Windows 10 + BitLocker mit Hardwareverschlüsselung

[TheNewOne]

Guten Tag,
ich habe endlich mal ein Notebook (T540p [Windows 10]) und möchte meine Dateien natürlich schützen falls das Notebook wegkommen sollte. Also dachte ich geil: BitLocker über Hardware, dann wird auch der Akku geschont.
Nun kann ich aber BitLocker nicht über die Hardwareverschlüsselung aktivieren (ein Indiz: Frage ob das gesamte Laufwerk verschlüsselt werden soll oder nur der belegte Platz, zusätzlich habe ich die Richtlinie
so festgelegt das sie nur Hardwareverschlüsselung zulässt -> BitLocker nicht aktivierbar).

Dinge die ich vor der Windows Installation gemacht habe:

UEFI-only Modus
Secure Boot -> dadurch CSM deaktiviert
Security Chip aktiviert

Dannach habe ich Windows installiert mit der entstprechenden "3-Partitionen-Formatierung" (automatisch).
Im Windows Geräte-Manager wird mir das TPM-Modul angezeigt

Als SSD verwende ich eine Sandisk X300s welche TCG Opal 2.0,
IEEE 1667, eDrive und AES 256 unterstützt.

Weiterhin habe ich den AHCI-Treiber von Intel, aber auch den von Windows probiert, es funktioniert mit beiden nicht.

Habt hier jemand Erfahrung wie ich die BitLocker-Hardwareverschlüsselung aktiv bekomme?

 

[cuco]

zusätzlich habe ich die Richtlinie so festgelegt das sie nur Hardwareverschlüsselung zulässt -> BitLocker nicht aktivierbar

Das ist auf jeden Fall schon mal ein Fehler. Auch wenn es nicht logisch erscheint, muss die Gruppenrichtlinie "Verwendung der hardwarebasierten Verschlüsselung für Betriebssystemlaufwerke konfigurieren" am besten unkonfiguriert bleiben, alternativ den Haken bei "Softwarebasierte Verschlüsselung von BitLocker verwenden, wenn keine hardwarebasierte Verschlüsselung verfügbar ist" gesetzt sein. Ebenso verhält es sich mit den TPM-Einstellungen bei "Zusätzliche Authentifizierung beim Start anfordern". Logisch ist das zwar nicht, aber wenn man hardwarebasierte Verschlüsselung sowie die Nutzung eines TPMs erzwingt, funktioniert es nicht mehr. Erlaubt man die Nutzung ohne TPM und die softwarebasierte Verschlüsselung, nutzt Windows trotzdem korrekt das TPM und die Hardwareverschlüselung der SSD.

Dinge die ich vor der Windows Installation gemacht habe:
UEFI-only Modus
Secure Boot -> dadurch CSM deaktiviert
Security Chip aktiviert

Klingt korrekt.

Dannach habe ich Windows installiert mit der entstprechenden "3-Partitionen-Formatierung" (automatisch).

Klingt auch korrekt. Du meinst, alle Partitionen löschen, den freien Bereich im Installer anklicken und einfach auf "Weiter" klicken?
Je nach SSD ist das aber noch nicht ausreichend. Meist ist auch noch ein Secure Erase der SSD vorher nötig (danach nichts mit der SSD machen, einfach nur Windows-Installer im UEFI-Modus booten, freien Speicher der SSD als Ziel auswählen (ohne Partitionen anzulegen) und dann auf Weiter klicken.
Bei den Samsung-SSDs muss man sogar erst ein Windows installieren, den Samsung Magician installieren & starten, im Magician auswählen, dass man den eDrive-Modus aktivieren möchte, dann Secure Erase ausführen (mit dem dafür meist nötigen Ausbauen und Einbauen der SSD im laufenden Betrieb, weil sonst der SATA-Security-Status "frozen" ist) und dann Windows in den freien Bereich installieren.

Weiterhin habe ich den AHCI-Treiber von Intel, aber auch den von Windows probiert, es funktioniert mit beiden nicht.

Welche Version vom RST/AHCI-Treiber hast du benutzt? Es gab bzw. gibt da eine Version von Intel, die eDrive "zerstört". Glaube 12er Versionen bis 12.5 oder so waren betroffen. Das war so extrem, dass man ab der Installation des Treibers eDrive bis zur Neuinstallation von Windows nicht mehr aktivieren konnte. War eDrive zum Zeitpunkt der Treiberinstallation schon aktiv, konnte man es zwar weiter nutzen, es wurde aber als inaktiv angezeigt und daher konnte man es auch nicht mehr administrieren (keine Passwortänderung etc.). Daher: Microsoft-AHCI-Treiber benutzen, AHCI-Treiber von Intel nur installieren, wenn erstens alles definitiv läuft und zweitens der Treiber definitiv eDrive-kompatibel ist.

 

[TheNewOne]

Die Richtlinie habe ich nur zum testen gesetzt. Ist auch wieder zurück auf standart. Okay, einen Secure Erase habe ich nicht gemacht, da muss ich mich dann mal nächste Woche drum kümmern. Ich hatte die RST Version 14.irgendwas. Also wo bugs behoben sein sollen. Ist das manuelle freischalten des eDrive-Modi bei Sandisk notwendig? Ich kann weder über google noch über das Dashboard eine solche Option (wie bei Samsung) finden. Muss ich vielleicht das TPM manuell initialisieren oder so? Warum ist eigentlich ein Secure Erase notwendig?

 

[cuco]

Ja leider unterscheiden sich die Aktivierungsmethoden von Hersteller zu Hersteller leicht Das sorgt nicht gerade für Klarheit.

Im Dashboard von Sandisk kann man wohl auch den Security-Status checken: http://downloads.sandisk.com/downloads/um/ssddashboard-um-en.pdf Kapitel 3.5. Ebenso kann man dort ein Secure Erase (sie nennen es Crypto-Erase) ausführen, Kapitel 5.5 - wobei das eDrive auch gleich mit deaktivieren soll. Könnte aber trotzdem helfen, um auch einen "cleanen" Zustand zum (wieder-)aktivieren von eDrive zu schaffen. In Kapitel 7.2 gibt es noch eine Anleitung, wie man eDrive deaktivieren kann. Irgendwie widerspricht das Kapitel 5.5, dass das einfach via Secure-Erase/Crypt-Erase geht. Vielleicht solltest du dir das nochmal anschauen und dir die dort genannte README genauer ansehen, kann sein, dass man dort noch Infos findet, die interessant sein könnten.

Warum man unbedingt einen Secure-Erase vorher ausführen sollte, ist eine gute Frage. Vermutlich einfach, um einen neuen, sicheren, noch definitiv "ungeleakten" Sicherheitsschlüssel zu erstellen, mit dem die Daten intern verschlüsselt werden.

Am TPM muss man eigentlich nichts machen. Du kannst aber natürlich trotzdem mal "tpm.msc" in die Suche unten bei Windows eintippen und das Suchergebnis starten. Dort solltest du mehr über dein TPM-Modul erfahren. Ggf. einmal mal alles zurücksetzen/löschen lassen. Dann bist du auf der sicheren Seite.

 

[TheNewOne]

Zumindest steht bei Crypto-Erase: "Also, OPAL or eDrive security will be deactivated so that the drive can be reused with any compatible security application.". Also muss ich doch nochmal alles zurücksetzen :/.

 

[TheNewOne]

Also ich habe ein Secure Erase gemacht (allerdings mit einem Lenovo Tool) und dann Windows installiert. Dannach wollte ich gleich BitLocker aktivieren, aber er geht immer wieder in den Software-Modus. Hat noch jemand eine Idee?

 

[think_pad]

Hat noch jemand eine Idee?

Die SanDisk X300s bietet CIOs und IT-Entscheidungsträgern eine Speicherlösung, die die reduzierte TCO, Datenverlustprävention, Compliance und die höheren Geschäftsproduktivitätsanforderungen der heutigen Unternehmensumgebungen adressiert.

Das SSD-Laufwerk verwendet eine AES 256-bit FIPS 197 zertifizierte Hardware-Kryptomaschine; Dies ermöglicht eine vollständige Festplattenverschlüsselung ohne die Leistungsbehinderung, die normalerweise bei der Verwendung von Software-basierter Verschlüsselung auftritt.

Darüber hinaus ist das X300s so konzipiert, dass es mit TCG Opal 2.0 und Microsoft Encrypted Festplatte kompatibel ist und kompatibel mit branchenüblichen Sicherheitsspezifikationen wie IEEE 1667 ist. Es verfügt auch über ein fortschrittliches Power Management mit DEVSLP Low-Power-Modus, das Microsoft InstantGo ermöglicht .

Die SanDisk X300s SSD ist exklusiv mit dem EMBASSY Security Center (ESC) von Wave System im Rahmen der kommenden SanDisk SSD Dashboard Software Suite ausgestattet. Wave's ESC ist eine lokale Client-Anwendung, die die X300s verwaltet, indem sie festlegt, wer auf die verschlüsselten Daten über Benutzer- und Passwort-Setup zugreifen kann. Mit dem ESC von Wave markiert der X300s SSD SanDisk als einziger Laufwerkshersteller die lokale Verwaltung mit jedem Laufwerk. alle ohne zusätzliche Kosten.

Quelle

--> http://www.chip.de/downloads/SanDisk-SSD-Dashboard_83057942.html

Darin ist die EMBASSY Security Center (ESC) von Wave System enthalten, mit der man auf die X300s lokal zugreift und sie aktiviert.

P.S. Da ich selbst keine X300s habe, kann ich das allerdings nicht verifizieren...

 

[TheNewOne]

Die Software will nicht starten da etwas mit dem TPM nicht stimmt. Da vermute ich auch einen Fehler. Wie bekomme ich denn das TPM richtig zum laufen?

Ich habe im tpm.msc auf TPM löschen gedrückt. Aber ich kann dann nicht auf TPM vorbereiten drücken da dies ausgegraut ist.

 

[think_pad]

Die Software will nicht starten da etwas mit dem TPM nicht stimmt. Da vermute ich auch einen Fehler. Wie bekomme ich denn das TPM richtig zum laufen?

Normalerweise deaktiviert man das TPM im BIOS, bevor man WINDOWS installiert. Dann schaltet man später das TPM im BIOS dazu und vergewissert sich im Gerätemanager, dass alle 49 TPM-Kugeln und das TPM-Ziehungsgerät ordnungsgemäß funktionieren...

Jetzt ist WINDOWS an das TPM des ThinkPad-Gerätes "gebunden", damit ist auch die SSD nicht mehr einfach so tausch- bzw. klaubar, das ist der Sinn von TPM.

Und nun sollte es eigentlich ohne "Ausgrauung", also geschwärzt, laufen.

P.S. Aber wie gesagt, ich mache das alles "blind" ohne X300s und Software. Was da wirklich bei dir auf dem Display steht, kann ich nicht sagen, und ich gehe auch davon aus, dass ein SATA-Passwort schon gesetzt wurde...

 

[cuco]

Die Software will nicht starten da etwas mit dem TPM nicht stimmt. Da vermute ich auch einen Fehler. Wie bekomme ich denn das TPM richtig zum laufen?
Ich habe im tpm.msc auf TPM löschen gedrückt. Aber ich kann dann nicht auf TPM vorbereiten drücken da dies ausgegraut ist.

Ich sitze gerade an einem Rechner ohne TPM, daher kann ich es nicht verifizieren. Aber AFAIK muss man nach dem Druck auf Löschen eigentlich neu starten und das BIOS wird dich per Sicherheitsabfrage nochmal darum bitten, den Löschvorgang zu bestätigen. Nach dem Neustart sollte man das TPM vorbereiten bzw. den Besitz übernehmen können und dabei auch weitere Versuche, das TPM zu übernehmen, mit einem Keyfile und/oder Passwort absichern können.
Allerdings ist das, so weit ich mich erinnern kann, eigentlich nicht nötig bzw. wird von Windows automatisch bei der Installation erledigt.

Du kannst aber nochmal die BIOS-Einstellungen checken. Jedes BIOS implementiert die TPM-Features leider etwas anders. Bei manchen kannst du gar nichts einstellen, bei manchen, ob TPM überhaupt aktiv sein soll, bei manchen, welche Features erlaubt sein sollen (z.B. Löschen erlauben ja/nein, Besitzübernahme erlauben ja/nein, usw.) und bei manchen kannst du manche dieser Features auch direkt aus dem BIOS heraus aufrufen (z.B. das TPM löschen). Und dann kannst du oft noch wählen, welche TPM-Variante benutzt werden soll. Die 1.x oder die 2.0. Mit beiden funktioniert BitLocker, bei 1.x muss es aber mindestens 1.2 sein, sofern ich mich richtig erinnere. Andererseits ist mir noch nie ein TPM < 1.2 untergekommen. Ggf. kannst du aber hier nochmal die Einstellungen checken und ggf. die TPM-Version wechseln.

Normalerweise deaktiviert man das TPM im BIOS, bevor man WINDOWS installiert. Dann schaltet man später das TPM im BIOS dazu und vergewissert sich im Gerätemanager, dass alle 49 TPM-Kugeln und das TPM-Ziehungsgerät ordnungsgemäß funktionieren...

Für BitLocker ist es eigentlich umgekehrt. TPM muss bei der Installation schon aktiv sein, damit es funktioniert. So war es zumindest bei mir.

 

[think_pad]

Für BitLocker ist es eigentlich umgekehrt. TPM muss bei der Installation schon aktiv sein, damit es funktioniert. So war es zumindest bei mir.

Wenn man "dieses" zu installierende WINDOWS ausschließlich mit "diesem" ThinkPad und "dieser" SSD verwenden will, ist das auch richtig.

Man braucht dann ein unverschlüsseltes, externes Backup...

 

[cuco]

Wenn man "dieses" zu installierende WINDOWS ausschließlich mit "diesem" ThinkPad und "dieser" SSD verwenden will, ist das auch richtig.

Das ist doch gerade der Sinn einer Absicherung mit Hilfe des TPM. :facepalm:

Man braucht dann ein unverschlüsseltes, externes Backup...

Ich habe keinerlei unverschlüsselte Backups. Und nun?

 

[think_pad]

Das ist doch gerade der Sinn einer Absicherung mit Hilfe des TPM. :facepalm:

Ja, wenn man sich dazu entschieden hat. Unter Umständen will man die Hardware aber auch tauschen, weil sie defekt ist oder weil man sich "vergrößert".

Es gibt sehr verschiedene Szenarien, ob man mit oder ohne SATA-Password, mit oder ohne TPM, mit software- oder hardwaereseitiger Verschlüsselung arbeitet.

Ich habe keinerlei unverschlüsselte Backups. Und nun?

Dann bekommt man Schwierigkeiten, wenn sich z.B. der Controller des Mainboards oder der SSD mal aufhängt, oder das BIOS streikt oder dergleichen.

 

[cuco]

Ja, wenn man sich dazu entschieden hat. Unter Umständen will man die Hardware aber auch tauschen, weil sie defekt ist oder weil man sich "vergrößert".

Tauscht man die SSD, muss man BitLocker neu einrichten (am besten, in dem man neu installiert), weil für die Hardwareverschlüsselung der SSD nun mal SSD und TPM zusammenspielen müssen. Das gleiche gilt auch umgekehrt, steckt man die SSD in ein anderes Gerät, fehlt der passende Schlüssel im TPM (und Bitlocker würde eh meckern, weil sich die Hardware geändert hat).
eDrive verdongelt also quasi die SSD mit der restlichen Hardware. Was wie gesagt ja auch der Sinn ist - neben der Sicherheit der Daten natürlich. Daher muss man da nichts nachträglich "ans Gerät binden", sondern einfach alles gleich so "verdongeln", wie es der Sinn und auch die nötige Bedingung von eDrive ist.
Und für den Notfall gibt es halt ja den Wiederherstellungsschlüssel. Wenn die Hardware aufgibt und man die SSD an einem anderen Rechner auslesen muss z.B.

Es gibt sehr verschiedene Szenarien, ob man mit oder ohne SATA-Password, mit oder ohne TPM, mit software- oder hardwaereseitiger Verschlüsselung arbeitet.

Hä?

Dann bekommt man Schwierigkeiten, wenn sich z.B. der Controller des Mainboards oder der SSD mal aufhängt, oder das BIOS streikt oder dergleichen.

Welches Schwierigkeiten? Wenn der Controller meines Mainboards aufgibt oder mein BIOS streikt oder die SSD aufgibt, greife ich halt auf mein Backup zu. Dafür ist es da. Dass das verschlüsselt ist, ist doch egal. Ich gebe mein Passwort ein, entschlüssele damit mein Backup und fertig.

 

[think_pad]

Welches Schwierigkeiten? Wenn der Controller meines Mainboards aufgibt oder mein BIOS streikt oder die SSD aufgibt, greife ich halt auf mein Backup zu. Dafür ist es da. Dass das verschlüsselt ist, ist doch egal. Ich gebe mein Passwort ein, entschlüssele damit mein Backup und fertig.

Das Du das so machst, ist mir schon klar! Aber wenn ich an vielen anderen Privatpersonen denke, die ihre Platte verschlüsseln, es vergessen und dann eines Tages vor einem defekten System stehen, da rate ich dann lieber zu einem unverschlüsseltem Backup.

 

[cuco]

Dann kann man sich die Verschlüsselung oft auch gleich sparen...

 

[der_ingo]

Im Normalfall werden mobile Geräte geklaut und keine zu Hause sicher gelagerten Backup-Platten. Insofern ist ein unverschlüsseltes Backup sinnvoll.

 

[think_pad]

Im Normalfall werden mobile Geräte geklaut und keine zu Hause sicher gelagerten Backup-Platten. Insofern ist ein unverschlüsseltes Backup sinnvoll.

Cuco? ... Höre, was der_Ingo sagt, und nimm bitte die Hand von meiner Gurgel!

 

[cuco]

Im Normalfall werden mobile Geräte geklaut und keine zu Hause sicher gelagerten Backup-Platten. Insofern ist ein unverschlüsseltes Backup sinnvoll.

Hm da hast du vielleicht recht. Ich bin da wohl vorbelastet. Mobil ist mir noch nichts geklaut worden, aber bei meinen Eltern hab ich schon einen Einbruch miterleben "dürfen" und an meinem jetzigen Wohnort auch schon erlebt, wie mein Nachbar unverschuldet eine Durchsuchung der Wohnung mit Beschlagnahmung all seiner Elektronik über sich ergehen laden musste. Zwar gab's am Ende alles wieder, als sie (nach über einem Jahr) rausgefunden haben, dass er der falsche war, aber seitdem achtet man noch viel mehr darauf, nichts unverschlüsselt zu lassen. Auch Backups nicht. Schadet ja schließlich auch nicht, die ebenfalls zu verschlüsseln.

 

[TheNewOne]

Damit der Thread hier nicht im Sand verläuft melde ich mich einmal zurück!

Ich habe es geschafft die Hardwareverschlüsselung von Bitlocker zu aktivieren. Allerdings habe ich die dazu verbaute SanDisk X300s gegen eine Samsung 840 Evo getauscht. Anschließend habe ich schnell Windows und den Samsung Magician installiert. In MAgican habe ich das eDrive-Feature aktiviert und anschließend einen SecureErase gemacht (Pflicht). Dazu habe ich allerdings ein Tool von Lenovo genutzt, da die Festplatte normalerweise im BIOS gesperrt ist (ATA-Frozen). Dann wieder Windows installiert und das TPM übernommen. Jetzt konnte ich BitLocker aktivieren ohne das ich gefragt wurde ob nur der genutzte Platz oder alles verschlüsselt werden soll (Hinweis darauf das Hardwareverschlüsselung verwendet wird). Abschließend habe ich alle Treiber über das Programm System UPdate von Lenovo installiert. Dabei ist die Verschlüsselung deaktiviert worden als der Intel RST (Rapid Storage) Treiber installiert wurde. Leider konnte ich darauf hin BitLocker nicht erneut mit der Hardwareverschlüsselung aktivieren. Also habe ich den gesamten Vorgang wiederholt aber diesmal den Intel RST nicht mitinstalliert. Siehe da, bisher läuft alles einwandfrei. Es scheint irgendwie nicht möglich zu sein bei dein Verbauten SanDisk X300s dieses eDrive-Feature zu aktivieren.

Eine Abfrage von BitLocker über die PowerShell bestätigt mir die Verwendung der Hardwareverschlüsselung. Viel Spaß beim reproduzieren.