Bitlocker: "Laufwerk auf diesem Computer automatisch entsperren"

P

paluba

Active member
Registriert
22 Aug. 2019
Beiträge
326
Liebes Forum,

ich habe gerade mein X250 mit einer größeren SSD ausgestattet und diese partitioniert; Windows PW ist schon gesetzt. Nun möchte ich alles per Bitlocker absichern. Das Systemlaufwerk wird auch ganz normal via TPM verschlüsselt.

Nur wenn ich jetzt die zweite Partition D: mit den Daten verschlüsseln möchte, bietet mir Bitlocker als Optionen entweder Kennwort oder "Laufwerk auf diesem Computer automatisch entsperren" an.

Meine Fragen wären:

1) Muss man bei der Option Kennwort dann bei jedem Systemstart das PW eingeben? Wäre ja sehr lästig

2) Wenn ich automatisch entsperren nehme, wie sicher ist dann die Verschlüsselung? Bedeutet "auf diesem Computer", dass die Partition nur mit exakt dieser HW/SW-Konfiguration automatisch entsperrt wird? Oder wird nur die ID vom Systemboard geprüft? Mit anderen Worten: Wenn mein Laptop verloren geht, könnte dann jemand einfach eine andere SSD einbauen, Windows installieren, meine SSD extern anschließen und dann automatisch auf D: zugreifen?

Ach ja: Ich werde wohl zusätzlich noch Supervisor-PW und Power-On-PW setzen. Aber wäre Bitlocker auch so schon sicher genug?
Danke!
 
Zuletzt bearbeitet:
"Automatisch entsperren" heißt genau das. Das Laufwerk wird automatisch dann bereitgestellt, wenn du dich anmeldest. Du musst dazu auch einmal das Kennwort angeben. Erst dann kann das Laufwerk in Zukunft automatisch geöffnet werden.

An einem anderen Computer müsste man das Passwort, welches du für das Volume definiert hast, halt erst eingeben, um Zugriff auf die Daten zu bekommen. Die automatische Entsperrung wird nur für den aktuellen Computer konfiguriert und lokal gespeichert.

Dass es verschiedene aufwändige Wege zum Umgehen von Bitlocker gibt, wurde ja gerade wieder gezeigt. Trotzdem ist das sicher genug, damit bei einem gestohlenen Gerät ein Dieb nicht gleich deine persönlichen Daten sieht.
Wenn du die zuletzt gezeigten Angriffswege umgehen möchtest, stell im BIOS-Setup vom TPM Chip aufs Firmware-TPM (PTT) um. Dann läuft der Angriff mit dem Auslesen der TPM-Daten direkt aus dem Datenbus auch ins Leere. Vorher aber Bitlocker stoppen, das TPM wird dabei ja gelöscht.

Ein BIOS-Passwort ist sicherlich sinnvoll, ein Power-On-Passwort fände ich persönlich nervig. Sehe auch keinen Sinn darin. Falls das Gerät gestohlen wird, habe ich nichts davon. Für die Genugtuung, dass der Dieb es auch nicht nutzen kann, kann ich mir auch nichts kaufen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben