WinFuture-Forum.de: BitLocker (Win8.1Pro 64) - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

BitLocker (Win8.1Pro 64) Headersicherung, TPM-Einstellung, Rechteverwaltung


#1 _meckyrockt_

  • Gruppe: Gäste

geschrieben 25. April 2014 - 21:16

grüß Gott miteinander,

gewöhnlich bin ich fröhlicher TrueCrypt-Nutzer und die Konfigurationsmöglichkeiten sowie Bedienbarkeit des Programms halte ich nach wie vor für ausgezeichnet. Leider ist die letzte Version von 2012 und GPT für TC ein Fremdwort. Deswegen bin ich unlängst mit meinem Browser ausgezogen, mir gefährliches Halbwissen über BitLocker anzulesen. Der Versuch, verbleibende Unklarheiten mithilfe des Microsoft Supports zu beseitigen, war dermaßen von Erfolg gekrönt, dass ich mir nach dem Telefonat wünschte, die 34 Minuten lieber draußen im Sand gespielt zu haben.

Bei meinem Systemlaufwerk handelt es sich um eine SSD, welche nicht verschlüsselt werden kann, da mein in die Jahre gekommenes Board die entsprechenden Hardwarevoraussetzungen nicht bereithält. Um nun meine Datenplatten wirkungsvoll mit BitLocker zu schützen erschien es mir daher wichtig, dass BitLocker im Active Directory keinen Recovery-Key hinterlegt. Laut dem 'Editor für lokale Gruppenrichtlinien' ist diese Option für Win8.1 standardmäßig ohnehin deaktiviert. Mit dem gleichzeitigen Umstellen der Optionen 'Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerke auswählen (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008R2)' sowie 'Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerke auswählen' scheint sich die Verschlüsselungsstärke für jedes Volume individuell anpassen zu lassen.

Mein Board besitzt kein TPM. Muss ich die entsprechende Option in den Gruppenrichtlinien setzen damit BitLocker fehlerfrei arbeitet oder ist diese Einstellung nur nötig, sofern man plant, das Systemlaufwerk zu verschlüsseln?

Ist eine manuelle Header-Sicherung für ein BitLocker-Volumen möglich? Ist BitLocker für eine Beschädigung des Headers überhaupt ebenso anfällig wie TC? Wenn ich es richtig verstanden habe, erstellt BitLocker auf GPT wie auf MBR-Laufwerken eine 100MB-Partition... daher die Frage ob BitLocker den Header da vll. von allein schon doppelt drauf ablegt.

Dass die beim Verschlüsseln generierte Recovery-Key-Datei ebenso Zugriff auf das Volume ermöglicht wie der selbst gewählte Schlüssel und daher sorgsam weggeschlossen gehört habe ich gelesen.

Sind mir darüber hinaus noch wichtige Punkte entgangen?

Vielen Dank für eure Hilfe!
0

Anzeige



#2 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 25. April 2014 - 21:44

Datenplatten? :unsure:

Bist Du sicher, daß EFS nicht die bessere Option wäre? Weil, Bitlocker ist eher fürs Systemlaufwerk da. Deswegen ja auch der zusätzliche Platzbedarf in der Startpartition - Windows muß sich ja schließlich selber finden können.

Hängt der Rechner denn in einer Domain?
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#3 Mitglied ist offline   DK2000 

  • Gruppe: Administration
  • Beiträge: 19.794
  • Beigetreten: 19. August 04
  • Reputation: 1.434
  • Geschlecht:Männlich
  • Wohnort:Oben auf dem Berg
  • Interessen:Essen, PC, Filme, TV Serien...

geschrieben 25. April 2014 - 21:56

Datenplatten kann man auch mit Bitlocker verschlüsseln. USB Stick geht auch. Das ist egal.

Was mich momentan wundert, ist die Aussage:

Zitat

Bei meinem Systemlaufwerk handelt es sich um eine SSD, welche nicht verschlüsselt werden kann, da mein in die Jahre gekommenes Board die entsprechenden Hardwarevoraussetzungen nicht bereithält.

Wie ist das gemeint? Wenn sich die nicht verschlüsseln lässt, wieso sollte dann das Verschlüsseln der Datenplatte klappen? Das verstehe ich da nicht so wirklich. Was ist damit gemeint?

Falls sich das auf TPM basiert, Windows 8.1 unterstützt noch das Verschlüsseln ohne TPM Chip. Muss nur aktiviert werden.

Was die beiden o.g. Richtlinien angeht, die bestimmen nur die Art der Verschlüsselung für alle Volumen. Wenn keine Richtline aktiviert ist, verwendet Bitlocker AES-128-Bit.

Und ob da irgend ein Header automatisch in der Systempartition gesichert wird, gute Frage. Nie darauf geachtet, glaube aber nicht, dass das passiert. Und ob an den überhaupt so sichern kann, wie bei TC, noch bessere Frage.
Ich bin kein Toilettenpapier-Hamster.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
0

#4 _meckyrockt_

  • Gruppe: Gäste

geschrieben 26. April 2014 - 15:26

Genau, Datenplatten. Diesen Begriff habe ich konträr zur ebenfalls von mir erwähnten Bezeichnung des Systemlaufwerks gewählt, da sich auf diesem eben ausschließlich das Betriebssystem sowie Programme befinden, während meine Daten auf den folgenden Laufwerken bzw. Festplatten D:\ sowie E:\ beheimatet sind.

Hab' gerad' geschwind ein Blick auf EFS geworfen und mir erscheint das Konzept suspekt. Glaub' bevor ich Zugangsrechte via Zertifikat an ein Benutzerkonto binde würd' ich wesentlich lieber mit TC-Containern arbeiten.

Nach Begutachtung entsprechender Wikipediaartikel bin ich der Meinung, dass mein Rechner nicht an eine Domain angeschlossen ist.^^



Selbstverständlich wäre es möglich, eine SSD mit TC/BitLocker zu verschlüsseln. Hersteller raten davon allerdings dringend ab, da das sogenannte 'wear leveling' beeinflusst wird und sich die Platte durch eine entsprechende Vollverschlüsselung schnell abnutzt. Obwohl mein Modell eine Beschränkung integriert hat, die ein vollständiges Beschreiben durch den Nutzer verhindert und mit fünf Jahren Garantie ausgewiesen ist, möchte ich das Laufwerk schonend behandeln, damit es möglichst lange hält... und sich wohl fühlt.^^

Worauf ich bei meiner Ausführung Bezug nahm: Meine SSD besitzt die Option einer AES-Verschlüsslung als Hardwareimplementation. Meines Wissens nach findet hierdurch die oben beschriebene Zusatzbelastung nicht statt. Leider benötigt man für die Aktivierung des Schutzes eine Bios/Uefi-Option namens ATA/HDD-Passwort, was von meinem Board nicht unterstützt wird.

Genau, die 'BitLocker ohne TPM nutzen' Option hab' ich gefunden.

So 'ne Laufwerkverschlüsselung mit BitLocker ist ohne Headerbackup dann ja schon eher 'ne Geschichte für Mutige. Ein fehlerhafter Sektor an der falschen Stelle und das gesamte Volume hat sich in Wohlgefallen aufgelöst.
0

#5 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 26. April 2014 - 17:40

Also zuallererstmal: Bitlocker ist nicht Truecrypt, schon vom Ansatz her unterscheiden sich beide.

Bitlocker = Verschlüsselung des Betriebssystems auf Volume-Ebene.
TC = Verschlüsselung von Daten via eines speziellen Containers.

Und EFS = Verschlüsselung auf Dateisystemebene.


Bitlocker bringt nicht viel re: Dateiverschlüsselung, da das Betriebssystem beim Start entschlüsselt wird. Sonst würde es ja nicht laufen. Backups von Bitlocker-gesicherten Volumes sind auch immer unverschlüsselt.

TC's Aufgabe ist tatsächlich die Verschlüsselung von Daten und eben nicht des Betriebssystems.

Und die Aufgabe von EFS ist, ganz genau genommen, ein wenig redundant zur NTFS-Dateisystemrechteverwaltung - funktional tut es genau dasselbe, aber (und das ist das Plus) es verhindert den Zugriff auch dann, wenn man die HDD in einen Rechner steckt. Außerdem kann man wirklich jeden aussperren (geht mit NTFS nicht) und man profitiert, wenn man es mit einer PKI verbindet.

... Nun bin ich grad nicht 100%ig sicher, wie's mit Windowsen > 8.0 aussieht. Aber, wenn sich da nix geändert hat, gibt es (meines Wissens) Bitlocker nur noch für die Enterprise. Das wäre also faktisch raus, da man seine (Privat-)Finger nicht an die Enterprise-Edition bekommt (da volume-basiert lizensiert).

EFS kann man nutzen, geht auch unter Windows banal einfach zu verwenden. Aber man hat das Problem, daß man das ohne eine Domain nur lokal ans Benutzerkonto binden kann... und wenn man auf das Benutzerkonto nicht mehr zugreifen kann (egal warum) sind die Daten im Normalfall mangels Schlüssel auch weg. Klar kann man sich mit EFS auseinandersetzen, und man kann auch dafür sorgen, daß man das trotzdem wiederherstellen kann, aber es ist (ohne Domain) sehr viel aufwendiger als, sagen wir, Truecrypt.


Ganz abgesehen davon, daß es dem Wear-Leveling auf SSDs völlig egal ist, WOMIT verschlüsselt wurde bzw. wird. Ob man da Bitlocker drauf ansetzt oder EFS oder Truecrypt macht insgesamt nur insoweit einen Unerschied, daß das verschlüsselte Datenvolumen unterschiedlich umfangreich ist. Aber, soweit das Wear-Leveling in irgendeiner Form an die Ordnung der Dateidaten gekoppelt ist, macht das keinen Unterschied: denn egal womit man verschlüsselt, besagte Ordnung ist verloren.

Dieser Beitrag wurde von RalphS bearbeitet: 26. April 2014 - 17:43

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#6 Mitglied ist offline   DK2000 

  • Gruppe: Administration
  • Beiträge: 19.794
  • Beigetreten: 19. August 04
  • Reputation: 1.434
  • Geschlecht:Männlich
  • Wohnort:Oben auf dem Berg
  • Interessen:Essen, PC, Filme, TV Serien...

geschrieben 26. April 2014 - 18:56

Beitrag anzeigenZitat (RalphS: 26. April 2014 - 17:40)

... Nun bin ich grad nicht 100%ig sicher, wie's mit Windowsen > 8.0 aussieht.

Bitlocker gibt es für Windows 8 Pro und Enterprise, ab Windows 8.1 für alle Editionen, da es ab 2015 so oder so 'Mandatory' für neu ausgelieferte Systeme wird. Das Setup ist ja jetzt schon so ausgelegt, das Bitlocker automatisch aktiviert, sobald es auf die passende Hardware trifft.

Und ich weiß jetzt nicht genau, warum Du immer Bitlocker auf 'Verschlüsselung des Betriebssystems auf Volume-Ebene' reduzierst. Das ist schon seit Windows 7 nicht mehr der Fall. Mit Bitlocker kannst Du jedes passende Volumen verschlüsseln, auch Wechseldatenträger.
Ich bin kein Toilettenpapier-Hamster.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
0

#7 Mitglied ist offline   Sturmovik 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.776
  • Beigetreten: 10. Januar 08
  • Reputation: 445
  • Geschlecht:unbekannt
  • Wohnort:In Reichweite der Kaffeemaschine
  • Interessen:IT, Luftfahrt, historische Technik

geschrieben 26. April 2014 - 19:06

Beitrag anzeigenZitat (meckyrockt: 26. April 2014 - 15:26)

Nach Begutachtung entsprechender Wikipediaartikel bin ich der Meinung, dass mein Rechner nicht an eine Domain angeschlossen ist.^^


Der Satz des Tages :thumbsup: Der kommt in meine Zitatesammlung.

Zitat

Selbstverständlich wäre es möglich, eine SSD mit TC/BitLocker zu verschlüsseln. Hersteller raten davon allerdings dringend ab, da das sogenannte 'wear leveling' beeinflusst wird und sich die Platte durch eine entsprechende Vollverschlüsselung schnell abnutzt.

Wegen dem Wearleveling sollte man ca. 20% unverschlüsselt lassen, damit nicht sofort die (oft sparsam bemessenen) Reservezellen gebraucht werden.
DEnn der SSD ist es egal, ob der Speicher im Container genutzt wird, oder nicht, die SSD sieht den ganzen Container als belegten Speicher.
Allerdings haben SSDs noch einen anderen Nebeneffekt auf die Verschlüsselung durch Truecypt. WL und TRIM hebeln die Verschlüsselung nämlich recht effektiv aus, schreiben zumindest die Macher von Tuecrypt.
Ob das alles auch für Bitlocker gilt, kann ich nicht so genau sagen.
Dateibasierte Verschlüsselung wie EFS erscheint mir hier sinnvoller, da bleiben die SSD-Lebenserhaltungsmechanismen bestehen.

Hier wärs besser eine selbstverschlüsselnde SSD zu nutzen, wie z.B. die 840Pro von Samsung. Hier erfolgt die Verschlüsselung hardwarebasiert im Einklang mit den Lebenserhaltungsmaßnahmen. Als positiver Nebeneffekt wird der Prozessor entlastet.

RalphS sagte:

... Nun bin ich grad nicht 100%ig sicher, wie's mit Windowsen > 8.0 aussieht. Aber, wenn sich da nix geändert hat, gibt es (meines Wissens) Bitlocker nur noch für die Enterprise. Das wäre also faktisch raus, da man seine (Privat-)Finger nicht an die Enterprise-Edition bekommt (da volume-basiert lizensiert).


Windows 8 Pro bringt Bitlocker mit.
«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)

Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.

True Cloudstorage
0

#8 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 26. April 2014 - 19:13

... Okay? Wieder was dazugelernt. :lol:

Mh. Hab ich wohl veraltete Infos. :blush:

Beitrag anzeigenZitat (DK2000: 26. April 2014 - 18:56)

Bitlocker gibt es für Windows 8 Pro und Enterprise, ab Windows 8.1 für alle Editionen, da es ab 2015 so oder so 'Mandatory' für neu ausgelieferte Systeme wird. Das Setup ist ja jetzt schon so ausgelegt, das Bitlocker automatisch aktiviert, sobald es auf die passende Hardware trifft.


Aha? :unsure: Hast da nen Link für mich? Weil, soweit ich weiß hat MS die Bitlocker-Verschlüsselung aus allen 8-Editionen außer -E rausgeworfen. Wenn sich da was geändert hat, hab ich zumindest noch nix von gehört.

Beitrag anzeigenZitat (DK2000: 26. April 2014 - 18:56)

Und ich weiß jetzt nicht genau, warum Du immer Bitlocker auf 'Verschlüsselung des Betriebssystems auf Volume-Ebene' reduzierst. Das ist schon seit Windows 7 nicht mehr der Fall. Mit Bitlocker kannst Du jedes passende Volumen verschlüsseln, auch Wechseldatenträger.


Weil es nur dort Sinn macht. Okay, Wechseldatenträger geb ich Dir noch - da macht es auch Sinn -- und ich hab auch nirgendwo gesagt, daß es nicht *geht*.

Aber es macht halt - meines Erachtens - keinen Sinn, irgendwas außer dem Betriebsystem mit Bitlocker zu verschlüsseln. Jedenfalls dann, wenn Bitlocker ordentlich eingesetzt wird. Denn Bitlocker bindet einerseits die Daten an die Hardware und Backups andererseits bleiben unverschlüsselt.

Bitlocker bringt eigentlich nur was, wenn der Rechner aus ist. Ist er an (lies: Windows ist gestartet), ist Bitlocker transparent und schützt gar nichts.

Bitlocker kann eines, was "andere" nicht können: Betriebssysteme verschlüsseln. Einfach deswegen, weil es selbst noch vor dem Betriebssystem initialisiert wird.

Aber alles, was NICHT Betriebssystem lautet, kann(!) anders gesichert werden. Zum Beispiel mit EFS, bei dem man insbesondere auch dann nicht zugreifen kann, wenn das Betriebssystem gestartet ist (und wenn nicht, auch nicht). Anders gesagt, es schützt *mehr*.


(Wechseldatenträger machen aber tatsächlich Sinn, die hab ich einfach vergessen. Wechseldatenträger kann man mit Bitlocker recht effektiv gegen ein Anstöpseln an andere Rechner sichern. Aber, halt "nur" dagegen.)

Dieser Beitrag wurde von RalphS bearbeitet: 26. April 2014 - 19:29

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#9 Mitglied ist offline   Sturmovik 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.776
  • Beigetreten: 10. Januar 08
  • Reputation: 445
  • Geschlecht:unbekannt
  • Wohnort:In Reichweite der Kaffeemaschine
  • Interessen:IT, Luftfahrt, historische Technik

geschrieben 26. April 2014 - 19:31

Beitrag anzeigenZitat (RalphS: 26. April 2014 - 19:13)

Aha? :unsure: Hast da nen Link für mich? Weil, soweit ich weiß hat MS die Bitlocker-Verschlüsselung aus allen 8-Editionen außer -E rausgeworfen. Wenn sich da was geändert hat, hab ich zumindest noch nix von gehört.

Caschy
Wiki
Microsoft

Sollte reichen oder? :wink:


Zitat

Weil es nur dort Sinn macht. Okay, Wechseldatenträger geb ich Dir noch - da macht es auch Sinn -- und ich hab auch nirgendwo gesagt, daß es nicht *geht*.

Aber es macht halt - meines Erachtens - keinen Sinn, irgendwas außer dem Betriebsystem mit Bitlocker zu verschlüsseln. Jedenfalls dann, wenn Bitlocker ordentlich eingesetzt wird. Denn Bitlocker bindet einerseits die Daten an die Hardware und Backups andererseits bleiben unverschlüsselt.

Bitlocker bringt eigentlich nur was, wenn der Rechner aus ist. Ist er an (lies: Windows ist gestartet), ist Bitlocker transparent und schützt gar nichts.

(Weswegen Wechseldatenträger tatsächlich Sinn machen, die hab ich einfach vergessen, ja. Wechseldatenträger kann man so recht effektiv gegen ein Anstöpseln an andere Rechner sichern.)

Das ist mit jeder Verschlüsselungsmethode so. Sobald der Container gemounted ist, erfollgen sämtliche Zugriffe durch die Verschlüsselungsengine und haben damit effektiv unverschlüsselten Zugriff auf die Daten im Container. Da ist BL wie TC.
Deswegen halte ich persönlich Verschlüsselung der LAufwerke bei nem Desktoprechner für total paranoid, (zumindest im Privatbereich, wenn man nix ausgefressen hat)

Bei Mobilgeräten ist das schon eher sinnvoll, die wechseln ja gern mal unfreiwillig den Besitzer.



Zum Thema selbstverschlüsselnde SSDs hab ich bei Anand noch was nettes gefunden. Wenn die SSD mitspielt, schaltet Bitlocker die softwarebasierte Verschlüsselung aus und "überlässt das den Profis", nämlich der SSD-Firmware.
Anandtech

Dieser Beitrag wurde von Sturmovik bearbeitet: 26. April 2014 - 19:36

«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)

Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.

True Cloudstorage
0

#10 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 26. April 2014 - 19:38

Klar reichen die. Gleich mal angucken, danke. :)

Re: Verschlüsselung: Dateibasiert geht immer. Und während EFS ohne Domain auch nicht soo das Wahre ist, hat man doch sowas wie eine eingebaute Zugriffskontrolle (wer darf, wer nicht).

Ansonsten Bitlocker: Wenn die Gefahr besteht, daß jemand die Festplatte aus dem Rechner holt. Bitlocker bringt auch mobil nicht viel, wenn das Gerät komplett geklaut wird.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#11 Mitglied ist offline   DK2000 

  • Gruppe: Administration
  • Beiträge: 19.794
  • Beigetreten: 19. August 04
  • Reputation: 1.434
  • Geschlecht:Männlich
  • Wohnort:Oben auf dem Berg
  • Interessen:Essen, PC, Filme, TV Serien...

geschrieben 26. April 2014 - 20:16

Beitrag anzeigenZitat (RalphS: 26. April 2014 - 19:38)

Bitlocker bringt auch mobil nicht viel, wenn das Gerät komplett geklaut wird.

Und das ändert sich ja dann auch, da mind. ein sicheres Passwort zur Pflicht wird, wenn man die Verschlüsselung verwendet.

Die Links dazu finde ich da gerade nicht. Die Dokumente sind da irgendwo auf der Seite für das Zertifizierungsprogramm. Aber irgendwie finde ich die gerade nicht oder Microsoft hat die wieder aus der Öffentlichkeit entfernt.
Ich bin kein Toilettenpapier-Hamster.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
0

#12 Mitglied ist offline   Sturmovik 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.776
  • Beigetreten: 10. Januar 08
  • Reputation: 445
  • Geschlecht:unbekannt
  • Wohnort:In Reichweite der Kaffeemaschine
  • Interessen:IT, Luftfahrt, historische Technik

geschrieben 26. April 2014 - 20:24

Um mal zum Thema zurück zu kommen, hab ich hier einen recht jungen Artikel gefunden zur Aktivierung von Bitlocker ohne TPM unter Windows7. Eventuell tuts das auch noch unter 8.1
«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)

Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.

True Cloudstorage
0

#13 _meckyrockt_

  • Gruppe: Gäste

geschrieben 27. April 2014 - 16:03

Beitrag anzeigenZitat (RalphS: 26. April 2014 - 17:40)

Bitlocker bringt nicht viel re: Dateiverschlüsselung, da das Betriebssystem beim Start entschlüsselt wird. Sonst würde es ja nicht laufen. Backups von Bitlocker-gesicherten Volumes sind auch immer unverschlüsselt.

Keine Sorge, ich verwechsle Verschlüsselung weder mit einem gut konfigurierten Betriebssystem noch mit Virenscannern oder Firewalls. Werden aber beispielsweise Klientendaten oder Dateien, welche den Nachweis der eigenen Urheberschaft sichern, auf einem Laufwerk aufbewahrt, kann unter Umständen ein nicht unerhebliches Interesse daran bestehen, dass diese Information exklusiv bei der eigenen Person verbleiben. Ist der Rechner nun zur Reparatur beim Händler und steht mal wieder unbeaufsichtigt im Verkaufsraum herum wenn man ihn abholen möchte... Dazu gesellen sich auch Faktoren wie das Wohnen in Stadtteilen, in welchen nur suizidal interessierte Menschen nach Einbruch der Dunkelheit die eigene Wohnung verlassen... und ein Baugerüst vor dem Wohnzimmerfenster. Desweiteren fällt mir dann noch Festplattenverkauf ein... manchmal ist es leider auch notwendig, kaputte Laufwerke mit Garantieanspruch einzuschicken, die so beschädigt sind, dass man kein Low-Level-Format mehr laufen lassen kann. Tut mir leid, dass ich es nützlich finde, dass sich in diesen Szenarien Hans und Franz nicht einen schönen Tag mit meinen Daten machen können.^^

Beitrag anzeigenZitat (DK2000: 26. April 2014 - 18:56)

Das Setup ist ja jetzt schon so ausgelegt, das Bitlocker automatisch aktiviert, sobald es auf die passende Hardware trifft.

Ein spannender Hinweis, in dem Fall werd' ich dann sicherheitshalber einen Blick in die Optionen werfen, wenn ich mal Board und Prozessor update... was vermutlich ab Montag der Fall sein dürfte, nachdem sich am Wochenende eine Xeon-CPU in mein Blickfeld gewagt hat.

Beitrag anzeigenZitat (Sturmovik: 26. April 2014 - 19:06)

Der Satz des Tages :thumbsup: Der kommt in meine Zitatesammlung.

Glad to be of service.^^

Beitrag anzeigenZitat (Sturmovik: 26. April 2014 - 19:06)

Hier wärs besser eine selbstverschlüsselnde SSD zu nutzen, wie z.B. die 840Pro von Samsung. Hier erfolgt die Verschlüsselung hardwarebasiert im Einklang mit den Lebenserhaltungsmaßnahmen. Als positiver Nebeneffekt wird der Prozessor entlastet.

Auf die Gefahr hin, dich abermals nicht unerheblich zu amüsieren^^: In meinem System läuft eine 840Pro, welche ich mir aus eben den von dir beschriebenen Gründen (okay, und damit Lightroom und Photoshop verdammt noch mal das Rennen anfangen) zugelegt habe. Nach dem Einbau schlichen sich die Erkenntnisse ein, dass der nicht native SATA3 vornehmlich die Kunst des Ausfallens beherrscht und insgesamt langsamer läuft als Intels SATA2 sowie dass mein sch... önes Board nicht die Bios-Option ATA/HDD-Passwort besitzt und die hardwaremäßig implementierte AES-Verschlüsselung somit nicht aktiviert werden kann. Mittlerweile nervt mich mein System allerdings auch anderweitig ausreichend, dass ich vermutlich Board und CPU updaten werd'.^^

Beitrag anzeigenZitat (RalphS: 26. April 2014 - 19:13)

Bitlocker kann eines, was "andere" nicht können: Betriebssysteme verschlüsseln. Einfach deswegen, weil es selbst noch vor dem Betriebssystem initialisiert wird.

Tatsächlich stellte TrueCrypt mit MBR-Laufwerken, Bios und eigenem Bootloader eine ganz ausgezeichnete Option zur Systemverschlüsselung dar. UEFI-Mode und GPT haben die Verfügbarkeit dieser Option allerdings auf unbestimmte Dauer nachhaltig beendet.

Beitrag anzeigenZitat (Sturmovik: 26. April 2014 - 19:31)

Zum Thema selbstverschlüsselnde SSDs hab ich bei Anand noch was nettes gefunden. Wenn die SSD mitspielt, schaltet Bitlocker die softwarebasierte Verschlüsselung aus und "überlässt das den Profis", nämlich der SSD-Firmware.
Anandtech

Vielen Dank, der Link kommt mir gerade recht. Werde beim neuen Board darauf achten, dass es exakt die aufgeführten Spezifikationen erfüllt.

Beitrag anzeigenZitat (DK2000: 26. April 2014 - 20:16)

Und das ändert sich ja dann auch, da mind. ein sicheres Passwort zur Pflicht wird, wenn man die Verschlüsselung verwendet.

Anderenfalls kann man sich den ganzen Zauber irgendetwas zu verschlüsseln sparen, ja.^^ Das BSI empfiehlt übrigens 20+ Zeichen alphanumerisch mit Sonderzeichen sowie Groß- und Kleinschreibung, sofern ich mich recht entsinne.

Beitrag anzeigenZitat (Sturmovik: 26. April 2014 - 20:24)

Um mal zum Thema zurück zu kommen, hab ich hier einen recht jungen Artikel gefunden zur Aktivierung von Bitlocker ohne TPM unter Windows7. Eventuell tuts das auch noch unter 8.1

Dank' dir!

Eine Frage hätte ich noch zu den beiden im Wizard zur Auswahl gestellten Optionen:

- nur verwendeten Speicherplatz verschlüsseln (schneller, optimal für neue Computer und Laufwerke)
- gesamtes Laufwerk verschlüsseln (langsamer, aber optimal für PCs und Laufwerke die bereits verwendet werden)

Falls ich das richtig kapiert habe, handelt es sich bei beiden Optionen um On-the-Fly-Verschlüsselungen, sodass die auf dem Laufwerk befindlichen Daten erhalten bleiben. Möglichkeit eins erscheint mir grundsätzlich unsympathisch. Hat jemand 'ne Ahnung, ob bei Option zwei die vorhandenen Daten und der freie Speicher sicher überschrieben werden?

Vielen, vielen Dank für eure Antworten!
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0