Sinn von BitLocker

Deine Frage passt nicht in die anderen Bereiche, dann stelle sie hier.
Zelda
Neuling
Neuling
Beiträge: 6
Registriert: 30.04.2018, 19:40

Sinn von BitLocker

Beitrag von Zelda » 23.05.2018, 00:19

Hallo,

ich möchte gerne mal wissen welchen Sinn BitLocker hat?

Wird BitLocker aktiviert werden die Schlüssel bei einem vorhandenen TPM (oder heutzutage fast nur noch fTPM - also nichts anderes als eine BIOS-Software-Lösung mit Intel PTT) dort gespeichert. Bevor ich Windows also nun starten kann wird die Festplatte vom BIOS und dessen TPM (oder fTPM) erstmal entschlüsselt.

Im laufenden Betrieb würde mir der Schutz also nichts bringen. Auch nicht wenn der Computer samt Festplatte gestohlen wird, da die Schlüssel im BIOS und dessen TPM ja gleich mit inklusive sind.

Welchen Sinn hat BitLocker dann?
Abgesehen von externen Festplatten natürlich.

Tante Google

Sinn von BitLocker

Beitrag von Tante Google » 23.05.2018, 00:19


Benutzeravatar
moinmoin
★ Team Admin ★
Beiträge: 41321
Registriert: 14.11.2003, 11:12
Geschlecht:

Re: Sinn von BitLocker

Beitrag von moinmoin » 23.05.2018, 06:49

Ich verschlüssele zwar nichts. Aber wenn dir der Rechner gestohlen wird, braucht man ja erst mal ein Passwort um reinzukommen.
Und nimmt man die Platten aus dem Rechner, so kommt man da "nicht ran" weil sie verschlüsselt sind.

Im laufenden Betrieb ist es ja logisch, dass alles entschlüsselt wird. Da sitzt du dann aber vor dem Rechner.
Bild
Deskmodder findet ihr bei: Tickers |Google+ | Twitter Windows 10 Tipps und Tricks: Tutorials Windows 10.

Benutzeravatar
Mav
★ Team Social ★
Beiträge: 2811
Registriert: 28.10.2006, 15:42
Geschlecht:

Re: Sinn von BitLocker

Beitrag von Mav » 23.05.2018, 08:43

die Festplatte (kann mit Bitlocker verschlüsselt), auch nicht ausgebaut und von einem anderen Rechner ausgelesen werden.
Ein Neustart des Rechners setzt eine Eingabe des Schlüssels voraus.

Firmen die zb Rechner im Aussendienst besitzen, benutzen Bitlocker, damit im Falle eines Diebstahls der Rechner nicht ausgelesen werden kann. (Firmendaten, Kundendaten etc)
Bild

Zelda
Neuling
Neuling
Beiträge: 6
Registriert: 30.04.2018, 19:40

Re: Sinn von BitLocker

Beitrag von Zelda » 23.05.2018, 10:10

Hallo,

auf diversen Internetseiten (welche mir der Suchmaschine eurer Wahl zu finden sind), unter anderem dieser[1] hier, steht aber folgendes:
Als günstige Verschlüsselungslösung werden dabei oft die vom Betriebssystem verfügbaren Bordmittel angesehen, speziell die Verschlüsselungstechnik Bitlocker von Microsoft. Diese hat leider […] entscheidende Nachteile. Zum einen ist bei Einsatz von Bitlocker ohne zusätzlich anzuschaffende Managementsoftware kein Nachweis verfügbar, ob die Daten zum Zeitpunkt des Verlustes tatsächlich verschlüsselt waren – eine Beweisführung im Falle eines Prozesses ist damit schwierig.
Das verstehe ich so dass BitLocker vor Gericht nicht zulässig ist oder gar nicht anerkannt wird da der Nachweis der Verschlüsselung fehlt, insbesondere bei der BIOS-Software-Lösung fTPM (welche mit Intel PTT emuliert wird). Sogar Microsoft dokumentiert es so. Zwar nicht direkt, aber eher so "drumherum". Sollte das stimmen würde ich BitLocker nicht unbedingt für jedermann empfehlen.

Über den Rest der von mir genannten Seite fangen wir mal nicht an, denn wenn wir nämlich danach gehen würden ist jede Verschlüsselung auf die ein oder andere Art und Weise knackbar.


[1] https://www.data-sec.net/microsoft-bitl ... e-gedacht/

Benutzeravatar
moinmoin
★ Team Admin ★
Beiträge: 41321
Registriert: 14.11.2003, 11:12
Geschlecht:

Re: Sinn von BitLocker

Beitrag von moinmoin » 23.05.2018, 10:24

Willst du das jetzt für Privat oder Unternehmen wissen?
Für Privat reicht es aus. Unternehmen werden sicherlich andere Lösungen als Bitlocker nutzen.
Bild
Deskmodder findet ihr bei: Tickers |Google+ | Twitter Windows 10 Tipps und Tricks: Tutorials Windows 10.

Zelda
Neuling
Neuling
Beiträge: 6
Registriert: 30.04.2018, 19:40

Re: Sinn von BitLocker

Beitrag von Zelda » 23.05.2018, 10:25

moinmoin hat geschrieben:
23.05.2018, 10:24
Willst du das jetzt für Privat oder Unternehmen wissen?
Für Privat reicht es aus. Unternehmen werden sicherlich andere Lösungen als Bitlocker nutzen.
Ich wollte es eher für beide wissen :)

Benutzeravatar
Manny
Einsteiger
Einsteiger
Beiträge: 12
Registriert: 27.03.2018, 18:12
Geschlecht:

Re: Sinn von BitLocker

Beitrag von Manny » 23.05.2018, 15:52

Meine "Erfahrungen" mit MS-Bitlocker

Ich habe mich ( als Privatanwender) damit soweit beschäftig das ich als 1. die Bitlocker-Verschlüsselung OHNE zusätzliche Hardware (TPM-Modul) alle Laufwerke verschlüsselt habe - auch das Systemlaufwerk( was mit einigen Einstellungen auch OHNE das Modul ja geht ) aber das ist ein tierischer Zeitaufwand bei 9 Laufwerken :lol: - Bis dahin so weit so gut ;)

Inwieweit das natürlich als "Schutz" reicht lass ich mal dahin gestellt ( ist ja schliesslich ein MS-Progarmm - "Schnüffelnase" lässt grüssen ;) ) - nach einiger Zeit hatte ich mir dann aber doch noch passend zu meinem Motherboard ein passendes TPM-Modul gekauft ( kostet ja nicht die Welt - glaube 11 €uronen hab ich dafür bezahlt) aber jetzt kommt der Hammer womit ich nicht gerechnet habe:
Einrichtung war ( meines Erachtens ) ähnlich einfach ( auch den zusätzlichen Bios / UEFI Eintrag den man dann hat habe ich berücksichtigt) - aber nachdem ich das ca. 2-3 Wochen laufen ließ ( Passwörter hatte ich alle zusätzlich auf USB
( Wiederherstellungsstick) - ABER irgendwas / irgendwann ( vielleicht durch ein Update und oder "Fehlbedienung meinerseits" kam ich dann trotzdem nicht mehr das System rein :D - CleanInstall auf diese Platte ging nicht ( wollte ich auch eigentlich nicht wegen Zeitaufwand alles neu zu konfigurieren )- das einzige was da noch half um das System wieder bootfähig zu starten war ein etwas "älteres" SystemImage ( wo Bitlocker noch nicht aktiviert war) und dann ging es wieder anstandslos - was mich einerseits aber trotzdem gewundert hatte das Acronis True Image auf ein "verschlüsseltes Laufwerk schreiben kann / darf" :lol:
- Das Modul hab ich zur Zeit "selbstverständlcih" erst mal deaktiviert / abgeklemmt - mal sehen ob und wann ich das noch mal teste
( frühestens wenn mal eine Build rauskommt die fehlerfreier ist wie die letzten ) :D


EDIT:

Mich hat das Thema deswegen interessiert weil Microsoft ja z.B. wenn man mit Konto angemeldet ist unter https://account.microsoft.com/devices alle Datenträger auflistet mit Größe / Benennung ( bzw. was drauf ist) und das kann man ( in der Regel jeden Falls) mit Bitlocker verhindern - so war es jeden falls noch mit der Variante OHNE TPM Modul das dann in dem Listing NUR die Systemplatte drinstand ( auch wenn die selber mit Bitlocker verschlüsselt ist / war)
Asus Sabertooth 990FX R3.0 - AMD FX-9590 5000 MHz - 24 GB RAM (1866 MHz)
- CoolerMaster Nepton 240 WAKÜ ( 2 X 120 Lüfter ) - SSD Samsung M2 NVME (256 GB) - SSD SAMSUNG Evo 850 (120 GB)
- SSD TeamGroup (240 GB ) - SSD Kingston ( 60 GB) - Wechselrahmen 2,5" zum wechseln
( W10 Versionen: RS2 / RS4 /RS5 ) - Asus Geoforce GTX 1060 6 GB - Gehäuse Be Quiet Dark Base 700
- Marvel Sata III Zusatzcontroller für HDD ( 2 X 2 TB - 1 X 1 TB + 1 X 500 GB )

DK2000
Meister
Meister
Beiträge: 396
Registriert: 03.04.2018, 00:07
Geschlecht:

Re: Sinn von BitLocker

Beitrag von DK2000 » 23.05.2018, 16:18

Das Acronis True Image auf das Laufwerk schreiben konnte, lag einfach nur daran, dass das Laufwerk an sich nicht im Modus 'Lock' war und selbst mit einem Key geschützt wurde. In dem Falle könnte man, ohne vorher die HDD freizuschalten, weder davon lesen noch darauf schreiben. Ohne den Schutz ist eine verschlüsselte HDD nur eine HDD mit Datenmüll darauf und jeder kann sie neu beschreiben. Allerdings sollte man bedenken, wenn man die HDD/SDD auf diese Weise sperrt und man den Key verliert, dann ist das Laufwerk Hardwareschrott und manwird große Probleme haben, es wieder zu entsperren.

Und was den TPM Chip angeht, hoffentlich keiner von Infineon. Die haben auch schon seit Jahren einen Bug, der es ermöglicht, an die Keys ranzukommen. Die müssen, genauso wie die Sache mit dem CPU Bug, mit Patches und Firmwareupdates abgesichert werden.

Und ja, ist mir auch schon passiert, dass aus irgendwelchen Gründen sich das Bitlocker Laufwerk nicht mehr entschlüsseln ließ, auch nicht mit den Recovery Keys. Das Endete immer mit Microsoft's Leibligsfehler 'Falscher Parameter'. Seitdem lasse ich das mit Bitlocker. Das ist mir da nicht so ganz geheuer, jedenfalls ohne Backups wird da nicht verschlüsselt.

Benutzeravatar
Manny
Einsteiger
Einsteiger
Beiträge: 12
Registriert: 27.03.2018, 18:12
Geschlecht:

Re: Sinn von BitLocker

Beitrag von Manny » 23.05.2018, 16:22

Nein, mein TPM-Modul war ( wie das Mainboard auch) von ASUS ;) und JA - solange ich nicht genau weiß warum da was falsch lief lass ich das auch mit dem verschlüsseln, hat ja auch nix gebracht die Key extern auf Stick zu speichern :lol:

oder anders ausgedrückt : nächster Test diesbezüglich erst wenn ich (mal) Urlaub habe :lol:
Asus Sabertooth 990FX R3.0 - AMD FX-9590 5000 MHz - 24 GB RAM (1866 MHz)
- CoolerMaster Nepton 240 WAKÜ ( 2 X 120 Lüfter ) - SSD Samsung M2 NVME (256 GB) - SSD SAMSUNG Evo 850 (120 GB)
- SSD TeamGroup (240 GB ) - SSD Kingston ( 60 GB) - Wechselrahmen 2,5" zum wechseln
( W10 Versionen: RS2 / RS4 /RS5 ) - Asus Geoforce GTX 1060 6 GB - Gehäuse Be Quiet Dark Base 700
- Marvel Sata III Zusatzcontroller für HDD ( 2 X 2 TB - 1 X 1 TB + 1 X 500 GB )

DK2000
Meister
Meister
Beiträge: 396
Registriert: 03.04.2018, 00:07
Geschlecht:

Re: Sinn von BitLocker

Beitrag von DK2000 » 23.05.2018, 16:37

ASUS verwendet meistens auch nur Module von Infineon. Wüsste jetzt nicht, dass ASUS da eigene Chips herstellt. Der Trend geht aber so oder so in Richtung fTPM (Firmware Trusted Platform Module), welches im UEFI über Intel PTT bereitgestellt wird.

Benutzeravatar
Manny
Einsteiger
Einsteiger
Beiträge: 12
Registriert: 27.03.2018, 18:12
Geschlecht:

Re: Sinn von BitLocker

Beitrag von Manny » 23.05.2018, 16:45

Welcher Chip da jetzt verbaut / benutzt wurde kann ich nicht sagen, hab mich bei der Modulauswahl an das Mainboardhandbuch gehalten und das Board ist ein AMD Board ( obwohl auch da - beim Netzwerktreiber was von Intel installiert wird) :lol:

Man ist da ja etwas eingeschränkt das man sich nicht eh das falsche bestellt ( wie mir passiert - hatte erst ein Modul ( selbe Marke zwar ABER mit mehr Pinnen und das passte dann natürlich nicht auf meinen TPM-Sockel :D
Zuletzt geändert von Manny am 23.05.2018, 16:47, insgesamt 1-mal geändert.
Asus Sabertooth 990FX R3.0 - AMD FX-9590 5000 MHz - 24 GB RAM (1866 MHz)
- CoolerMaster Nepton 240 WAKÜ ( 2 X 120 Lüfter ) - SSD Samsung M2 NVME (256 GB) - SSD SAMSUNG Evo 850 (120 GB)
- SSD TeamGroup (240 GB ) - SSD Kingston ( 60 GB) - Wechselrahmen 2,5" zum wechseln
( W10 Versionen: RS2 / RS4 /RS5 ) - Asus Geoforce GTX 1060 6 GB - Gehäuse Be Quiet Dark Base 700
- Marvel Sata III Zusatzcontroller für HDD ( 2 X 2 TB - 1 X 1 TB + 1 X 500 GB )

DK2000
Meister
Meister
Beiträge: 396
Registriert: 03.04.2018, 00:07
Geschlecht:

Re: Sinn von BitLocker

Beitrag von DK2000 » 23.05.2018, 16:46

Wenn der Chip noch aktiviert ist, dann mal tpm.msc ausführen. Darüber kann man den Hersteller des TPM Chips sehen.

Piranha
Senior
Senior
Beiträge: 403
Registriert: 11.05.2017, 11:02
Geschlecht:

Re: Sinn von BitLocker

Beitrag von Piranha » 23.05.2018, 18:03

Und wem tpm.msc nicht ausreicht hier noch ein paar commands dazu (notwendige Rechte vorausgesetzt):

Verschlüsselung aktivieren:
manage-bde -on C:
Bitlocker aktivieren und RecoveryKey erstellen RandomKey:
manage-bde -on C: -RecoveryKey Y: -RecoveryPassword
Bitlocker deaktivieren:
manage-bde -off C:
manage-bde.exe –protectors –disable C:
Status abfragen:
manage-bde -status
Methoden abfragen:
manage-bde -protectors -get c:
Schlüssel löschen:
manage-bde -protectors -delete c: -id {xxx}
TPM aufheben:
manage-bde -protectors -delete c: -type tpm
Preboot TPM und KEY aktivieren:
manage-bde -protectors -add c: -TPMAndStartupKey x:
Preboot TPM und PIN aktivieren:
manage-bde -protectors -add c: -TPMAndPIN x:
Preboot TPM PIN und USB aktivieren:
manage-bde -protectors -add C: -TPMandPINandStartupKey -tp „Kennwort“ -tsk E:
PreBootPIN deaktivieren:
manage-bde -protectors -add c: -TPM
manage-bde -status c:
Bitlocker auf C aktivieren und RecoveryKey auf D speichern:
cscript C:\Windows\System32\manage-bde.wsf -on C: -rp -sk D:
Platte C mit Passwort entsperren:
manage-bde -unlock D: -Password
Platte C mit Recovery Passwort entsperren 48 Digits:
manage-bde –unlock C: -RecoveryPassword 111111-222222-333333-444444-555555-666666-777777-888888
Platte C mit Recovery Key entsperren:
manage-bde -unlock C: -RecoveryKey „Der Pfad zur Datei Keyfile.bek“

Zelda
Neuling
Neuling
Beiträge: 6
Registriert: 30.04.2018, 19:40

Re: Sinn von BitLocker

Beitrag von Zelda » 23.05.2018, 18:59

Klingt nach sehr interessanten Erfahrungen eurerseits.

Ich selbst habe auch schon mit BitLocker geliebäugelt und es mal eine Zeit lang ausprobiert, muss vor ca. ein oder zwei Jahren gewesen sein.
Ich habe also fTPM im BIOS aktiviert und BitLocker aktiviert, den Wiederherstellungsschlüssel natürlich zur Sicherheit ausgedruckt und sicher aufbewahrt. Einige Wochen lief es auch ganz gut, dann musste ich aber leider das BIOS aufgrund eines Fehlers im CPU-Microcode aktualisieren. Ungefragt hat der natürlich nicht nur das aktualisiert, sondern gleich die ganze Hardware. Das Ergebnis war dass mein fTPM danach deaktiviert war und dementsprechend alle Schlüssel gelöscht wurden. Ich habe es natürlich wieder aktiviert und den Wiederherstellungsschlüssel eingegeben, diesen wollte er aber nicht annehmen, da ich vorher den vorigen Besitzer sämtlicher Schlüssel um Autorisierung fragen müsse und diese dann auch löschen müsse bevor ich das Laufwerk wieder benutzen darf, aber es wurde mir weder vom wunderschönen blauen Windows-Bildschirm noch vom BIOS irgendeine Funktion angeboten dies durchzuführen. Um eine Neuinstallation kam ich also leider nicht herum. Glücklicherweise hatte ich vorher noch eine Sicherung der wichtigsten Daten gemacht.

Seitdem sehe ich BitLocker eher kritisch und frage mich welchen Sinn eine "Sicherheitsfunktion" hat wenn sie selbst dem Besitzer in die Quere kommt und nicht einmal mehr diesen "reinlässt" …

Hinzu kommt wohl auch die meiner Ansicht nach kaum bis nicht verfügbare Verwaltung des TPM bzw. fTPM.
(Im BIOS lässt sich üblicherweise nur TPM bzw. fTPM (Intel PTT) aktivieren oder deaktivieren, weitere Optionen sucht man vergebens. Und "tpm.msc" ist auch nicht wirklich hilfreich, klickt man auf "TPM löschen" tut sich gar nichts außer neu zu starten, es wird nichts gelöscht oder sonstwas!)

Nutzen tu ich es nicht mehr, stattdessen nutze ich lieber Dateibasierte Verschlüsselung. Das erspart mir persönlich viel Arbeit und Stress.

Benutzeravatar
Mav
★ Team Social ★
Beiträge: 2811
Registriert: 28.10.2006, 15:42
Geschlecht:

Re: Sinn von BitLocker

Beitrag von Mav » 23.05.2018, 19:29

nana, Manny hat aber geschrieben, das er nicht sicher ist, warum Bitlocker gesperrt hat (Fehlbedienung seinerseits)
jedenfalls ist es ja die Aufgabe einer Sicherheits/Verschlüsselungssoftware jemanden ohne Kenntnis nicht auf die Daten zugreifen zu lassen.
Und diese Programme unterscheiden nicht zwischen Besitzern, oder Fremden.
Dann müsste ab Bios schon eine Fingerprinterkennung laufen... aber wer garantiert einem denn, dass durch einen Schnitt in die Kuppe dieser Fingerabdruck nicht ungültig wird?
Meine Erfahrung: für den Ottonrmalanwender ist die Windowversion Bitlocker brauchbar
Für allerdings auch Unternehmen auch - hier würde ich aber nur die Aussendienstrechner entsprechend schützen.
Für Firmeninterne "Gebäude"-Hardware gibt es andere Lösungen

Privatrechner: letztlich muss man das mit sich selber ausmachenwie "gefährdet" der eigene Rechner ist und ob es da zu Hardwareklau kommen kann, bzw wie wichtig die Daten auf der Festplatte sind - und ob man bei jedem Rechnerstart zwei Passwörter eingeben will (einmal für die Platte und einmal für Windows)
für die paar Dateien, welche als sensibel gelten könnten, kann man sich auch einen geschützten Bereich (Container oder Laufwerk) anlegen, welcher kryptisch verschlüsselt und nur mit einem Passwort geöffnet werden kann (zb Vercrypt).
Dh. Windows ist normal zugänglich (eben Windowspasswort) und nur der geschützte Bereich brauch ein zusätzliches Passwort.
Eine gute Alternative, zumal sie nur das schützt was sie soll und im Falle eines Falles noch etwas gerettet werden kann, als wenn man durch eine Komplettverschlüsselung nur noch Daten/Hardwaremüll hat ;)
Bild

Antworten