Bitlocker

[maralo]

Hallo,

nutzt hier jemand Bitlocker und kann mir etwas weiterhelfen.

Zunächst einmal, wenn man Bitlocker mit TPM benutzt, muss man standardmäßig keine Passphrase beim Boot eingeben. Der Key wird im TPM gespeichert und dort ausgelesen. Aber welchen Sinn macht dies, wenn man ohne Passphrase starten kann?
Tiefer in den Einstellungen, kann man dann eine PIN festlegen. Soweit so gut, kann man hier auch auf eine Passphrase wechseln, wäre leichter zu merken als Zahlen.

Inwiefern schützt Bitlocker vor Bruteforce-Attacken, auch im Anbetracht dessen, dass nur Zahlen verwendet werden dürfen? Danke

 

[cuco]

1.) BitLocker allein mit TPM schützt in so fern, dass der Key nun mal im TPM steckt, also nicht einfach ausgelesen werden kann. Er wird nur freigegeben, wenn die Hardware nicht grundlegend modifiziert wurde, insbesondere wenn die HDD ausgebaut wird. Sonst ist der Schutz natürlich nur gering. Ist also schon sinnvoll, noch eine zusätzliche PIN/Passphrase oder einen Key auf einem USB-Stick hinzuzufügen.

2.) Ja, man kann auch Passphrasen benutzen, nicht nur PINs. Bin mir gerade nicht mehr sicher, ob man dafür was in den Gruppenrichtlinien ändern musste, oder ob das schon direkt in den Werkseinstellungen unterstützt wird. Ich hab auf jeden Fall überall Passphrasen in Benutzung, keine PIN.

3.) Zu den Brute-Force-Attacken kann ich wenig sagen. Aber die Einschränkung mit "nur Zahlen" gilt ja wie gesagt nicht.

 

[JoGi65]

Wenn Du eine Windows Anmeldung verwendest, kann auch Bitlocker ohne Preboot Passwort reichen. Die Platte allein bootet auf einem anderen System nicht.
Du kannst für Bitlocker auch Zeichen Verwenden, sowohl für Preboot, als auch für die normale Verschlüsselung. Ist eine Konfig Sache.

 

[Stitch626]

Guruppenrichtlinienedit^^ (wegen Passphase)

Würde so weit auch ein PW empfehlen, Pin ist bruteforcebar (sieht man ja bei iOS Geräten) und ganz ohne PW/Pin ist der Schutz wie bereits erwähnt nur gering, da lediglich eine Hardware-Bindung existiert.

 

[maralo]

kann ich nachträglich von einer PIN zu einer Passphrase wechseln? Habe die nötige Richtlinie aktiviert, kann aber nur die PIN ändern und keine Passphrase eingeben.

 

[Stitch626]

Wird dann wohl nicht gehen. Habs selber noch nie probiert da ich immer PW's verwende.

 

[gerli09]

In der aktuellen c't ist ein Artikel über Bitlocker. Vielleicht hilft das bei der einen oder anderen Frage.

 

[Mornsgrans]

Was auch klar sein sollte:
Ein Boardwechsel bedeutet auch Wechsel des TPM. Die Folgen dürften klar sein. - Also noch dringender unverschlüsselte Backups anfertigen.

 

[maralo]

Kann es sein, dass man Passphrases nur ohne TPM verwenden kann? Btw. in den Gruppenrichtlinien kann man auch den Chiper ändern, anstatt AES128 (Default) kann man auch AES256 einstellen.

 

[JoGi65]

Kann es sein, dass man Passphrases nur ohne TPM verwenden kann?

Nein, geht auch mit. Falls Du es nicht findest, kann ich morgen nachschauen.

- - - Beitrag zusammengeführt - - -

Was auch klar sein sollte:
Ein Boardwechsel bedeutet auch Wechsel des TPM. Die Folgen dürften klar sein. - Also noch dringender unverschlüsselte Backups anfertigen.

Bist Du sicher, dass es mit mit dem 100 stelligen Code nicht trotzdem zum entsperren geht? Hab den schon öfters bei Bios Updates oder SSD Fw Updates eingeben dürfen.

Und die Sicherung gehört natürlich auch verschlüsselt. Entweder am NAS, oder mit Bitlocker für die externe Platte, oder auch am Server. Bei Firmendaten wäre es fahrlässig das nicht zu tun, und kann eine Strafe einbringen.

 

[Mornsgrans]

Ich gehe von Privatperson aus.
Würde der TE dies nach Vorgabe seines Arbeitgebers machen müssen, hätte er sich an die IT wenden können.

Und die Sicherung gehört natürlich auch verschlüsselt. Entweder am NAS, oder mit Bitlocker für die externe Platte, oder auch am Server.

Das jetzt hier weiter zu diskutieren, würde am Thema vorbei gehen, denn auch hierzu gehen die Meinungen auseinander. Darum lassen wir es im Raum stehen.

 

[maralo]

Wäre nett wenn du da mal nachschauen könntest, wie man das mit der Passphrase und TPM geregelt bekommt. Wie gesagt, ohne TPM geht es.

 

[Lpz3sn]

Hallo,

nutzt hier jemand Bitlocker und kann mir etwas weiterhelfen.

Zunächst einmal, wenn man Bitlocker mit TPM benutzt, muss man standardmäßig keine Passphrase beim Boot eingeben. Der Key wird im TPM gespeichert und dort ausgelesen. Aber welchen Sinn macht dies, wenn man ohne Passphrase starten kann?
Tiefer in den Einstellungen, kann man dann eine PIN festlegen. Soweit so gut, kann man hier auch auf eine Passphrase wechseln, wäre leichter zu merken als Zahlen.

Inwiefern schützt Bitlocker vor Bruteforce-Attacken, auch im Anbetracht dessen, dass nur Zahlen verwendet werden dürfen? Danke

gibt es dafür nicht das startpasswort?
ohne das startet der kasten nicht und ausbauen der hdd hilft nicht, weil der key im tpm liegt...

 

[Stitch626]

Nein, geht auch mit. Falls Du es nicht findest, kann ich morgen nachschauen.

- - - Beitrag zusammengeführt - - -



Bist Du sicher, dass es mit mit dem 100 stelligen Code nicht trotzdem zum entsperren geht? Hab den schon öfters bei Bios Updates oder SSD Fw Updates eingeben dürfen.

Und die Sicherung gehört natürlich auch verschlüsselt. Entweder am NAS, oder mit Bitlocker für die externe Platte, oder auch am Server. Bei Firmendaten wäre es fahrlässig das nicht zu tun, und kann eine Strafe einbringen.

Seit Win8/8.1 kann man Bitlocker ohne TPM auch mit PW nutzen. Ging unter Win7 nur mit TPM, oder eben dem langen Startcode, welcher aber je nach Rechner auch via USB eingelesen werden kann.

 

[independence]

Seit Win8/8.1 kann man Bitlocker ohne TPM auch mit PW nutzen. Ging unter Win7 nur mit TPM, oder eben dem langen Startcode, welcher aber je nach Rechner auch via USB eingelesen werden kann.

Genau, wollte ich gerade erwähnen. Ich hab bei der zweiten hdd in meinem t530 eine passphrase gesetzt und muss diese auch nach jedem Neustart eingeben wenn ich auf die Platte zugreifen will.. Bei mir ist Windows 8 im Einsatz

 

[cuco]

Was auch klar sein sollte:
Ein Boardwechsel bedeutet auch Wechsel des TPM. Die Folgen dürften klar sein. - Also noch dringender unverschlüsselte Backups anfertigen.

Und die unverschlüsselten Backups dann am besten noch direkt neben das Notebook legen? Für die schnellere Verfügbarkeit? Dann kann man sich das Verschlüsseln des Datenträgers auch sparen, wenn man dann die Daten noch mal unverschlüsselt irgendwo liegen hat. Abgesehen davon ist das auch Quatsch mit den Folgen beim Boardwechsel - dafür ist ja der Wiederherstellungsschlüssel da, um genau so einen Fall abzudecken.

Kann es sein, dass man Passphrases nur ohne TPM verwenden kann? Btw. in den Gruppenrichtlinien kann man auch den Chiper ändern, anstatt AES128 (Default) kann man auch AES256 einstellen.

Doch, habe ich hier auch mit TPM im Einsatz.

 

[JoGi65]

Wäre nett wenn du da mal nachschauen könntest, wie man das mit der Passphrase und TPM geregelt bekommt. Wie gesagt, ohne TPM geht es.

Wenn ich mich richtig erinnere, hab ich bei

"Zusätzliche Authentifizierung beim Start zulassen" - TPM Start konfigurieren: "TPM zulassen"

Sollte es so nicht gehen, auch bei den anderen Stellen dieser Richtline nur auf zulassen gehen und nicht zwingen. Ich bin mir zwar nicht sicher, ob das TPM dann verwendet wird, was aber bei einer Preboot Authentifizierung egal ist. Nur bei reiner Win Anmeldung ist das TPM sicher Vorteilhaft.

"Erweiterte Pins bei Systemstart zulassen" wirst Du ja eh schon eingestellt haben.

 

[maralo]

Noch eine Frage, kann man die Komplexität noch erhöhen. Leider ist es auf 20 Zeichen beschränkt.

 

[cuco]

Komischerweise scheint das nur ohne TPM zu funktionieren... Ich habe es zumindest auf einem Windows Server 2012 R2 in einem PC ohne TPM im Einsatz. Auf meinem Windows 8.1 Update PC mit TPM kann ich dagegen auch nur maximal 20 Zeichen wählen.

 

[maralo]

Hatte es auch mal testweise mit einem TPM 2.0 probiert, auch keine Möglichkeit. Komisch das die das auf 20 begrenzen, ein Schelm wer Böses denkt...