von Martin Brinkmann am 30. Juli 2021 in Windows-Tipps – Letztes Update: 30. Juli 2021 -> 2 Kommentare
Bitlocker ist eine beliebte Verschlüsselungstechnologie von Microsoft, die zum Schutz von Daten auf Windows-Geräten verwendet wird. Privatanwender und Enterprise-Kunden können das System und die Daten mit Bitlocker schützen.
Bitlocker funktioniert standardmäßig auf bequeme Weise, da Benutzer beim Booten keine PIN oder kein Passwort eingeben müssen, da dies alles ist automatisch vom System verarbeitet.
Tipp: Lesen Sie unsere Anleitung zum Einrichten von Bitlocker unter Windows 10.
Das Einrichten eines Pins ist optional, wird jedoch dringend empfohlen, wie eine aktuelle Geschichte im Blog der Dolos Group nahelegt. Das Unternehmen erhielt einen Laptop von einer Organisation, der mit dem Standardsicherheitsstack der Organisation konfiguriert war. Der Laptop war vollständig mit TPM und Bitlocker verschlüsselt, hatte ein BIOS-Passwort, eine gesperrte BIOS-Boot-Reihenfolge und verwendete sicheres Booten, um das Booten nicht signierter Betriebssysteme zu verhindern.
Die Sicherheitsforscher entdeckten, dass das System direkt zum Windows 10-Anmeldebildschirm bootete; Dies bedeutete, dass die Benutzer zuvor keine PIN oder kein Passwort eingeben mussten und der Schlüssel aus dem TPM gezogen wurde.
Die Forscher suchten nach Informationen auf dem TPM-Chip und entdeckten, wie er kommuniziert. Bitlocker verwendet “keine der verschlüsselten Kommunikationsfunktionen des TPM 2.0-Standards”, was bedeutet, dass die Kommunikation im Klartext erfolgt.
Der Laptop wurde geöffnet und Sonden wurden verwendet, um während des Bootens Daten aufzuzeichnen. Das Open-Source-Tool https://github.com/FSecureLABS/bitlocker-spi-toolkit wurde verwendet, um den Bitlocker-Schlüssel in den Daten zu erkennen; Es wurde dann verwendet, um das Solid State Drive des Laptops zu entschlüsseln.
Die Forscher schafften es, in das System einzudringen, nachdem sie das Image in einer virtuellen Umgebung gebootet hatten. Von dort aus gelang es ihnen, sich mit dem Firmen-VPN zu verbinden.
Mitigation
Bitlocker unterstützt das Festlegen eines Pre-Boot-Authentifizierungsschlüssels. Wenn dieser Schlüssel gesetzt ist, muss er vor dem Systemstart eingegeben werden; dies funktioniert ähnlich wie VeraCrypt und andere Verschlüsselungsprogramme von Drittanbietern. VeraCrypt zeigt beim Booten ein Passwort und eine PIM-Eingabeaufforderung an, wenn das Systemlaufwerk verschlüsselt ist. Benutzer müssen das richtige Passwort und PIM eingeben, damit das Laufwerk entschlüsselt und das Betriebssystem gestartet wird.
Die Forscher schlagen vor, dass Benutzer die PIN festlegen, um das System und seine Daten zu schützen.
Authentifizierung vor dem Booten auf TPM mit einem PIN-Schutz eingestellt (mit einer ausgeklügelten alphanumerischen PIN [erweiterter PIN], um die TPM-Anti-Hammering-Mitigation).
Einrichten einer Bitlocker-Pre-Boot-Authentifizierungs-PIN
Hinweis: Bitlocker-Laufwerkverschlüsselung ist unter Windows 10 Pro und Enterprise verfügbar. Heimgeräte verfügen über eine Laufwerkverschlüsselung, die anders ist. Vielleicht möchten Sie stattdessen VeraCrypt verwenden, um die Daten auf Ihren Heimgeräten besser zu schützen. Unter Windows 10 können Sie überprüfen, ob die Geräteentschlüsselung verwendet wird, indem Sie die Einstellungen öffnen, nach Geräteentschlüsselung suchen und die Option aus den Ergebnissen auswählen.
- Öffnen Sie den Gruppenrichtlinien-Editor:
- Verwenden Sie die Tastenkombination Windows-R
- Geben Sie gpedit.msc ein und drücken Sie die Eingabetaste.
- Gehen Sie zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke mit der Ordnerstruktur der Seitenleiste.
- Doppelklicken Sie im Hauptfenster auf Zusätzliche Authentifizierung beim Start erforderlich.
- Setzen Sie die Richtlinie auf Aktiviert.
- Wählen Sie das Menü unter “TPM-Start-PIN konfigurieren” und setzen Sie es auf “Start-PIN mit TPM erforderlich”.
- Klicken Sie auf OK, um die soeben vorgenommenen Änderungen zu speichern.< /li>
Sie haben das System darauf vorbereitet, eine PIN als Authentifizierungsmethode vor dem Booten zu akzeptieren, aber Sie haben die PIN noch nicht festgelegt.
- Öffnen Sie Start.< /li>
- Geben Sie cmd.exe ein.
- Wählen Sie Als Administrator ausführen aus, um ein Eingabeaufforderungsfenster mit erhöhten Rechten zu öffnen.
- Führen Sie den folgenden Befehl aus, um eine Pre-Boot-PIN festzulegen: manage -bde -protectors -add C: -TPMANdPIN
- Sie werden aufgefordert, die PIN einzugeben und zu bestätigen, um sicherzustellen, dass sie identisch ist.
Die PIN ist festgelegt , und Sie werden beim nächsten Start aufgefordert, ihn einzugeben. Sie können den Befehl manage-bde -status ausführen, um den Status zu überprüfen.
Jetzt: Verschlüsseln Sie Ihre Festplatten? (über geboren)