Passwörter,TPM,CSS: Verständnisfragen

D

Don Tango

New member
Themenstarter
Registriert
22 Okt. 2006
Beiträge
568
Habe mich heute mal Durch die Beiträge zum Thema Passortschutz geackert.
Habe viel gelernt, und hätte dennoch ein paar Fragen.

Was ich gelernt habe (Falls falsch bitte um Korrektur):

A.) Das Festplattenkennwort ist (zumindest für Privatnutzer) ganz nützlich, weil der Aufwand an die Daten ranzukommen höher als der Wert der Festplatte selbst ist.

B.) Das PowerOn Passwort ist reiner Jux und kann auch ohne größeres technisches Verständnis durch kurzzeitiges Entfernen der Bios-Batterie entfernt werden.
Jedenfalls solange kein Supervisor Passwort gesetzt ist, weil das dann benötigt wird, um im Bios fehlende Datumseinstellungen (wegen Batteriewechsel) vorzunehmen.

C.) Das Supervisorpasswort ist (bei deaktivierter Passphrase) bis zu 7 Zeichen lang, und schützt mein Bios vor unerlaubtem Zugriff , kann aber mit ein wenig gebastelter Hardware und etwas Zusatzsoftware ausgelesen werden.
Bei aktivierter Passphrase kann mann ein längeres Passwort (64 Zeichen) vergeben.

D.) Das Passwort des TPM-Chips wird bei mir beim Konfigurationsassistenten von CSS abgefragt, ist also die eigentliche Zugriffsbereichtigung (für CSS) auf den Chip?
(Kann mann das eigentlich ändern?)

Frage(n):
1.) Warum sollte ich die Passphrase aktivieren? Ein Dieb mit Ahnung kommt ohnehin ran, ein Gelegenheitsdieb knackt auch die 7 Zeichen nicht oder?
1a.) Hat das mit der Passphrase etwas mit dem TPM-Chip zu tun?
1b.) Brauche ich zwingend CSS dafür? (Ich weiss, das CSS noch mehr kann)
1c.) Entspricht diese Passphrase dem CSS verschlüsselungstext?
1d.) Verlängern sich auch die erlaubten Zeichenketten für HDP und POP?

2.) Eine Konfiguration des Systems ohne CSS benutzt für keine Aktion den TPM-Chip?
2a.) Benutzung der Fingerprint-Sofware(mit Reader ;) ) setzt ein gesetztes Supervisorpasswort voraus, hat aber außer dem Ablegen der Fingerabdrucksdaten nix mit dem TPM-Chip zu tun? Oder bringe ich da jetzt was völlig durcheinander?

3.) Unbedingt die Bootreihenfolge auf HD only setzen, wenn ich verhindern will, das sich Dritte mit Live-Betriebssystemen an die HD ranmachen können?
Obwohl ein Dieb kann die HD doch sowieso zu Hause ausbauen, und woanders einbauen? Hilft also nur gegen andere User, die das Gerät erlaubterweise mitbenutzen und nun kaputtspielen wollen? :D

4.) Funktion Wiederherstellung von kennwörtern in CSS
Habe mir die Hilfe durchgelesen. Eine bootbare Minipartition/-bereich auf der HD wird angelegt und ich kann mit F12 beim Systemstart dort hineinbooten und meine Hardwarekennwörter zurücksetzen.
Voraussetzung: POP und HDP sind gleich, bzw. wenn nicht, wird es so eingestellt. Habe ich doch jetzt richtig verstanden oder.
Frage: Macht es Sinn, so vorzugehen? Oder liegt gerade in der gemeinsamen Nutzung eines Passworts ein neues Risiko? Denn wer nur eins knackt hat beide.
4a.) Diese F12 Sache hat nix mit der versteckten Service-Partition zu tun?
4b.) Ist diese Funktion der Kennwortwiederherstellung auf der zu schützenden Maschine überhaupt sinnvoll? Erkauft mann sich hier nicht Komfortabilität mit Sicherheitsverlust? Oder kann mann das Ganze umgehen, in dem mann diese Key-Datei vom Rechner entfernt, und erst bei Bedarf auf einem externen Medium (USB-Stick) parat hat?

Für Antworten, Korrekturen, Beratung/Meinungen(mit Begründung) zum Thema wäre ich sehr dankbar.
Auch von Euch verwendete Konfigurationen zu beschreiben wäre ggfs. hilfreich.

Mein Gerät ist im Übrigen ein R60 mit Fingerprint Reader.

P.S.: Ja ich habe alle Passwörter noch. Frage mich nach heute Abend nur noch wozu. :D
 
Hi,

da ich im moment auch mit dem gedanken spiele meinen rechner mal zu "schützen" und Don Tango ziemlich genau meine restlichen fragen (ohne CSS) nach benutzung der sufu sehr schön formuliert hat, erlaube ich mir mal einen *schubs*

Nur eine weitere frage hätte ich noch: bringt ein win xp benutzerkonto passwort eigentlich irgendetwas?


mfg
aces
 
Um es kurzt zu machen: Nichts ist sicher.....leider.

Passphrase würde ich aber dennoch aktivieren, da so ein Auslesen des PW nicht möglich ist (löschen aber wohl).

Ohne Passphrase kann man es auslesen und auch für die HDD "testen".
Wenns das selbe ist, ist auch die HDD geöffnet.

Windows Account PW sind ebenso sinnlos.....
 
Hi,

interessant, von dem Ausleseschutz durch den passphrase-modus höre ich gerade zum ersten mal.

Also besteht der "höchstmögliche" schutz für den normalanwender aus passphrase-supervisor-passwort und hdd-passwort.
Zudem sollten alle passwörter unterschiedlich sein (behindert ja nicht die einmal-finger-anmeldung)
Damit stört man zumindest ernsthaft die weiterverwendung durch einen gelegenheitsdiebe und die daten sind relativ sicher.

Poweron- und windows-passwort sind für die fisch.

Bei wirklich wertvollen daten hilft nur eine ordentliche verschlüsselung.
Das ganze TP wirklich unbrauchbar zu machen ist allerdings nicht drin.


Korrekt?


mfg
aces
 
Was TPM und CSS angeht...
blicke ich auch noch nicht richtig durch!

Finde bisher auch leider keinerlei vernünftige Anleitungen dafür.
Weder hier, noch auf den Lenovo-Seiten.

Hier fehlt ganz klar ein gutes Tutorial mit sinnvollen Anwendungsbeispielen.
Sicherlich gibt es hier im Forum Anwender, welche ihr TP entsprechend abgesichert haben und aus der Praxis plaudern können.

Ich würde ein Tutorial in Sachen CSS und TPM sehr begrüßen! :)


Grussfrequenzen
 
Ein großes Lob an Don Tango, man sieht er hat sich mit der Materie beschäftigt und die Fragen sind wirklich punktuell und konkret formuliert.

Ich werde mal versuchen die Fragen zu beantworten so weit ich das kann. Doch zuerst nochmal kurz zur Definition von Passphrase damit es keine Unklarheiten gibt: Passphrase ist das Passwort eines Users mit dem man auch das Windows Passwort ersetzen kann wenn man will. Es wird über den TPM Chip gesteuert. Der TPM Chip selber hat auch noch ein Admin Passwort, man benötigt es nach einer Neuinstallation von CSS und falls man es nicht mehr weiß muss man den TPM Chip übers Bios löschen.

Was ist also Sinn und Zweck einer Passphrase gegenüber einem Windows Passwort?

Wie wir alle wissen ist ein Windows Passwort relativ schwach und man kommt leicht trotzdem an die Daten ran. Baut man nun die Festplatte aus und will die Daten auslesen, bekommt man nur diejenigen Daten die nicht über die Passphrase gesichert sind. Also so ziemlich alles außer die Passwörter aus dem Passwort Manager. In früheren Versionen von CSS gab es auch noch ein Verschlüsselungstool ähnlich Truecrypt und davor eine IBM-eigene Verschlüsselung. Damit hat meiner Meinung nach die Passphrase viel mehr Sinn und Schutz gegeben als mit CSS 8 wo Utimacos Private Security nicht mehr enthalten ist.

Man kann die Windows Anmeldung mit der Passphrase ersetzen. Der Sinn ist dass man sich nur einmal anmelden muss und dann die Applikationen die mit einer Passphrase geschützt sind sofort zugänglich sind (z.B. Passwortmanager).

Des weiteren kann man Rescue and Recovery Backups mit einer Passphrase versehen das über den TPM Chip verwaltet wird. D.h. man kann ein Backup das auf einem USB Laufwerk gespeichert ist, nicht auslesen ohne dass man sich über dem TPM Chip authentifiziert.

Also nun zu deinen Fragen (ausgenommen ist hier der Fingerprintreader, den habe ich selber noch nie benutzt):

1.) Warum sollte ich die Passphrase aktivieren? Ein Dieb mit Ahnung kommt ohnehin ran, ein Gelegenheitsdieb knackt auch die 7 Zeichen nicht oder?
Passphrase nur aktivieren wenn man den Passwortmanager, Private Security (nur CSS 7) benutzt oder Backups verschlüsseln will. Die Sicherheit des TPM Chips ist sehr hoch und bei einem geeigneten Passwort nur schwer knackbar. Will man allerdings weitere sensible Daten schützen, benötigt man Vollverschlüsselung oder zumindest Tools wie Truecrypt oder Utimacos Private Disk.

1.a) Hat das mit der Passphrase etwas mit dem TPM-Chip zu tun?
Ja, die Passphrase wird über den TPM Chip verschlüsselt. Sinn und Zweck eines TPM Chips kann man beispielsweise hier nachlesen: http://www.microsoft.com/germany/te...ary/29201194-5e2b-46d0-9c77-d17c25c56af3.mspx
1.b) Brauche ich zwingend CSS dafür? (Ich weiss, das CSS noch mehr kann)
Ja
1.c) Entspricht diese Passphrase dem CSS verschlüsselungstext?
Ja
1.d) Verlängern sich auch die erlaubten Zeichenketten für HDP und POP?
Davon habe ich noch nie gehört, bei meinem T40p sicherlich nicht. Aber das mag bei neueren T60 anders sein.

2.) Eine Konfiguration des Systems ohne CSS benutzt für keine Aktion den TPM-Chip?
So ist es.
2.a) Benutzung der Fingerprint-Sofware(mit Reader ) setzt ein gesetztes Supervisorpasswort voraus, hat aber außer dem Ablegen der Fingerabdrucksdaten nix mit dem TPM-Chip zu tun? Oder bringe ich da jetzt was völlig durcheinander?
Keine Ahnung, ich dachte immer die Fingerprint Software arbeitet nur mit CSS zusammen.

3.) Unbedingt die Bootreihenfolge auf HD only setzen, wenn ich verhindern will, das sich Dritte mit Live-Betriebssystemen an die HD ranmachen können?
Siehst du ganz richtig, gesetztes Supervisor Passwort vorausgesetzt.

4.) Funktion Wiederherstellung von kennwörtern in CSS Habe mir die Hilfe durchgelesen. Eine bootbare Minipartition/-bereich auf der HD wird angelegt und ich kann mit F12 beim Systemstart dort hineinbooten und meine Hardwarekennwörter zurücksetzen. Voraussetzung: POP und HDP sind gleich, bzw. wenn nicht, wird es so eingestellt. Habe ich doch jetzt richtig verstanden oder. Frage: Macht es Sinn, so vorzugehen? Oder liegt gerade in der gemeinsamen Nutzung eines Passworts ein neues Risiko? Denn wer nur eins knackt hat beide.
Habe ich noch nie verwendet, Passwort Recovery stellt für mich eher ein Risiko dar. Aber zur Frege wegen dem POP und HD Passwort: wenn die gleich sind ist das eigentlich nicht besonders schlimm, da POP ja leicht umgangen werden kann (nicht ausgelesen aber es kann gelöscht werden durch Abhängen der Bios Batterie). Man setzt POP und HD Passwort nur aus dem Grunde gleich, damit man beim Booten nicht mehrmals Passwörter eingeben muss.
4.a) Diese F12 Sache hat nix mit der versteckten Service-Partition zu tun?
F11 ist die Zaubertaste um in den Recovery Bereich zu kommen, F12 um ins Bios zu gelangen (glaube ich). Im Recovery Bereich kann man Backups restoren, den Auslieferungszustand wieder herstellen, Dateien retten und Passwörter wiederherstellen (falls man diese Funktionalität überhaupts konfiguriert hat)
4.b) Ist diese Funktion der Kennwortwiederherstellung auf der zu schützenden Maschine überhaupt sinnvoll? Erkauft mann sich hier nicht Komfortabilität mit Sicherheitsverlust? Oder kann mann das Ganze umgehen, in dem mann diese Key-Datei vom Rechner entfernt, und erst bei Bedarf auf einem externen Medium (USB-Stick) parat hat?
Sehe ich genauso. Deshalb am besten einfach nicht verwenden sondern lieber das Passwort gut einprägen.

Will man seinen Rechner wirklich vor den Zugriff auf sämtliche Daten schützen braucht man eine Vollverschlüsselung. Dazu gibt es verschiedene Software, Safeguard Easy z.B. lässt sich sehr gut in CSS und Rescue und Recovery integrieren, womit dann auch ein Backup der verschlüsselten Platte möglich ist (was sonst eher umständlich ist). Nur so hat man 100%igen Schutz (bei ausreichend langem Passwort).

Demnächst wird es Festplatten geben die eine Verschlüsselung schon integriert haben, das wird dann zumindest Vollverschlüsselungssoftware weitestgehend überflüssig machen (falls man den Festplattenherstellern überhaupts traut und keine Backdoor eingebaut ist).
 
Original von Dreamcatcher
Was TPM und CSS angeht...
blicke ich auch noch nicht richtig durch!

Finde bisher auch leider keinerlei vernünftige Anleitungen dafür.
Weder hier, noch auf den Lenovo-Seiten.

Hier fehlt ganz klar ein gutes Tutorial mit sinnvollen Anwendungsbeispielen.
Zum Vergrößern anklicken....

Gibt es...einfach mal nach "Client Security Solution Implementierungshandbuch" googeln oder hier direkt folgender Link:
ftp://ftp.software.ibm.com/pc/pccbbs/thinkvantage_en/css80dg_gr.pdf

Weiterhin kann man über den Aufruf des Programms Client Security Solution unter dem Menüpunkt "Hilfe" auf "Benutzerhandbuch" klicken und damit ein PDF aufrufen.

Beide Dokumente erklären eine ganze Menge.

Gruß
Frank
 
Supi!
allright.gif


Wo kommt denn das nette PDF her?
Ehrlich, ist mir bis jetzt nie aufgefallen...

Merci, die Lektüre werde ich mir gern reinziehen!

danke.gif
für den Link!
 
Hi,

vielen dank s0larist für deine ausführungen.

Da ich bislang allerdings noch nie CSS installiert hatte ist einiges für mich noch nicht ganz nachvollziehbar. Und ehrlich gesagt sträube ich mich auch dagegen, da ich eigentlich keine der mir bekannten funktionen (Verschlüsselung, passwordmanager, r&r-einbindung) brauche.

Die fingerprint-sw funktioniert jedenfalls auch ohne ganz normal.

Bringt das aktivieren der passphrase im bios jetzt den "ausleseschutz"?
Und ist der TPM ohne CSS vollkommen nutzlos?

Nochmals danke, aber für genauere nachfragen muss ich mich noch ein wenig schlaumachen ;)


mfg
aces
 
Moin,

der beste Schutz ist, auf sein Notebook aufzupassen. Alles andere nützt nichts.
CSS bringt meiner Meinung nach nicht so viel. Einzig das Vollverschlüsseln privater Dateien mit z.B. TrueCrypt macht Sinn.

Der Fingerprintsensor ist sicherlich aus Gründen der Bequemlichkeit interessant. Man braucht sich keine Passworte mehr zu merken. Leider war bei mir genau das das Problem - irgendwann hatte ich einige Passworte vergessen.
Und an anderen Workstations habe ich auch keinen Fingerabdrucksensor - also was soll´s?
 
Vielen Dank s0larist. Danke für die Zeit und Mühe.

Dank auch an acesulfam fürs pushen. :)

@ qwertz & frimp
Mir ist durchaus bewußt, daß die ganzen Sicherheitsfeatures mich nicht vor dem eigentlichen Diebstahl bewahren. Aber mir geht es eben darum meine persönlichen Daten etc. mit vertretbarem Aufwand zu schützen.

So weiter...
Original von acesulfam
...Bringt das aktivieren der passphrase im bios jetzt den "ausleseschutz"?
Und ist der TPM ohne CSS vollkommen nutzlos?...
Zum Vergrößern anklicken....
1.) Was für einen Ausleseschutz meinst Du?

2.) Ohne CSS werden im TPM die Fingerabdruckdaten gespeichert, und das Supervisorpasswort auch (oder?). Das ist dann insofern der höchstmögliche Schutz für die Hardware, als daß der neue Besitzer am Gerät rumbasteln muss, was eben nicht alle können.


Also nochmal: Will mann seine Daten schützen setzt mann ein HD-Passwort und/oder setzt Verschlüsselungssoftware ein. Ein Dieb setzt dann eine neue HD ein, und benutzt das Gerät ganz normal weiter.
(Die Daten sind aber weitesgehend sicher, weil der Dieb nicht ohne Weiteres an den HD-Inhalt rankommt)

Will mann einem Dieb dann noch von der Benutzung der eigentlichen Hardware abhalten, oder ihm zumindest den Zugriff erschweren, dann setzt mann noch ein Supervisorpasswort.
Auch dieses ist eben knackbar. Für die Geräte mit altem TPM Chip ist die Software gar kostenlos. Nur die Hardware muss mann sich basteln, aber ich denke die ist bei solchen Leuten ohnehin bereits vorhanden. Die klauen nicht nur ein Gerät. :rolleyes:

Der User namens Troubadix hat sogar mal gesagt, daß es bei den Hardware-Sicherheitsfeatures eher darum geht, anderen (Mit-)Benutzern Zugriff auf die Hardware zu verwehren. Also Mitarbeitern/Freunden/Familienmitgliedern die Möglichkeit zu nehmen etwas zu verbasteln.

Denn wenn das Gerät erstmal gestohlen wurde, dann hat ein Dieb alle Zeit der Welt sich Zugang zur Hardware zu schaffen. Auch kann er eben das Gehäuse öffnen, und sich an den Chip selber ranmachen.
(Ich hoffe ich habe Troubadix hier richtig zitiert)

Für mich hat sich die Frage gestellt, ob ich CSS überhaupt einsetzen sollte oder nicht. Ich setzte nämlich v7 ein, und nutzte bisher die enthaltene Verschlüsselungssoftware. Da ich nun aber überlege künftig die dort abgelegten Dateien auf einem (verschlüsselten) USB-Stick abzulegen, scheint es in der Tat so, daß die CSS-Software (für meinen Bedarf) unnötig geworden ist.
Was sich ja im Endeffekt mit den Aussagen von s0larist undacesulfan deckt.
 
Hi,

ich meinte diesen post von qwertz
Original von qwertz
Passphrase würde ich aber dennoch aktivieren, da so ein Auslesen des PW nicht möglich ist (löschen aber wohl).

Ohne Passphrase kann man es auslesen und auch für die HDD "testen".
Wenns das selbe ist, ist auch die HDD geöffnet.
Zum Vergrößern anklicken....

Hier frage ich mich halt ob der erwähnte "ausleseschutz" auch ohne css gilt.
Immerhin habe ich auch im bios die möglichkeit passphrase zu aktivieren.
(Aber ich muss gestehen, dass ich diesen punkt noch nicht testweise aktiviert hae um zu schauen ob man dann auch wirklich ein längeres sp eingeben kann.

Css habe ich mir angeschaut, allerdings will ich es nicht nutzen.
Daher die frage wie "sicher" man sein tp ohne css bekommt.

-Unbrauchbarkeit der Daten durch hdd-pw scheint ja zu klappen.
-Unbrauchbarkeit des TP für gelegenheitsdiebe durch hdd-, sp-pw und richtige bootreihenfolge auch ok, oder?
-Aber wie kompliziert ist es für einen "profi"?


mfg
aces
 
Ja ich denke genau das meint qwertz. CSS fasst halt teilweise Funktionen des Geräts zusammen, die auch woanders erreichbar wären.

Im Übrigen sind die Daten durch das HDP nicht "unbrauchbar". Mann braucht eben das PW um ranzukommen. Dies könnte mann wohl über ein professionelles Datenrettungsunternehmen erreichen, aber die Kosten übersteigen den (Material-)Wert der HD. Eine Möglichkeit zum Knacken/Entfernen des HDP im Privatbereich ist mir nicht bekannt. Falls jemand mehr weiß, dann lasse er es mich wissen.
Deshalb meine Aussage zum Nutzen des HDP. (für mich)


Zur Frage Aufwand für den Profi.
Du solltest Dich von dem Gedanken lösen, daß ein eventueller Dieb Dein Gerät niemals benutzen kann. Geklaut ist geklaut. Wer weiß wie oft Dritte an diesem Gerät rumhantieren.
So ein Gerät will ich eh nie wiedersehen. (Es sei denn ich bräuchte die Daten.)

Wenn Du mal das Forum durchforstest, wirst Du einige Hilferufe von Usern finden, die das Supervisor-Passwort verloren/vergessen/nieee eingegeben haben, und nun nicht an das Bios kommen.
Über verschiedene Threads und Links verteilt, findest Du eigentlich alle Infos.

Nötig:
a) Zugang zum Gerät/TPM-Chip (Gehäuse öffnen)
b) Eine kleine Platine mit ein paar Bausteinen, Anschlüssen, Kabelei
(Nix für Neulinge, aber für ambitionierte Bastler mit nem Elektroniklötkolben machbar)
c) Die Software. Ab der T60/R60 Serie gab es einen neuen (komplizierteren) TPM-Chip. Da kostet die Software Geld. Für ältere Geräte (T4*/R5*) ist die Software gar kostenlos.

Also schütze Deine Daten mit HD-Passwort, Verschlüsselungssoftware, Auslagerung und vergiss den Rest. Sobald jemand Zugang zum Gerät hat, und Zeit das Gehäuse zu öffnen (Dieb), kann er auch irgendwann die Hardware benutzen.
 
Also HD-Passwörter (so flüsterte mir einmal ein Datenschutzbeauftragter der Kripo) kann man durch das spiegeln der Festplatte umgehen, wie genau, das weiß ich nicht, und wenn, dann wäre es glaube ich illegal/nicht schlau hier zu posten.

Aber die ganze Thematik hat mich auch schon in ihren Bann gezogen. Da jedoch die angebotenen Möglichkeiten alle irgendwie nicht so extrem sicher und zuverlässig sind, setze ich bei heiklen Daten auf eine Vollverschlüsselung, allerdings bisher nur bei USB-Sticks.

Mfg sightus
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben