BitLocker (Win8.1Pro 64) Headersicherung, TPM-Einstellung, Rechteverwaltung
#1 _meckyrockt_
geschrieben 25. April 2014 - 21:16
gewöhnlich bin ich fröhlicher TrueCrypt-Nutzer und die Konfigurationsmöglichkeiten sowie Bedienbarkeit des Programms halte ich nach wie vor für ausgezeichnet. Leider ist die letzte Version von 2012 und GPT für TC ein Fremdwort. Deswegen bin ich unlängst mit meinem Browser ausgezogen, mir gefährliches Halbwissen über BitLocker anzulesen. Der Versuch, verbleibende Unklarheiten mithilfe des Microsoft Supports zu beseitigen, war dermaßen von Erfolg gekrönt, dass ich mir nach dem Telefonat wünschte, die 34 Minuten lieber draußen im Sand gespielt zu haben.
Bei meinem Systemlaufwerk handelt es sich um eine SSD, welche nicht verschlüsselt werden kann, da mein in die Jahre gekommenes Board die entsprechenden Hardwarevoraussetzungen nicht bereithält. Um nun meine Datenplatten wirkungsvoll mit BitLocker zu schützen erschien es mir daher wichtig, dass BitLocker im Active Directory keinen Recovery-Key hinterlegt. Laut dem 'Editor für lokale Gruppenrichtlinien' ist diese Option für Win8.1 standardmäßig ohnehin deaktiviert. Mit dem gleichzeitigen Umstellen der Optionen 'Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerke auswählen (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008R2)' sowie 'Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerke auswählen' scheint sich die Verschlüsselungsstärke für jedes Volume individuell anpassen zu lassen.
Mein Board besitzt kein TPM. Muss ich die entsprechende Option in den Gruppenrichtlinien setzen damit BitLocker fehlerfrei arbeitet oder ist diese Einstellung nur nötig, sofern man plant, das Systemlaufwerk zu verschlüsseln?
Ist eine manuelle Header-Sicherung für ein BitLocker-Volumen möglich? Ist BitLocker für eine Beschädigung des Headers überhaupt ebenso anfällig wie TC? Wenn ich es richtig verstanden habe, erstellt BitLocker auf GPT wie auf MBR-Laufwerken eine 100MB-Partition... daher die Frage ob BitLocker den Header da vll. von allein schon doppelt drauf ablegt.
Dass die beim Verschlüsseln generierte Recovery-Key-Datei ebenso Zugriff auf das Volume ermöglicht wie der selbst gewählte Schlüssel und daher sorgsam weggeschlossen gehört habe ich gelesen.
Sind mir darüber hinaus noch wichtige Punkte entgangen?
Vielen Dank für eure Hilfe!
Anzeige
#2
geschrieben 25. April 2014 - 21:44
Bist Du sicher, daß EFS nicht die bessere Option wäre? Weil, Bitlocker ist eher fürs Systemlaufwerk da. Deswegen ja auch der zusätzliche Platzbedarf in der Startpartition - Windows muß sich ja schließlich selber finden können.
Hängt der Rechner denn in einer Domain?
#3
geschrieben 25. April 2014 - 21:56
Was mich momentan wundert, ist die Aussage:
Zitat
Wie ist das gemeint? Wenn sich die nicht verschlüsseln lässt, wieso sollte dann das Verschlüsseln der Datenplatte klappen? Das verstehe ich da nicht so wirklich. Was ist damit gemeint?
Falls sich das auf TPM basiert, Windows 8.1 unterstützt noch das Verschlüsseln ohne TPM Chip. Muss nur aktiviert werden.
Was die beiden o.g. Richtlinien angeht, die bestimmen nur die Art der Verschlüsselung für alle Volumen. Wenn keine Richtline aktiviert ist, verwendet Bitlocker AES-128-Bit.
Und ob da irgend ein Header automatisch in der Systempartition gesichert wird, gute Frage. Nie darauf geachtet, glaube aber nicht, dass das passiert. Und ob an den überhaupt so sichern kann, wie bei TC, noch bessere Frage.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
#4 _meckyrockt_
geschrieben 26. April 2014 - 15:26
Hab' gerad' geschwind ein Blick auf EFS geworfen und mir erscheint das Konzept suspekt. Glaub' bevor ich Zugangsrechte via Zertifikat an ein Benutzerkonto binde würd' ich wesentlich lieber mit TC-Containern arbeiten.
Nach Begutachtung entsprechender Wikipediaartikel bin ich der Meinung, dass mein Rechner nicht an eine Domain angeschlossen ist.^^
Selbstverständlich wäre es möglich, eine SSD mit TC/BitLocker zu verschlüsseln. Hersteller raten davon allerdings dringend ab, da das sogenannte 'wear leveling' beeinflusst wird und sich die Platte durch eine entsprechende Vollverschlüsselung schnell abnutzt. Obwohl mein Modell eine Beschränkung integriert hat, die ein vollständiges Beschreiben durch den Nutzer verhindert und mit fünf Jahren Garantie ausgewiesen ist, möchte ich das Laufwerk schonend behandeln, damit es möglichst lange hält... und sich wohl fühlt.^^
Worauf ich bei meiner Ausführung Bezug nahm: Meine SSD besitzt die Option einer AES-Verschlüsslung als Hardwareimplementation. Meines Wissens nach findet hierdurch die oben beschriebene Zusatzbelastung nicht statt. Leider benötigt man für die Aktivierung des Schutzes eine Bios/Uefi-Option namens ATA/HDD-Passwort, was von meinem Board nicht unterstützt wird.
Genau, die 'BitLocker ohne TPM nutzen' Option hab' ich gefunden.
So 'ne Laufwerkverschlüsselung mit BitLocker ist ohne Headerbackup dann ja schon eher 'ne Geschichte für Mutige. Ein fehlerhafter Sektor an der falschen Stelle und das gesamte Volume hat sich in Wohlgefallen aufgelöst.
#5
geschrieben 26. April 2014 - 17:40
Bitlocker = Verschlüsselung des Betriebssystems auf Volume-Ebene.
TC = Verschlüsselung von Daten via eines speziellen Containers.
Und EFS = Verschlüsselung auf Dateisystemebene.
Bitlocker bringt nicht viel re: Dateiverschlüsselung, da das Betriebssystem beim Start entschlüsselt wird. Sonst würde es ja nicht laufen. Backups von Bitlocker-gesicherten Volumes sind auch immer unverschlüsselt.
TC's Aufgabe ist tatsächlich die Verschlüsselung von Daten und eben nicht des Betriebssystems.
Und die Aufgabe von EFS ist, ganz genau genommen, ein wenig redundant zur NTFS-Dateisystemrechteverwaltung - funktional tut es genau dasselbe, aber (und das ist das Plus) es verhindert den Zugriff auch dann, wenn man die HDD in einen Rechner steckt. Außerdem kann man wirklich jeden aussperren (geht mit NTFS nicht) und man profitiert, wenn man es mit einer PKI verbindet.
... Nun bin ich grad nicht 100%ig sicher, wie's mit Windowsen > 8.0 aussieht. Aber, wenn sich da nix geändert hat, gibt es (meines Wissens) Bitlocker nur noch für die Enterprise. Das wäre also faktisch raus, da man seine (Privat-)Finger nicht an die Enterprise-Edition bekommt (da volume-basiert lizensiert).
EFS kann man nutzen, geht auch unter Windows banal einfach zu verwenden. Aber man hat das Problem, daß man das ohne eine Domain nur lokal ans Benutzerkonto binden kann... und wenn man auf das Benutzerkonto nicht mehr zugreifen kann (egal warum) sind die Daten im Normalfall mangels Schlüssel auch weg. Klar kann man sich mit EFS auseinandersetzen, und man kann auch dafür sorgen, daß man das trotzdem wiederherstellen kann, aber es ist (ohne Domain) sehr viel aufwendiger als, sagen wir, Truecrypt.
Ganz abgesehen davon, daß es dem Wear-Leveling auf SSDs völlig egal ist, WOMIT verschlüsselt wurde bzw. wird. Ob man da Bitlocker drauf ansetzt oder EFS oder Truecrypt macht insgesamt nur insoweit einen Unerschied, daß das verschlüsselte Datenvolumen unterschiedlich umfangreich ist. Aber, soweit das Wear-Leveling in irgendeiner Form an die Ordnung der Dateidaten gekoppelt ist, macht das keinen Unterschied: denn egal womit man verschlüsselt, besagte Ordnung ist verloren.
Dieser Beitrag wurde von RalphS bearbeitet: 26. April 2014 - 17:43
#6
geschrieben 26. April 2014 - 18:56
Zitat (RalphS: 26. April 2014 - 17:40)
Bitlocker gibt es für Windows 8 Pro und Enterprise, ab Windows 8.1 für alle Editionen, da es ab 2015 so oder so 'Mandatory' für neu ausgelieferte Systeme wird. Das Setup ist ja jetzt schon so ausgelegt, das Bitlocker automatisch aktiviert, sobald es auf die passende Hardware trifft.
Und ich weiß jetzt nicht genau, warum Du immer Bitlocker auf 'Verschlüsselung des Betriebssystems auf Volume-Ebene' reduzierst. Das ist schon seit Windows 7 nicht mehr der Fall. Mit Bitlocker kannst Du jedes passende Volumen verschlüsseln, auch Wechseldatenträger.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
#7
geschrieben 26. April 2014 - 19:06
Zitat (meckyrockt: 26. April 2014 - 15:26)
Der Satz des Tages Der kommt in meine Zitatesammlung.
Zitat
Wegen dem Wearleveling sollte man ca. 20% unverschlüsselt lassen, damit nicht sofort die (oft sparsam bemessenen) Reservezellen gebraucht werden.
DEnn der SSD ist es egal, ob der Speicher im Container genutzt wird, oder nicht, die SSD sieht den ganzen Container als belegten Speicher.
Allerdings haben SSDs noch einen anderen Nebeneffekt auf die Verschlüsselung durch Truecypt. WL und TRIM hebeln die Verschlüsselung nämlich recht effektiv aus, schreiben zumindest die Macher von Tuecrypt.
Ob das alles auch für Bitlocker gilt, kann ich nicht so genau sagen.
Dateibasierte Verschlüsselung wie EFS erscheint mir hier sinnvoller, da bleiben die SSD-Lebenserhaltungsmechanismen bestehen.
Hier wärs besser eine selbstverschlüsselnde SSD zu nutzen, wie z.B. die 840Pro von Samsung. Hier erfolgt die Verschlüsselung hardwarebasiert im Einklang mit den Lebenserhaltungsmaßnahmen. Als positiver Nebeneffekt wird der Prozessor entlastet.
RalphS sagte:
Windows 8 Pro bringt Bitlocker mit.
Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.
True Cloudstorage
#8
geschrieben 26. April 2014 - 19:13
Mh. Hab ich wohl veraltete Infos.
Zitat (DK2000: 26. April 2014 - 18:56)
Aha? Hast da nen Link für mich? Weil, soweit ich weiß hat MS die Bitlocker-Verschlüsselung aus allen 8-Editionen außer -E rausgeworfen. Wenn sich da was geändert hat, hab ich zumindest noch nix von gehört.
Zitat (DK2000: 26. April 2014 - 18:56)
Weil es nur dort Sinn macht. Okay, Wechseldatenträger geb ich Dir noch - da macht es auch Sinn -- und ich hab auch nirgendwo gesagt, daß es nicht *geht*.
Aber es macht halt - meines Erachtens - keinen Sinn, irgendwas außer dem Betriebsystem mit Bitlocker zu verschlüsseln. Jedenfalls dann, wenn Bitlocker ordentlich eingesetzt wird. Denn Bitlocker bindet einerseits die Daten an die Hardware und Backups andererseits bleiben unverschlüsselt.
Bitlocker bringt eigentlich nur was, wenn der Rechner aus ist. Ist er an (lies: Windows ist gestartet), ist Bitlocker transparent und schützt gar nichts.
Bitlocker kann eines, was "andere" nicht können: Betriebssysteme verschlüsseln. Einfach deswegen, weil es selbst noch vor dem Betriebssystem initialisiert wird.
Aber alles, was NICHT Betriebssystem lautet, kann(!) anders gesichert werden. Zum Beispiel mit EFS, bei dem man insbesondere auch dann nicht zugreifen kann, wenn das Betriebssystem gestartet ist (und wenn nicht, auch nicht). Anders gesagt, es schützt *mehr*.
(Wechseldatenträger machen aber tatsächlich Sinn, die hab ich einfach vergessen. Wechseldatenträger kann man mit Bitlocker recht effektiv gegen ein Anstöpseln an andere Rechner sichern. Aber, halt "nur" dagegen.)
Dieser Beitrag wurde von RalphS bearbeitet: 26. April 2014 - 19:29
#9
geschrieben 26. April 2014 - 19:31
Zitat (RalphS: 26. April 2014 - 19:13)
Caschy
Wiki
Microsoft
Sollte reichen oder?
Zitat
Aber es macht halt - meines Erachtens - keinen Sinn, irgendwas außer dem Betriebsystem mit Bitlocker zu verschlüsseln. Jedenfalls dann, wenn Bitlocker ordentlich eingesetzt wird. Denn Bitlocker bindet einerseits die Daten an die Hardware und Backups andererseits bleiben unverschlüsselt.
Bitlocker bringt eigentlich nur was, wenn der Rechner aus ist. Ist er an (lies: Windows ist gestartet), ist Bitlocker transparent und schützt gar nichts.
(Weswegen Wechseldatenträger tatsächlich Sinn machen, die hab ich einfach vergessen, ja. Wechseldatenträger kann man so recht effektiv gegen ein Anstöpseln an andere Rechner sichern.)
Das ist mit jeder Verschlüsselungsmethode so. Sobald der Container gemounted ist, erfollgen sämtliche Zugriffe durch die Verschlüsselungsengine und haben damit effektiv unverschlüsselten Zugriff auf die Daten im Container. Da ist BL wie TC.
Deswegen halte ich persönlich Verschlüsselung der LAufwerke bei nem Desktoprechner für total paranoid, (zumindest im Privatbereich, wenn man nix ausgefressen hat)
Bei Mobilgeräten ist das schon eher sinnvoll, die wechseln ja gern mal unfreiwillig den Besitzer.
Zum Thema selbstverschlüsselnde SSDs hab ich bei Anand noch was nettes gefunden. Wenn die SSD mitspielt, schaltet Bitlocker die softwarebasierte Verschlüsselung aus und "überlässt das den Profis", nämlich der SSD-Firmware.
Anandtech
Dieser Beitrag wurde von Sturmovik bearbeitet: 26. April 2014 - 19:36
Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.
True Cloudstorage
#10
geschrieben 26. April 2014 - 19:38
Re: Verschlüsselung: Dateibasiert geht immer. Und während EFS ohne Domain auch nicht soo das Wahre ist, hat man doch sowas wie eine eingebaute Zugriffskontrolle (wer darf, wer nicht).
Ansonsten Bitlocker: Wenn die Gefahr besteht, daß jemand die Festplatte aus dem Rechner holt. Bitlocker bringt auch mobil nicht viel, wenn das Gerät komplett geklaut wird.
#11
geschrieben 26. April 2014 - 20:16
Zitat (RalphS: 26. April 2014 - 19:38)
Und das ändert sich ja dann auch, da mind. ein sicheres Passwort zur Pflicht wird, wenn man die Verschlüsselung verwendet.
Die Links dazu finde ich da gerade nicht. Die Dokumente sind da irgendwo auf der Seite für das Zertifizierungsprogramm. Aber irgendwie finde ich die gerade nicht oder Microsoft hat die wieder aus der Öffentlichkeit entfernt.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
#12
geschrieben 26. April 2014 - 20:24
Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.
True Cloudstorage
#13 _meckyrockt_
geschrieben 27. April 2014 - 16:03
Zitat (RalphS: 26. April 2014 - 17:40)
Keine Sorge, ich verwechsle Verschlüsselung weder mit einem gut konfigurierten Betriebssystem noch mit Virenscannern oder Firewalls. Werden aber beispielsweise Klientendaten oder Dateien, welche den Nachweis der eigenen Urheberschaft sichern, auf einem Laufwerk aufbewahrt, kann unter Umständen ein nicht unerhebliches Interesse daran bestehen, dass diese Information exklusiv bei der eigenen Person verbleiben. Ist der Rechner nun zur Reparatur beim Händler und steht mal wieder unbeaufsichtigt im Verkaufsraum herum wenn man ihn abholen möchte... Dazu gesellen sich auch Faktoren wie das Wohnen in Stadtteilen, in welchen nur suizidal interessierte Menschen nach Einbruch der Dunkelheit die eigene Wohnung verlassen... und ein Baugerüst vor dem Wohnzimmerfenster. Desweiteren fällt mir dann noch Festplattenverkauf ein... manchmal ist es leider auch notwendig, kaputte Laufwerke mit Garantieanspruch einzuschicken, die so beschädigt sind, dass man kein Low-Level-Format mehr laufen lassen kann. Tut mir leid, dass ich es nützlich finde, dass sich in diesen Szenarien Hans und Franz nicht einen schönen Tag mit meinen Daten machen können.^^
Zitat (DK2000: 26. April 2014 - 18:56)
Ein spannender Hinweis, in dem Fall werd' ich dann sicherheitshalber einen Blick in die Optionen werfen, wenn ich mal Board und Prozessor update... was vermutlich ab Montag der Fall sein dürfte, nachdem sich am Wochenende eine Xeon-CPU in mein Blickfeld gewagt hat.
Zitat (Sturmovik: 26. April 2014 - 19:06)
Glad to be of service.^^
Zitat (Sturmovik: 26. April 2014 - 19:06)
Auf die Gefahr hin, dich abermals nicht unerheblich zu amüsieren^^: In meinem System läuft eine 840Pro, welche ich mir aus eben den von dir beschriebenen Gründen (okay, und damit Lightroom und Photoshop verdammt noch mal das Rennen anfangen) zugelegt habe. Nach dem Einbau schlichen sich die Erkenntnisse ein, dass der nicht native SATA3 vornehmlich die Kunst des Ausfallens beherrscht und insgesamt langsamer läuft als Intels SATA2 sowie dass mein sch... önes Board nicht die Bios-Option ATA/HDD-Passwort besitzt und die hardwaremäßig implementierte AES-Verschlüsselung somit nicht aktiviert werden kann. Mittlerweile nervt mich mein System allerdings auch anderweitig ausreichend, dass ich vermutlich Board und CPU updaten werd'.^^
Zitat (RalphS: 26. April 2014 - 19:13)
Tatsächlich stellte TrueCrypt mit MBR-Laufwerken, Bios und eigenem Bootloader eine ganz ausgezeichnete Option zur Systemverschlüsselung dar. UEFI-Mode und GPT haben die Verfügbarkeit dieser Option allerdings auf unbestimmte Dauer nachhaltig beendet.
Zitat (Sturmovik: 26. April 2014 - 19:31)
Anandtech
Vielen Dank, der Link kommt mir gerade recht. Werde beim neuen Board darauf achten, dass es exakt die aufgeführten Spezifikationen erfüllt.
Zitat (DK2000: 26. April 2014 - 20:16)
Anderenfalls kann man sich den ganzen Zauber irgendetwas zu verschlüsseln sparen, ja.^^ Das BSI empfiehlt übrigens 20+ Zeichen alphanumerisch mit Sonderzeichen sowie Groß- und Kleinschreibung, sofern ich mich recht entsinne.
Zitat (Sturmovik: 26. April 2014 - 20:24)
Dank' dir!
Eine Frage hätte ich noch zu den beiden im Wizard zur Auswahl gestellten Optionen:
- nur verwendeten Speicherplatz verschlüsseln (schneller, optimal für neue Computer und Laufwerke)
- gesamtes Laufwerk verschlüsseln (langsamer, aber optimal für PCs und Laufwerke die bereits verwendet werden)
Falls ich das richtig kapiert habe, handelt es sich bei beiden Optionen um On-the-Fly-Verschlüsselungen, sodass die auf dem Laufwerk befindlichen Daten erhalten bleiben. Möglichkeit eins erscheint mir grundsätzlich unsympathisch. Hat jemand 'ne Ahnung, ob bei Option zwei die vorhandenen Daten und der freie Speicher sicher überschrieben werden?
Vielen, vielen Dank für eure Antworten!