T14*/T15* Verschlüsselung + Sicherheit

[Frank2020]

Hallo liebe Community,
ich bin von Dell nun das erste Mal zu Lenovo gewechselt und seit drei Tagen stolzer Besitzer eines T14s AMD.
Ein wirklich tolles Gerät.
Ich habe jedoch eine Frage zum Thema Sicherheit und Verschlüsselung:
Lenovo wirbt ja damit, dass alle Daten automatisch verschlüsselt werden - muss ich da noch irgendetwas aktivieren und wie genau funktioniert diese Verschlüsselung? Angenommen mein NB wird gestohlen-die Diebe können nicht an die Daten? Ich habe doch gar kein Passwort oder ähnliches gesetzt?!
Was hat es im Bios mit dem "TMSE" auf sich? Das ist bei mir deaktiviert - aber das ist doch auch eine Verschlüsselungstechnologie oder?
Macht es Sinn im Bios das Supervisor-Passwort zu setzen und wo genau ist der Unterschied zum Management User Password?

Fragen über Frage...sorry dafür aber ich hoffe trotzdem auf Antworten und bedanke mich schon jetzt!

Frank

 

[boisbleu]

Das ist eine Frage, die immer wieder aufkommt. Wenn ich das richtig sehe, dann ist in den aktuellen Geräten eine selbstverschlüsselte SSD eingebaut, also ein Speicher mit Hardwareverschlüsselung. Da eben dies vor einiger Zeit Thema in der Security-Welt war und das nicht ganz astrein funktioniert ( https://www.heise.de/security/meldu...den-SSDs-ohne-Passwort-einsehbar-4212191.html ), hat Microsoft sein Bitlocker komplett auf Software-Encryption umgestellt bzw. empfiehlt es ebenso zu nutzen ( https://www.heise.de/security/meldu...enftig-Hardware-Verschluesselung-4543170.html ).

Mit dem Supervisor-Passwort schützt du den Zugriff auf das BIOS, das sollte auf jeden Fall gesetzt sein. Zudem kannst du bestimmen, ob abgefragt wird, wenn die Bootlist mit F12 aufgerufen wird. Ein Startpasswort kann zusammen mit einem Festplattenpasswort vergeben werden. Ob das sicher ist, ist fraglich. Zumal bei jedem neuen Gerät neue Features eingeführt, aber auch neue Lücken mitgeliefert werden.

Mein Vorschlag: Supervisorpasswort setzen, Bootmenu (F12) schützen und die SSD mit Bitlocker und PIN (6-stellig) verschlüsseln. Soweit ich weiß, kann der PIN nur ein paar Mal (falsch) eingegeben werden, danach verlangt das System das Wiederherstellungskennwort. Das wiederum solltest du dir irgendwo extern speichern (z.B. in einem Passwortmanager auf dem Smartphone).

Mehr Lesestoff zu Bitlocker gibt es hier: https://administrator.de/wissen/wissenssammlung-bitlocker-387449.html

Gruß Tom

 

[Frank2020]

Hallo boisbleu,
danke für deine schnelle und ausführliche Antwort!
Also sollte ich im BIOS auch dieses "TSME" deaktiviert lassen?
Wie macht sich denn der Bitlocker im Alltag bzgl. Performance-Verlust sichtbar? Ist das spürbar?
Kannst du mir evtl. in drei Sätzen erklären, wie der Bitlocker arbeitet? Bzw. wie er meine Daten vor fremden Zugriff schützt?

- - - Beitrag zusammengeführt - - -

Habe mir das mit dem Bitlocker durchgelesen...verstehe ich nun
Aber im Alltag macht sich der Einsatz nicht bemerkbar oder?

 

[boisbleu]

Was TSME ist weiß ich auch nicht - evtl. die Fernwartungsfunktion?

Die Performanceeinbuße bei Bitlocker ist definitiv messbar, spielt in der Praxis aber keine Rolle. Die Notebooks sind so performant was CPU und Massenspeicher angeht, dass du dich da entspannen kannst. Vermutlich ist die Festplatte eh schon verschlüsselt, nur noch nicht aktiv. Für die PIN-Eingabe musst du mit gpedit.msc noch eine Richtlinie aktivieren (siehe Screenshots).

Bitlocker verschlüsselt die Daten auf der Festplatte, der Schlüssel dazu wird im TPM hinterlegt. Baust du die Festplatte aus, fehlt der Schlüssel, ergo sind die Daten nicht lesbar. Mit der PIN erhöhst du die Sicherheit, weil das dann im Prinzip eine 2-Faktor-Authentifizierung ist. Ohne PIN startet das System durch, die Daten sind entschlüsselt und damit steht das System für alle anderen Arten von Angriffen offen.

Gruß Tom

 

[Frank2020]

Danke, Tom - nun habe ich alles verstanden!!

 

[Aiphaton]

Bitte merk dir das PW aber wirklich gut, gerade das Supervisor-PW. Sonst hast du ggf. einen Backstein rumliegen .

 

[Frank2020]

Könnte man nicht auch theoretisch auch mit dem Fingerprint arbeiten? Meinen Finger verliere ich ja nicht so schnell ;-)

 

[sigur]

Aber die Abdrücke sind dafür überall auf dem Reechner zu finden. Sofern du natürlich nur mit dem 2 Finger Adler Suchsystem arbeitest bietet sich natürlich ein Abdruck der ungenutzten Finger an(kleiner Finger der linken hand oder ähnlich)

 

[boisbleu]

Ich nutze das nicht, weil ich Dualboot und Dockingstation habe. Da macht Fingerprint nur Probleme.

 

[Frank2020]

Was genau bedeutet denn Dualboot?
Eine Dockingstation habe ich mir jetzt auch bestellt.

 

[Mornsgrans]

Könnte man nicht auch theoretisch auch mit dem Fingerprint arbeiten? Meinen Finger verliere ich ja nicht so schnell ;-)

Und wenn der FPR defekt oder aus Versehen deaktiviert wurde?

Passwort aufschreiben, eingeben (im UEFI ist US-Tastaturbelegung aktiv!!) - Passwort unter Verschluss, aber wiederauffindbar aufbewahren.

 

[foobar123456]

Was genau bedeutet denn Dualboot?

Dualboot bedeutet, dass zwei Betriebssysteme installiert sind, z.B. Windows und eine Linuxdistribution. Aber auch eine andere Kombination ist denkbar.

 

[mcb]

Könnte man nicht auch theoretisch auch mit dem Fingerprint arbeiten? Meinen Finger verliere ich ja nicht so schnell ;-)

Das ist nicht die beste Idee :huh: Aber Bitlocker unterstützt das nicht ...

Ich nehme entweder Bitlocker mit TPM (Bootet durch) /// oder Bitlocker Pin/ Passwort beim start (ohne TPM).

Du kannst zusätzlich ein Festplattenpaßwort im Bios setzen (das macht sich gut).

- - - Beitrag zusammengeführt - - -

..............................

Wie macht sich denn der Bitlocker im Alltag bzgl. Performance-Verlust sichtbar? Ist das spürbar?
Kannst du mir evtl. in drei Sätzen erklären, wie der Bitlocker arbeitet? Bzw. wie er meine Daten vor fremden Zugriff schützt?

- - - Beitrag zusammengeführt - - -

Habe mir das mit dem Bitlocker durchgelesen...verstehe ich nun
Aber im Alltag macht sich der Einsatz nicht bemerkbar oder?

Der Einsatz ist nicht bemerkbar von der Geschwindigkeit (messen kann man ihn ev.)

Du merkst es bei der Passworteingabe, oder wenn du den Recoverykey eingeben darfst ...