ordentlich.
Wenn dir das zu wenig ist -> TPM deaktivieren und dann kannst du auch wieder Passwörter verwenden, die länger sind.

Hallo Daniel,

- Ohne TPM kann ein Angreifer die Platte ausbauen (klonen), in einen anderen Rechner einbauen und das PW angreifen.
- Ohne TPM kann ein Angreifer ein parallel OS starten und die Festplatte angreifen
- Nur mit TPM hat man eine zertifikatsbasierte Verschlüsselung, die prinzipiell jeder PW-geschützten Verschlüsselung haushoch überlegen ist. PWs sind immer angreifbar!

Wenn es sich um die Sicherheit mehrerer Geräte handelt, hängen diese vermutlich in einer AD-Domäne. Daher solltest du dich mal durch die Bitlocker-GPOs arbeiten
https://docs.microsoft.com/en-us/wi...ion/bitlocker/bitlocker-group-policy-settings

Eine Standard Quelle zu allen Windowsinternas ist "Windows Sysinternals 6" von Mark Russinovich (Bitlocker findet sich im Chapter 9, Band 2).
Auch sehr zu empfehlen und sogar auf Deutsch: https://hitco.at/blog/windows-10-security-book/ (Kapitel 2.11: Hier wird der Bitlocker-Stoff aus "Windows Sysinternals" gut zusammengefasst)


Bitlocker/ TPM/ UEFI/ SecureBoot sind jedoch nicht die am einfachst-verdaulichen Themen von Windows.

lg sneaker

 

[build10240]

Mit TPM funktioniert die Entschlüsselung auf keinem anderen Rechner mehr. Ohne TPM hängt man den Datenträger einfach an/in einen anderen Rechner, gibt den Wiederherstellungsschlüssel ein und kann die Daten lesen.

 

[Rolf_K]

mir ist noch nicht ganz klar, warum du verschlüsseln möchtest.

Mein hoch geschätzter Ausbilder sagte, es gibt keine dummen Fragen, er irrte ...

A Nutze nie ein TPM! Grund: Du müsstest dem Hersteller vertrauen und Intel. Mit Hilfe der Intel ME kann auch das TPM im Ernstfall manipuliert werden. Zweitens, Chiffrierung und Vertrauen gehen nie zusammen!

Speichere nie einen Key auf dem Rechner! Nutze immer PW über 20 Stellen und komplex. Achte streng darauf, das der Rechner das PW nicht bei der .... also ... bei MS speichert. Erstelle keine Wiederherstellungskonten, speichere das Wiederherstellungs PW auf Papier, sichere das an einem geheimen Ort. Weiterhin muss BL VOR der Anwendung auf 265 Bit geschaltet werden. Weiterhin sind die verschiedenen Modi noch per GPO zu aktivieren. BL ist zwischen W7/8.1/10 nicht automatisch kompatibel.

Nur mit TPM hat man eine zertifikatsbasierte Verschlüsselung, die prinzipiell jeder PW-geschützten Verschlüsselung haushoch überlegen ist.

Siehe oben! Die ME kann das TPM notfalls deaktivieren, Du kommst nicht mehr in das System. In den USA müssen PC ab einer bestimmten Klasse eine deaktivierte ME haben. Intel veröffentlich aber diese Prozedur nicht. Im Netz verfügbare Anleitungen sind nicht plausibel.

PWs sind immer angreifbar!

Ja! Aber AAff55??ßß## in Ausführung von 25 Stellen ist NSA sicher.

Merke: Chiffrierung ist nie bequem!

Solltest du ein MS-Konto in Verbindung mit dem Admin-Account verwenden, dann solltest du auch mal schauen, ob da nicht das Bitlocker-PW ggf. unbeabsichtigt in der MS-Cloud gelandet ist. Wäre auch ein Angriffsvektor, der nicht unbedingt sein muss.

Sollte das der Fall sein, MUSS das System als kompromittiert betrachtet werden! Es muss komplett neu aufgesetzt werden! Ein halbwegs sicheres System und eine Cloud oder MS Konto schließen sich aus!

@_Sabine_ Dein Beitrag gefällt mir!

R

 

[sneaker]

@R
Fachlich braucht man mit dir wohl nicht zu diskutieren. Hauptsache: "Microsoft ist Böööse" :sleep

 

[build10240]

Hauptsache: "Microsoft ist Böööse"

Obwohl sich die sonstigen Kommentare dieses Account-Syndikats so zusammenfassen lassen, trifft hier "Hauptsache: paranoid" besser. Nur sollte es bei einer derartigen Einstellung keinen Unterschied machen, ob man Microsoft, dem TPM-Programmierer/-Hersteller oder irgendwelchen dahergelaufenen Auditoren von TrueCrypt und Nachfolgern vertrauen muß. Wenn schon so paranoid argumentiert wird, dann folgt daraus auch, daß NSA und Co. längst die Entwickler freier Verschlüsselungssysteme unter ihrer Kontrolle haben - sei es durch Erpressung oder Einschleusung von eigenen Leuten.

 

[Rolf_K]

Fachlich braucht man mit dir wohl nicht zu diskutieren. Hauptsache: "Microsoft ist Böööse"

So einfach ist das nicht! MS halt als US Konzern seine Vorgaben! Es gab eine Zeit, da waren russische Partisanen super böse ... Ich danke denen, die ihr Leben für mich gegeben haben!

"Hauptsache: paranoid"

Das Teil der Denke in Sachen echter Chiffrierung!

dann folgt daraus auch, daß NSA und Co. längst die Entwickler freier Verschlüsselungssysteme unter ihrer Kontrolle haben - sei es durch Erpressung oder Einschleusung von eigenen Leuten.

Das ist nicht völlig ausgeschlossen.

In Sachen Chiffrierung ist die Frage wichtig: Gegen welchen Angreifer muss ich mich schützen!? Welche Mittel hat dieser? Ein demokratisch gewählter Politiker der Linkspartei wird auf der Liste MAD, BND, VS und Co haben (müssen)...

Die CT verfügt über eine Kontaktmöglichkeit der höchsten Geheimhaltungsstufe. Ich las den Bericht, welcher Aufwand da betrieben wurde. Sind die nun paranoid oder einfach nur erfahren?! R

 

[sneaker]

Ah ja, und in diesem Bericht der höchsten geheimhaltungsstufe steht, dass man statt mit Zertifikaten mit Passwörtern verschlüsseln soll.
Besonders wenn man Mitglied der Linkspartei ist oder sein Leben russischen Partisanen verdankt.

Eyeyey!!

@Daniel
Bitte geh einfach dazwischen, wenn du weitere Fragen zum eigentlichen Thema hast

Lg
Sneaker

 

[build10240]

Die c't hat eine Art digitalen toten Briefkasten für Pfeifenbläser eingerichtet. Ist m.E. etwas übertrieben, denn für Insiderinfos aus Firmen braucht man so einen Aufwand nicht treiben und Staaten haben sowieso andere Möglichkeiten - bei denen nutzt auch die "höchste Geheimhaltungsstufe" nichts. Das Problem ist sowieso nicht ein Abfluß der Informationen aus dem hochgeheime toten Briefkasten, sondern das Vertrauen in die Journalisten und das Risiko der Enttarnung durch die Dokumente an sich. Das Risiko ist so hoch, daß jeder Hinweisgeber seinen Job oder sein Leben aufs Spiel setzt.

 

[DanielRt]

Automatische Entschlüssung von Datenlaufwerken heißt nur, daß der Schlüssel im System hinterlegt wird. Sinnvoll und möglich ist das nur, wenn das Systemlaufwerk selbst verschlüsselt ist. Ohne die Verschlüsselung des Systemlaufwerks zu knacken, kommt also ein Angreifer auch nicht an die Daten auf den Datenlaufwerken. Solange das Systemlaufwerk entsperrt ist, könnte aber jeder Angreifer sich den Schlüssel für die Datenlaufwerke besorgen.

Danke, das war eine wichtige Info. Ich war mir nicht sicher, wo der Schlüssel dann gespeichert wird. Da wir die Sytemplatte gut verschlüsseln werden, wäre es für uns wohl tragbar, wenn sich die zweite Platte automatisch entschlüsselt. Ich hatte befürchtet, dass ein Ausbau der zweiten Platte es dann zu einfach macht.

Wenn es sich um die Sicherheit mehrerer Geräte handelt, hängen diese vermutlich in einer AD-Domäne. Daher solltest du dich mal durch die Bitlocker-GPOs arbeiten
https://docs.microsoft.com/en-us/win...olicy-settings

Ja das stimmt. Ich werde mich mal rein lesen.

Ich habe gelesen, dass TPM gut gegen Brute Force Angriffe schützt, da bei zu vielen falschen Versuchen die Eingabe gesperrt wird.
Daher würde ich wahrscheinlich zur Nutzung vom TPM tendieren.
Ich verstehe halt nicht warum der TPM PIN auf max. 20 Zeichen limitiert. Irgendwie ärgerlich.

Danke schonmal für alle Tips und Quellen. Jetzt habe ich auf jeden Fall schon recht viel Einschlaflektüre

LG Daniel

 

[sneaker]

Ich verstehe halt nicht warum der TPM PIN auf max. 20 Zeichen limitiert. Irgendwie ärgerlich.

Ja, die minimale PIN Length kann man per Policy zwischen 4 und 20 festlegen

Ein TPM ist gegen Passwortattacken zusätzlich geschützt
https://docs.microsoft.com/en-us/windows/security/information-protection/tpm/manage-tpm-lockout
daher halte ich eine PIN - Länge von max. 10 im Normalfall für völlig ausreichend. Im Falle sehr hoher Sicherheit kann man den TPM neben der PIN noch mit einem auf einem USB Stick gespeicherten Startup Key absichern. Man benötigt dann für den Systemstart die PIN und den USB-Stick.
Irgendwo muss man immer noch einen gangbaren Mittelweg zwischen Security und Convenience finden. Eine 20 stellige PIN und vielleicht ein 15 stelliges Windowspasswort mit regelmäßigem Wechselintervallen könnte ich meinen Usern jedenfalls nicht zumuten

lg sneaker

 

[Rolf_K]

Da wir die Sytemplatte gut verschlüsseln werden,

Was ist "gut"?

Warum ist der Himmel blau? Das ist eine Frage gewesen, die man Clifford Stoll (US Astronom, später EDV Verantwortlicher und Entdecker von Computereinbrüchen Deutscher Hacker in hochgesicherte US Anlagen) bei der Verteidigung seiner Dissertation stellt. Er gab eine klare und richtige Antwort ... 2 Stunden später war er fix und alle und bei der Quantenmechanik angelangt. Seine Proffs reagierten immer nur (bei jeder richtigen Antwort) mit: Erklären sie es genauer.

Also: Was ist "gut" im Bereich Deiner Systemplatte? Das hängt damit zusammen WAS Du gegen WEM sichern möchtest.

Eine 20 stellige PIN und vielleicht ein 15 stelliges Windowspasswort mit regelmäßigem Wechselintervallen könnte ich meinen Usern jedenfalls nicht zumuten

Wiederholung: Chiffrierung ist nicht Bequem!

R