[quote]jedenfalls ist es ja die Aufgabe einer Sicherheits/Verschlüsselungssoftware jemanden ohne Kenntnis nicht auf die Daten zugreifen zu lassen.[/quote]Das sehe ich auch soweit ein und finde diese Vorgehensweise auch sinnvoll. Aber mir erschließt sich nicht der Sinn wie ich denn nun den vorigen Besitzer meines TPM bzw. fTPM löschen soll wenn weder der Bildschirm mit dem wunderschönen blauen Windows-BitLocker noch das BIOS oder dessen Recovery (inkl. Jumper/CMOS) dieses anbietet. Wie soll das funktionieren? Meinen Wiederherstellungsschlüssel wollte Windows erst annehmen nachdem ich diese eben gelöscht habe, was aber nicht möglich ist. Und genau das ist [b]nicht[/b] Sinn einer Verschlüsselung wenn selbst der Wiederherstellungsschlüssel durch Hardwareabhängigkeiten nicht mehr funktioniert, da TPM bzw. fTPM stark eingeschränkt ist, bzw. fast gar nicht verwaltbar. Von einer Hardwarebasierten Verschlüsselung erwarte ich dass sie verwaltbar ist (Mir würde schon ein BIOS-seitiges löschen und zurücksetzen des TPM bzw. fTPM ausreichen, aber Fehlanzeige.).

[quote]für die paar Dateien, welche als sensibel gelten könnten, kann man sich auch einen geschützten Bereich (Container oder Laufwerk) anlegen, welcher kryptisch verschlüsselt und nur mit einem Passwort geöffnet werden kann (zb Vercrypt).[/quote]Genau das was ich nun schon seit ca. ein oder zwei Jahren mache. Habe noch nie Probleme damit gehabt, meine Wiederherstellungsschlüssel funktionieren ohne Hardwareabhängig zu sein.

[quote]Dh. Windows ist normal zugänglich[/quote]
Windows selbst ist sowieso egal, kann sich eh jeder herunterladen.

nana, Manny hat aber geschrieben, das er nicht sicher ist, warum Bitlocker gesperrt hat (Fehlbedienung seinerseits)
jedenfalls ist es ja die Aufgabe einer Sicherheits/Verschlüsselungssoftware jemanden ohne Kenntnis nicht auf die Daten zugreifen zu lassen.
Und diese Programme unterscheiden nicht zwischen Besitzern, oder Fremden.
Dann müsste ab Bios schon eine Fingerprinterkennung laufen... aber wer garantiert einem denn, dass durch einen Schnitt in die Kuppe dieser Fingerabdruck nicht ungültig wird?
Meine Erfahrung: für den Ottonrmalanwender ist die Windowversion Bitlocker brauchbar
Für allerdings auch Unternehmen auch - hier würde ich aber nur die Aussendienstrechner entsprechend schützen.
Für Firmeninterne "Gebäude"-Hardware gibt es andere Lösungen

Privatrechner: letztlich muss man das mit sich selber ausmachenwie "gefährdet" der eigene Rechner ist und ob es da zu Hardwareklau kommen kann, bzw wie wichtig die Daten auf der Festplatte sind - und ob man bei jedem Rechnerstart zwei Passwörter eingeben will (einmal für die Platte und einmal für Windows)
für die paar Dateien, welche als sensibel gelten könnten, kann man sich auch einen geschützten Bereich (Container oder Laufwerk) anlegen, welcher kryptisch verschlüsselt und nur mit einem Passwort geöffnet werden kann (zb Vercrypt).
Dh. Windows ist normal zugänglich (eben Windowspasswort) und nur der geschützte Bereich brauch ein zusätzliches Passwort.
Eine gute Alternative, zumal sie nur das schützt was sie soll und im Falle eines Falles noch etwas gerettet werden kann, als wenn man durch eine Komplettverschlüsselung nur noch Daten/Hardwaremüll hat ;)

Klingt nach sehr interessanten Erfahrungen eurerseits.

Ich selbst habe auch schon mit BitLocker geliebäugelt und es mal eine Zeit lang ausprobiert, muss vor ca. ein oder zwei Jahren gewesen sein.
Ich habe also fTPM im BIOS aktiviert und BitLocker aktiviert, den Wiederherstellungsschlüssel natürlich zur Sicherheit ausgedruckt und sicher aufbewahrt. Einige Wochen lief es auch ganz gut, dann musste ich aber leider das BIOS aufgrund eines Fehlers im CPU-Microcode aktualisieren. Ungefragt hat der natürlich nicht nur das aktualisiert, sondern gleich die ganze Hardware. Das Ergebnis war dass mein fTPM danach deaktiviert war und dementsprechend alle Schlüssel gelöscht wurden. Ich habe es natürlich wieder aktiviert und den Wiederherstellungsschlüssel eingegeben, diesen wollte er aber nicht annehmen, da ich vorher den vorigen Besitzer sämtlicher Schlüssel um Autorisierung fragen müsse und diese dann auch löschen müsse bevor ich das Laufwerk wieder benutzen darf, aber es wurde mir weder vom wunderschönen blauen Windows-Bildschirm noch vom BIOS irgendeine Funktion angeboten dies durchzuführen. Um eine Neuinstallation kam ich also leider nicht herum. Glücklicherweise hatte ich vorher noch eine Sicherung der wichtigsten Daten gemacht.

Seitdem sehe ich BitLocker eher kritisch und frage mich welchen Sinn eine "Sicherheitsfunktion" hat wenn sie selbst dem Besitzer in die Quere kommt und nicht einmal mehr diesen "reinlässt" …

Hinzu kommt wohl auch die meiner Ansicht nach kaum bis nicht verfügbare Verwaltung des TPM bzw. fTPM.
(Im BIOS lässt sich üblicherweise nur TPM bzw. fTPM (Intel PTT) aktivieren oder deaktivieren, weitere Optionen sucht man vergebens. Und "tpm.msc" ist auch nicht wirklich hilfreich, klickt man auf "TPM löschen" tut sich gar nichts außer neu zu starten, es wird nichts gelöscht oder sonstwas!)

Nutzen tu ich es nicht mehr, stattdessen nutze ich lieber Dateibasierte Verschlüsselung. Das erspart mir persönlich viel Arbeit und Stress.

Und wem tpm.msc nicht ausreicht hier noch ein paar commands dazu (notwendige Rechte vorausgesetzt):

[b]Verschlüsselung aktivieren:[/b]
manage-bde -on C:
[b]Bitlocker aktivieren und RecoveryKey erstellen RandomKey:
[/b] manage-bde -on C: -RecoveryKey Y: -RecoveryPassword
[b]Bitlocker deaktivieren:
[/b] manage-bde -off C:
manage-bde.exe –protectors –disable C:
[b]Status abfragen:[/b]
manage-bde -status
[b]Methoden abfragen:
[/b] manage-bde -protectors -get c:
[b]Schlüssel löschen:[/b]
manage-bde -protectors -delete c: -id {xxx}
[b]TPM aufheben:[/b]
manage-bde -protectors -delete c: -type tpm
[b]Preboot TPM und KEY aktivieren:
[/b] manage-bde -protectors -add c: -TPMAndStartupKey x:
[b]Preboot TPM und PIN aktivieren:[/b]
manage-bde -protectors -add c: -TPMAndPIN x:
[b]Preboot TPM PIN und USB aktivieren:
[/b] manage-bde -protectors -add C: -TPMandPINandStartupKey -tp „Kennwort“ -tsk E:
[b]PreBootPIN deaktivieren:[/b]
manage-bde -protectors -add c: -TPM
manage-bde -status c:
[b]Bitlocker auf C aktivieren und RecoveryKey auf D speichern:
[/b] cscript C:\Windows\System32\manage-bde.wsf -on C: -rp -sk D:
[b]Platte C mit Passwort entsperren:[/b]
manage-bde -unlock D: -Password
[b]Platte C mit Recovery Passwort entsperren 48 Digits:[/b]
manage-bde –unlock C: -RecoveryPassword 111111-222222-333333-444444-555555-666666-777777-888888
[b]Platte C mit Recovery Key entsperren:
[/b] manage-bde -unlock C: -RecoveryKey „Der Pfad zur Datei Keyfile.bek“

Wenn der Chip noch aktiviert ist, dann mal tpm.msc ausführen. Darüber kann man den Hersteller des TPM Chips sehen.

Welcher Chip da jetzt verbaut / benutzt wurde kann ich nicht sagen, hab mich bei der Modulauswahl an das Mainboardhandbuch gehalten und das Board ist ein AMD Board ( obwohl auch da - beim Netzwerktreiber was von Intel installiert wird) :lol:

Man ist da ja etwas eingeschränkt das man sich nicht eh das falsche bestellt ( wie mir passiert - hatte erst ein Modul ( selbe Marke zwar ABER mit mehr Pinnen und das passte dann natürlich nicht auf meinen TPM-Sockel :D

ASUS verwendet meistens auch nur Module von Infineon. Wüsste jetzt nicht, dass ASUS da eigene Chips herstellt. Der Trend geht aber so oder so in Richtung fTPM (Firmware Trusted Platform Module), welches im UEFI über Intel PTT bereitgestellt wird.

Nein, mein TPM-Modul war ( wie das Mainboard auch) von ASUS ;) und JA - solange ich nicht genau weiß warum da was falsch lief lass ich das auch mit dem verschlüsseln, hat ja auch nix gebracht die Key extern auf Stick zu speichern :lol:

oder anders ausgedrückt : nächster Test diesbezüglich erst wenn ich (mal) Urlaub habe :lol:

Das Acronis True Image auf das Laufwerk schreiben konnte, lag einfach nur daran, dass das Laufwerk an sich nicht im Modus 'Lock' war und selbst mit einem Key geschützt wurde. In dem Falle könnte man, ohne vorher die HDD freizuschalten, weder davon lesen noch darauf schreiben. Ohne den Schutz ist eine verschlüsselte HDD nur eine HDD mit Datenmüll darauf und jeder kann sie neu beschreiben. Allerdings sollte man bedenken, wenn man die HDD/SDD auf diese Weise sperrt und man den Key verliert, dann ist das Laufwerk Hardwareschrott und manwird große Probleme haben, es wieder zu entsperren.

Und was den TPM Chip angeht, hoffentlich keiner von Infineon. Die haben auch schon seit Jahren einen Bug, der es ermöglicht, an die Keys ranzukommen. Die müssen, genauso wie die Sache mit dem CPU Bug, mit Patches und Firmwareupdates abgesichert werden.

Und ja, ist mir auch schon passiert, dass aus irgendwelchen Gründen sich das Bitlocker Laufwerk nicht mehr entschlüsseln ließ, auch nicht mit den Recovery Keys. Das Endete immer mit Microsoft's Leibligsfehler 'Falscher Parameter'. Seitdem lasse ich das mit Bitlocker. Das ist mir da nicht so ganz geheuer, jedenfalls ohne Backups wird da nicht verschlüsselt.

[b]Meine "Erfahrungen" mit MS-Bitlocker[/b]

Ich habe mich ( als Privatanwender) damit soweit beschäftig das ich als 1. die Bitlocker-Verschlüsselung OHNE zusätzliche Hardware (TPM-Modul) alle Laufwerke verschlüsselt habe - auch das Systemlaufwerk( was mit einigen Einstellungen auch OHNE das Modul ja geht ) aber das ist ein tierischer Zeitaufwand bei 9 Laufwerken :lol: - Bis dahin so weit so gut ;)

Inwieweit das natürlich als "Schutz" reicht lass ich mal dahin gestellt ( ist ja schliesslich ein MS-Progarmm - "Schnüffelnase" lässt grüssen ;) ) - nach einiger Zeit hatte ich mir dann aber doch noch passend zu meinem Motherboard ein passendes TPM-Modul gekauft ( kostet ja nicht die Welt - glaube 11 €uronen hab ich dafür bezahlt) aber jetzt kommt der [b]Hammer womit ich nicht gerechnet habe:[/b]
Einrichtung war ( meines Erachtens ) ähnlich einfach ( auch den zusätzlichen Bios / UEFI Eintrag den man dann hat habe ich berücksichtigt) - aber nachdem ich das ca. 2-3 Wochen laufen ließ ( Passwörter hatte ich alle zusätzlich auf USB
( Wiederherstellungsstick) - ABER irgendwas / irgendwann ( vielleicht durch ein Update und oder "Fehlbedienung meinerseits" kam ich dann trotzdem nicht mehr das System rein :D - CleanInstall auf diese Platte ging nicht ( wollte ich auch eigentlich nicht wegen Zeitaufwand alles neu zu konfigurieren )- das einzige was da noch half um das System wieder bootfähig zu starten war ein etwas "älteres" SystemImage ( wo Bitlocker noch nicht aktiviert war) und dann ging es wieder anstandslos - was mich einerseits aber trotzdem gewundert hatte das Acronis True Image auf ein "verschlüsseltes Laufwerk schreiben kann / darf" :lol:
- Das Modul hab ich zur Zeit "selbstverständlcih" erst mal deaktiviert / abgeklemmt - mal sehen ob und wann ich das noch mal teste
( frühestens wenn mal eine Build rauskommt die fehlerfreier ist wie die letzten ) :D


EDIT:

Mich hat das Thema deswegen interessiert weil Microsoft ja z.B. wenn man mit Konto angemeldet ist unter https://account.microsoft.com/devices alle Datenträger auflistet mit Größe / Benennung ( bzw. was drauf ist) und das kann man ( in der Regel jeden Falls) mit Bitlocker verhindern - so war es jeden falls noch mit der Variante OHNE TPM Modul das dann in dem Listing NUR die Systemplatte drinstand ( auch wenn die selber mit Bitlocker verschlüsselt ist / war)

[quote=moinmoin post_id=313026 time=1527063867 user_id=188]
Willst du das jetzt für Privat oder Unternehmen wissen?
Für Privat reicht es aus. Unternehmen werden sicherlich andere Lösungen als Bitlocker nutzen.
[/quote]

Ich wollte es eher für beide wissen :)

Willst du das jetzt für Privat oder Unternehmen wissen?
Für Privat reicht es aus. Unternehmen werden sicherlich andere Lösungen als Bitlocker nutzen.

Hallo,

auf diversen Internetseiten (welche mir der Suchmaschine eurer Wahl zu finden sind), unter anderem dieser[1] hier, steht aber folgendes:

[quote]Als günstige Verschlüsselungslösung werden dabei oft die vom Betriebssystem verfügbaren Bordmittel angesehen, speziell die Verschlüsselungstechnik Bitlocker von Microsoft. Diese hat leider […] entscheidende Nachteile. Zum einen ist bei Einsatz von Bitlocker ohne zusätzlich anzuschaffende Managementsoftware kein Nachweis verfügbar, ob die Daten zum Zeitpunkt des Verlustes tatsächlich verschlüsselt waren – eine Beweisführung im Falle eines Prozesses ist damit schwierig.[/quote]

Das verstehe ich so dass BitLocker vor Gericht nicht zulässig ist oder gar nicht anerkannt wird da der Nachweis der Verschlüsselung fehlt, insbesondere bei der BIOS-Software-Lösung fTPM (welche mit Intel PTT emuliert wird). Sogar Microsoft dokumentiert es so. Zwar nicht direkt, aber eher so "drumherum". Sollte das stimmen würde ich BitLocker nicht unbedingt für jedermann empfehlen.

Über den Rest der von mir genannten Seite fangen wir mal nicht an, denn wenn wir nämlich danach gehen würden ist jede Verschlüsselung auf die ein oder andere Art und Weise knackbar.


[1] https://www.data-sec.net/microsoft-bitlocker-verschluesselung-nicht-so-sicher-wie-gedacht/

die Festplatte (kann mit Bitlocker verschlüsselt), auch nicht ausgebaut und von einem anderen Rechner ausgelesen werden.
Ein Neustart des Rechners setzt eine Eingabe des Schlüssels voraus.

Firmen die zb Rechner im Aussendienst besitzen, benutzen Bitlocker, damit im Falle eines Diebstahls der Rechner nicht ausgelesen werden kann. (Firmendaten, Kundendaten etc)

Ich verschlüssele zwar nichts. Aber wenn dir der Rechner gestohlen wird, braucht man ja erst mal ein Passwort um reinzukommen.
Und nimmt man die Platten aus dem Rechner, so kommt man da "nicht ran" weil sie verschlüsselt sind.

Im laufenden Betrieb ist es ja logisch, dass alles entschlüsselt wird. Da sitzt du dann aber vor dem Rechner.