Windows [gelöst] Windows BitLocker - Praxis Handling Fragen

Windows Betriebssystem
X

xsid

Active member
Registriert
29 Mai 2007
Beiträge
4.621
Hallo Forum,

kann ich die Sicherheit eines mit BitLocker verschlüsseltem System erhöhen, wenn ich den TPM Chip nicht nutze?

MfG
xsid
Beitrag automatisch zusammengeführt:

BitLocker Keyboard deutsch, jetzt englisch

bitlocker.jpg

Wie kann ich BitLocker von Windows 10 22H2 dazu bewegen beim Login eine deutsches Keyboard zu verwenden?

CB https://www.computerbase.de/forum/threads/bitlocker-boot-tastaturlayout.1675757

Bist du sicher? Guck lieber nochmal gründlich nach.

Das ist ein BUG. Eigentlich sollte ausschliesslich das englishe Layout geladen werden. Das deutsche Layout steht für die Preboot Authentification garnicht zur Verfügung :freak:

Deswegen stellt man ja die Tastatur in Windows auf Englisch US und legt dann ein Passwort fest.

Das ist im Übrigen kein Workaround, sondern die übliche Vorgehensweise.
Zum Vergrößern anklicken....

Ist das ein sinnvolles Vorgehen?

Tastatur Layout ändern https://www.wintotal.de/tipp/tastaturlayout-den-eigenen-wuenschen-anpassen/
Bitlocker Passwort ändern https://hdwh.de/bitlocker-passwort-aendern-in-windows-10/

Meine Lösung: Bitlocker Passwort in Windows 10 geändert, zuvor Tastatur gedanklich auf ein US-Layout umgelabelt,
Passwort eingegegeben. Merke: Das Passwort ist durch das US Layout ein anderes, als die Tasten die man eingibt.
Dann Wiederherstellungschlüssel erneut gesichert.

Beitrag automatisch zusammengeführt:

Flogende Wiederherstellungschlüssel kann ich mir bei der Einrichtung sichern:

wiederherstellungschluessel.pdf

Screenshot:
wiederherstellungschluessel-pdf.jpg

Oder als Textfile


BitLocker-Wiederherstellungsschlüssel 4123189D-9767-48BE-80CC-C2D1FDEC4E3C.TXT

schluessel-txt.jpg

Beide Schlüsselvarianten habe ich mir außerhalb des Windows 10 Systems gesichert.
Das System hat keinen TPM Chip.

Was sollte ich weiterhin um bei evtl. später auftauchenden Problemen diesen gewappnet zu sein?
Benötige ich weitere Schlüssel, kann ich weitere Schlüssel erzeugen?

Häufig gestellte Fragen zur BitLocker-Schlüsselverwaltung https://learn.microsoft.com/de-de/w...ection/bitlocker/bitlocker-key-management-faq
 
Zuletzt bearbeitet:
xsid schrieb:
Was sollte ich weiterhin um bei evtl. später auftauchenden Problemen diesen gewappnet zu sein?
Zum Vergrößern anklicken....
Den Schlüssel in einem Internetforum zu veröffentlichen, war schon ein sehr guter Ansatz. So hast Du auch noch Zugriff darauf, wenn Du den Papierausdruck und den USB-STick mit dem Textfile verlierst.
Von den Daten des BL-verschlüsselten Laufwerks würde ich noch ein Backup machen und dies mit Veracrypt oder sonstwie verschlüsseln und nicht mit BL.
 
StefanW. schrieb:
Von den Daten des BL-verschlüsselten Laufwerks würde ich noch ein Backup machen und dies mit Veracrypt oder sonstwie verschlüsseln und nicht mit BL.
Zum Vergrößern anklicken....
Warum noch zusätzlich mit Veracrypt verschlüsseln?

Was kann ein böser Bube mit dem "Bezeichner Schlüssel" anfangen, wenn dieser verfügbar ist?

Kann ich Bitlocker über mehrere Zugänge, die einzelnd nutzbar sind, z. B. Passwort und auch FIDO2 absichern und zugänglich machen?
 
xsid schrieb:
Warum noch zusätzlich mit Veracrypt verschlüsseln?
Zum Vergrößern anklicken....
Ich habe nicht zu einer zusätzlichen Verschlüsselung geraten. Ich habe dazu geraten (falls Deine Daten immer verschlüsselt sein sollen), das Backup mit Veracrypt zu verschlüsseln.
xsid schrieb:
Was kann ein böser Bube mit dem "Bezeichner Schlüssel" anfangen, wenn dieser verfügbar ist?
Zum Vergrößern anklicken....
Du hast auch den Wiederherstellungsschlüssel veröffentlicht. Damit kann man das BL-Laufwerk entschlüsseln.
Da Du NULL bereit bist, selbst nach Antworten auf Deine Fragen zu suchen, ignoriere ich Deine Beiträge ab jetzt.
 
StefanW. schrieb:
Du hast auch den Wiederherstellungsschlüssel veröffentlicht. Damit kann man das BL-Laufwerk entschlüsseln.
Zum Vergrößern anklicken....

Das ist der Sinn eines Wiederherstellungsschlüssels.
Wo liegt dein Problem, das System ist morgen wieder weg.

StefanW. schrieb:
Den Schlüssel in einem Internetforum zu veröffentlichen, war schon ein sehr guter Ansatz
Zum Vergrößern anklicken....
Da hast Du mich belobigt

BitLocker-Wiederherstellungsschlüssel – alles was Sie wissen müssen https://pctipps.de/bitlocker-wieder...ederherstellungsschlussel_im_Active_Directory
Beitrag automatisch zusammengeführt:

Hallo WindowsUser,

wie stelle ich in Windows 10 auf eine Passwort-Vielfacheingabesperre ein, die wie eine TPM-Sperre arbeitet?

Verwalten der TPM-Sperre https://learn.microsoft.com/de-de/windows/security/information-protection/tpm/manage-tpm-lockout

Bitlocker auf Windows PCs einsetzen die über keinen TPM-Chip verfügen https://www.windows-faq.de/2020/10/...-einsetzen-die-uber-keinen-tpm-chip-verfugen/

Computer sperren und neu starten nach mehrfacher Eingabe eines falschen Kennwortes https://www.windows-faq.de/2019/05/...mehrfacher-eingabe-eines-falschen-kennwortes/

Durch das Setzen dieses Wertes könnt Ihr somit die Sicherheit Eures Windows PCs schnell und einfach erhöhen. Microsoft gibt zu dieser Richtlinie noch folgende Informationen bekannt. Besonders PCs, die mit Bitlocker verschlüsselt sind, erfahren dadurch noch zusätzliche Sicherheit, da nach den Kennwort Fehlversuchen der Bitlocker Key erneut eingeben werden muss.

Diese Sicherheitseinstellung bestimmt die Anzahl der fehlgeschlagenen Anmeldeversuche, die dazu führen
dass der Computer neu gestartet wird. Computer, auf denen BitLocker zum Schützen von Betriebssystemvolumes aktiviert ist,
werden gesperrt und können nur wiederhergestellt werden, indem ein Wiederherstellungsschlüssel an der Konsole bereitgestellt wird.
Stellen Sie sicher, dass die entsprechenden Wiederherstellungsrichtlinien aktiviert sind.
Zum Vergrößern anklicken....
Beitrag automatisch zusammengeführt:


ohne TPM Chip
Code: 
gpedit.msc

Lösung, Einrichtung:
gruppenrichtilinie.jpg

Erfolgstest:
passwortfehlversuche.jpg
Beitrag automatisch zusammengeführt:

StefanW. schrieb:
Von den Daten des BL-verschlüsselten Laufwerks würde ich noch ein Backup machen und dies mit Veracrypt oder sonstwie verschlüsseln und nicht mit BL.
Zum Vergrößern anklicken....
Das ist vermutlich der Wiederstellungschlüssel gemeint, der Begriff Daten ist hier missverständlich.
 
Zuletzt bearbeitet:
Mit "Daten" meinte ich Deine Bilder, Texte, Mails, Präsentationen.....
 
Du kannst die Sicherheit der Wiederherstellung im Ernstfall absolut dadurch erhöhen, TPM nicht zu nutzen (und Keyfiles und so weiter auch nicht) sondern stur ein Passwort zu verwenden. Also nicht Sicherheit im klassischen Sinne eines perfekten Passwortschutzes sondern Sicherheit in dem Sinne, dass der User noch an seine Daten kommt nachdem er den PC aus einem Feuer gerettet hat - sofern die Festplatte noch OK ist.

Eine File kann dir verloren gehen (oder in die falschen Hände geraten), der TPM kann hops gehen, und dann sitzt man dumm da. Wir hatten ja schon mal über das Thema gesprochen. KISS-Prinzip. Und der Fall, dass jemandem der TPM-Chip durchgebrannt ist und auf einmal irgendein Microsoft-Produkt nicht mehr richtig funktioniert hat. Dass bisschen an Komfort, was man durch TPM vielleicht noch bekommt, wird durch die Nutzerfeindlichkeit wenn er mal kaputt ist nicht wieder wett gemacht. Wenn man Software, die TPM nutzt, von einem PC auf den anderen übertragen will, kann man eine böse Überraschung erleben.

Sicher kann man im Fall der Fälle diesen Notfall-Schlüssel nutzen um Bitlocker doch noch zu entschlüsseln, aber irgendwelche Redundanzen sind bei einem Passwort schlicht nicht notwendig - wenn das Passwort sitzt. Ich würde die Eingabesperre sofort wieder raus nehmen. Damit baust du dir nur genau diese Hürden in den Weg, die du nicht haben willst. Wer sollte denn tatsächlich ausser dir jemals versuchen, physisch an deinem Gerät dein Passwort zu knacken? Wenn das Passwort gut genug ist geht die Tendenz des Erfolgs gegen null.

Im Sinne davon was StefanW. gesagt hat würde ich einfach die regelmäßigen Backups verschlüsseln. Ich mache das mit Macrium Reflect. So hast du nach wie vor Backups "ohne" BitLocker da die Backups Live gemacht werden und in dem Sinne die Platte unverschlüsselt ist. Wenn ich mich richtig erinnere wird im Falle einer Systemverschlüsselung dann zwar der Bootsektor inkl. BitLocker kopiert, aber wenn BitLocker erkennt dass die Platte unverschlüsselt ist gibt er einfach ab. Und im schlimmsten Fall kann der Bootsektor zurück gesetzt werden.
 
Zuletzt bearbeitet:
Schwartz schrieb:
Du kannst die Sicherheit der Wiederherstellung im Ernstfall absolut dadurch erhöhen, TPM nicht zu nutzen [...] sondern stur ein Passwort zu verwenden. [...]

[...] der TPM kann hops gehen, und dann sitzt man dumm da. [...] Dass bisschen an Komfort, was man durch TPM vielleicht noch bekommt, wird durch die Nutzerfeindlichkeit wenn er mal kaputt ist nicht wieder wett gemacht. [...]

Sicher kann man im Fall der Fälle diesen Notfall-Schlüssel nutzen um Bitlocker doch noch zu entschlüsseln, aber irgendwelche Redundanzen sind bei einem Passwort schlicht nicht notwendig - wenn das Passwort sitzt.
Zum Vergrößern anklicken....
Genau das geht aber nicht, es gibt kein BitLocker ohne Notfall-Schlüssel. Und das hat auch seinen Grund:
Für die verwendeten Chiffren muss der Schlüssel üblicherweise eine bestimmte Länge haben. Das funktioniert nicht, wenn das Passwort eine flexible Länge hat. Daher braucht man normalerweise eine Passwortableitungsfunktion, die aus dem Passwort den eigentlichen Verschlüsselungsschlüssel (Key) erstellt, mit dem dann tatsächlich verschlüsselt werden könnte.
Das Problem ist, dass man so niemals das Passwort ändern kann, ohne alle Daten neu verschlüsseln zu müssen. Denn ändert man das Passwort, ändert sich auch das, was die Ableitungsfunktion ausspuckt und damit wiederum der Schlüssel zum Verschlüsseln der Daten.

Deswegen wird bei Festplattenverschlüsselungen noch ein Zwischenschritt eingefügt: Es gibt also einen zufällig erstellten Schlüssel (bei BitLocker eben der sog. "Wiederherstellungsschlüssel"), mit dem per Ableitungsfunktion (oder wenn es passt auch ohne Zwischenschritt) die Daten verschlüsselt werden. Dieser Schlüssel ist fix und ändert sich nie, denn mit diesem (bzw. der Ableitung davon) sind die Daten verschlüsselt. Dann wiederum wird dieser Wiederherstellungsschlüssel mit einem weiteren Key verschlüsselt und z.B. in den Verschlüsselungsheader des Laufwerks gepackt. Dieser "weitere Key" wird dann wie oben beschrieben erstellt, also durch eine Ableitungsfunktion aus dem Passwort des Nutzers.
Will man nun sein Passwort ändern, bleibt der Wiederherstellungsschlüssel gleich und die Daten müssen nicht neu verschlüsselt werden, nur der Header wird neu erstellt, nämlich indem mit der Ableitung des neuen Passworts der alte Wiederherstellungsschlüssel neu verschlüsselt wird.
Und so machen es alle gängigen Datenträgerverschlüsselungen, wie z.B. BitLocker, TrueCrypt, VeraCrypt oder auch LUKS unter Linux.

Lange Rede, kurzer Sinn: Ohne Wiederherstellungsschlüssel (oder "echten" Verschlüsselungsschlüssel) kann man gar keinen solchen Datenträger verschlüsseln, zumindest nicht mit den dafür gängigen Tools. Die Frage ist höchstens noch, wie sehr einem dieser Schlüssel aufgedrängt wird. Bei LUKS merkt man ihn z.B. nur indirekt durch die Key-Slots, die nur dadurch möglich sind, bei BitLocker kann man dagegen gar kein Laufwerk verschlüsseln ohne diesen Schlüssel gesichert zu haben und er wird gelegentlich auch als Sicherheitsfeature abgefragt, wenn der Umgebung und dem Passwort allein nicht getraut wird. Das Prinzip ist aber das selbe und auch bei LUKS ist es sinnvoll, das Ding mal zu sichern, auch wenn einem das nicht so aufgedrängt wird wie bei BitLocker. Ist der Header, in dem der eigentliche Verschlüsselungsschlüssel liegt, nämlich weg, kann man die Daten nicht mehr entschlüsseln. Obwohl alle Daten heile sind und man das richtige Passwort hat. Hatte z.B. hier gerade ein Nutzer: https://thinkpad-forum.de/threads/ext2-journal-super-block-corrupted-fsck-reperatur-nicht-möglich.236621/#post-2349995 //EDIT: Natürlich hat nicht LUKS den Schlüssel selbst zerhäckselt, sondern der Nutzer hat den genannten Verschlüsselungsheader zerstört, in dem der eigentliche Key verschlüsselt gespeichert war.

Daher also auch nochmal der Tipp: Wiederherstellungsschlüssel gut sichern! Einerseits gegen Fremde, denn hat jemand den Schlüssel, kommt er an alle Daten, auch bei später geändertem Passwort. Und andererseits gegen Abhandenkommen, denn wenn mal irgendwas ist, kann man mit diesem Schlüssel (je nach Fall) alles retten, nur mit dem Passwort dagegen nicht.

TPM ist dann in diesem Fall eher ein Komfortfeature. AFAIK wird der Wiederherstellungsschlüssel oder der eigentliche Verschlüsselungsschlüssel darin abgelegt, da ist bei Erkennung eines "sicheren" Systems dann sogar eine Entsperrung des Datenträgers ganz ohne Passwort oder Schlüssel möglich. Aber mit entsprechend niedrigerem Schutzniveau. Wenn man diese Automatik nicht braucht und auch kein eDrive oder OPAL-2 nutzen möchte, dann kann man BitLocker auch gut ohne TPM nutzen und hat einen Angriffsvektor weniger, aber auch ein Komfortfeature weniger.

Hat man den Wiederherstellungsschlüssel, kommt man aber immer an die Daten. Egal wie oft man das Passwort wechselt, egal ob ein TPM verwendet wurde oder nicht. Das TPM "wegzulassen" ist also kein Vorteil wenn man nur den TPM-Defekt-Fall betrachtet.
 
Zuletzt bearbeitet:
Grundsätzlich ja. Nur zäumt diese Herangehensweise das Pferd irgendwie von hinten auf, zumindest meinem Verständnis nach. Es gibt also diesen "Zwischenschlüssel", der die Platte immer entschlüsseln kann. Dieser wird von BitLocker mitverschlüsselt und liegt also in einem verschlüsselten "Fach". Wenn nun dieser Header kaputt geht wäre das in etwa gleichzusetzen mit einem Festplattenfehler, der ja durchaus mal passieren kann. Wenn dieser Fehler woanders auftreten würde, würde der Nutzer einen Block seiner verschlüsselten Daten verlieren. Nur hier wäre es eben die Achillesferse der Verschlüsselung. Die sollte jetzt nicht fehleranfälliger sein als irgendwelche anderen Daten auf der Platte. In dem verlinkten Fall mag LUKS das zerballert haben, oder wer weiss...

Allerdings bleibt ja die gewählte Methode der Entschlüsselung weiterhin das Passwort. Darum geht es im Kern. Man muss also diesen magischen Schlüssel *wieder* extra in ein verschlüsseltes Archiv oder dergleichen packen damit die eigene Sicherheit nicht trivial einfach umgangen werden kann. Dieses Archiv kann einen Datenfehler haben, der USB-Stick kann kaputt gehen. Oder der Einbrecher findet das Teil.

Statt den Schlüssel separat irgendwo zu speichern kann er auch gleich ein Live-Backup der ganzen Partition machen und tunlichst den Schlüssel *nicht* separat irgendwo hinterlegen. Er bleibt also nur im Header selber. Das Backup wird dann vom Backup-Programm selbst verschlüsselt, und man hat immer mehrere dieser Backups zur Hand.

Aber das ist nur meine eigene Herangehensweise. Für Privat passt das. (Und ich bin auch kein Sysadmin)
 
Zuletzt bearbeitet:
Schwartz schrieb:
Allerdings bleibt ja die gewählte Methode der Entschlüsselung weiterhin das Passwort.
Zum Vergrößern anklicken....

Nein, normalerweise konfiguriert man das ja eben mit der Entsperrung übers TPM. Für privat passt das, für die meisten Firmen auch.

Wem das nicht reicht, der baut eine Systemstart-PIN dazu. Dann kommt erst die PIN, danach wird dann der Schlüssel aus dem TPM geholt.

Schwartz schrieb:
Darum geht es im Kern. Man muss also diesen magischen Schlüssel *wieder* extra in ein verschlüsseltes Archiv oder dergleichen packen damit die eigene Sicherheit nicht trivial einfach umgangen werden kann. Dieses Archiv kann einen Datenfehler haben, der USB-Stick kann kaputt gehen. Oder der Einbrecher findet das Teil.
Zum Vergrößern anklicken....

Man druckt den Wiederherstellungsschlüssel aus und heftet ihn ab. Dass ein Einbrecher deine Unterlagen nach so einem Key untersucht, ist wohl sehr weit hergeholt.
 
der_ingo schrieb:
Wem das nicht reicht, der baut eine Systemstart-PIN dazu. Dann kommt erst die PIN, danach wird dann der Schlüssel aus dem TPM geholt.
Zum Vergrößern anklicken....

Wo siehst Du den Vorteil vom Systemstart-PIN gegeüber einem Passwort ohne TPM-Nutzung?
 
Sie ist kürzer. Man kann sie nur wenige Male probieren. Daher ist sie sicher, obwohl sie kurz ist.
Ein Passwort kann man beliebig oft probieren. Also muss es lang sein, um sicher zu sein. Das macht es umständlich.

Ich sehe beides allerdings als im Normalfall nicht notwendig und nutze die Entsperrung nur per TPM.
 
Du verwechselst da was. Wenn du Bitlocker des Boot-Volumes ohne TPM machst, musst du grundsätzlich eine Systemstart-PIN vergeben.

Nur wenn ein TPM verwendet wird, brauchst du keine zusätzliche Systemstart-PIN und die Anmeldung hängt am Passwort.

Falls man dann ein lokales Konto verwendet, ist das Setzen der genannten GPO sinnvoll. Wer ein Domänen- oder Microsoft-Konto verwendet, hat solche Richtlinien normalerweise darüber eh.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben