Windows 10 verschlüsseln - VeraCrypt - Bitlocker - TPM - fTPM - ???

Richard Wagner

Bekanntes Mitglied
Es wird Zeit, daß auch Richard Wagner über durchgängige Verschlüsselung nachdenkt. Ein neuer PC ist da ein guter Anlaß.

Auf dem PC läuft Windows 10 Pro. Da bietet sich Bitlocker an, und ich habe mich etwas eingelesen. Zuvor habe ich auch über VeraCrypt nachgedacht, doch das scheint mir komplizierter und Bitlocker sicher gut genug, solange nicht die Informanten Ihrer Majestät hinter mir her sind. Stimmt Ihr mir zu oder gibt es Einwände?

Wenn ich das richtig verstanden habe, gibt es für Bitlocker zwei Möglichkeiten: Mit oder ohne TPM.

Ohne TPM soll es weniger sicher und weniger komfortabel sein. Aber handelt man sich mit TPM nicht auch Nachteile ein? Was empfehlt Ihr?

Das Board ist ein Asus ROG Strix X570-E mit Ryzen 7. Da könnte ich wohl fTPM über das BIOS nutzen. Oder ich kaufe ein TPM-Modul. Dieses von Asus müßte auf den Steckplatz auf dem Board passen:
Wäre diese Investition sinnvoll?
.
 

eumel_1

Der Reisende
Im Arbeitsumfeld nehmen wir (noch immer) TrueCrypt. Dann für die gesamte Festplatte, man muss beim Booten den Schlüssel eintippen.
Ganz wichtig: Backup machen, regelmäßig. Mir ist bereits zwei mal während Windows-Updates die Kiste abgeschmiert und ich musste dann mein Backup restoren.
Bitlocker habe ich selber noch keine Erfahrungen / noch nicht getestet.
 
Zuletzt bearbeitet:

DrSnuggles

Bekanntes Mitglied
TPM machts nicht sicherer als wenn du eine lange Passphrase verwendest. Im Gegenteil. Der Schlüssel ist in Hardware persistiert und mit großem Aufwand bekommt man den raus. Beschissen schlecht ist Bitlocker ohne Bootpin und mit SATA encryption. Das hält nur Gelegenheitsdiebe auf.
Der Ryzen enthält selbst ein TPM. Das externe TPM ist überflüssig und viel unsicherer
 

silverrider

The One and Only
Also als ich die Entscheidung getroffen habe, war es klar VeraCrypt. Persönlich muss ich sagen, man macht sich den Berg auch groesser, als er ist. Natürlich muss man sich etwas mit der Software befassen, aber die eigentliche Vollverschluesselung geht kinderleicht. Interessante Funktion war auch, dass der Rechner zwei Festplatten hat und ich gedacht habe, wie geht das beide komfortabel zu entschluesseln. In diesem.Fall drauf achten, fuer beide Laufwerke den selben Schluessel vergeben!
Dann gibts eine Funktion, dass er beim Booten beide Laufwerke oeffnen kann. Ansonsten immer auf die Aktualisierung von Veracrypt achten! Die arbeiten recht viel daran und sie ist ja dann sozusagen eine der wichtigsten Systemsoftwaren deines Rechners.
P.S.:Bei der Erstellung der Volumes zwingt er dich zu einem.Backup von wichtigen Dateien fuer moegliche Rettung einer zerschossenen Verschluesslung. Dafuer schon mal.einen Stick bereitlegen und nicht zu weit vergraben. Der ist sehr hilfreich. Hatte mal.auf dem.Rechner mit einem Bootstick gearbeitet und hatte mir durch einen Fehlklick den Bootbereich der Cryptopartition zerschossen, hat er auch super repariert. Also das ding lauft rund und ist durchdacht. Einfach mal machen, kann ja nichts passieren bei einem Rechner, wenn du vorher ein.Fullbackup machst.
 
Zuletzt bearbeitet:

Richard Wagner

Bekanntes Mitglied
Danke für Eure Rückmeldungen.

SATA encryption hatte ich nicht vor, nicht mit und nicht ohne Bitlocker oder VeraCrypt, und daß Bitlocker ohne Boot-PIN ziemlich dämlich ist (obwohl sogar große Konzerne, auch Banken, das angeblich machen) hatte ich auch schon mitbekommen.


Bleibt die Frage: Bitlocker oder VeraCrypt?

Angenommen, ich entscheide mich gegen TPM, sind die beiden dann vergleichbar im täglichen Einsatz: Zum Booten lange Passphrase eintippen und warten bis Windows gestartet ist. Dann weiter wie immer. Richtig? Oder gibt es bedeutende Unterschiede.

Wie ist es mit der Datensicherung (Image) und Zugriff über Live-System? Macrium Reflect zur Wiederherstellung aus dem laufenden Windows zu starten, so daß es nach einem Rebot automatisch mit der Wiederherstellung fortfährt wäre sicher nicht möglich, oder?


Solange ich der einzige bin, der Zugriff auf den Rechner hat, bzw. haben soll, dann muß auch nur ich die lange Zeichenkette kennen, die zum Rechnerstart notwendig ist. Wenn aber mehrere Benutzer den Rechner verwenden, hat zwar jeder sein eigenes Benutzerkonnto, aber den Schlüssel für Bitlocker oder VeraCrypt müssen alle kennen. Also muß ich das Geheimnis auch allen Michels und Lieschens verraten, die es aufschreiben und den Zettel unter die Tastatur legen. Dann kann ich mir das alles doch gleich sparen, oder?


Angenommen, ich entscheide mich für Bitlocker mit TPM und PIN:

Dann kennen nur ich und das TPM den Schlüssel. Den einzelnen Benutzern muß ich nur die PIN verraten. Erst nach Eingabe der PIN gibt das TPM den Schlüssel frei und Windows kann starten. Weil man aber die PIN nicht beliebig oft falsch eingeben kann (BruteForce damit ausgeschlossen sein sollte) und kein Benutzer ohne administrative Rechte den Schlüssel aus dem Arbeitsspeicher auslesen können sollte, kommt dieser Benutzer nur an seine eigenen Dateien und ein Dieb, der die Festplatte oder den ausgeschalteten Rechner klaut, kommt an gar nichts, weil er auch nicht das Benutzerkennwort zurück setzten kann.

Wenn ich hier nichts übersehen habe, wäre das somit eindeutig sicherer, als ohne TPM und statt dessen eine lange Zeichenkette eintippen.


Das gilt natürlich nur, so lange das TPM nicht geknackt wird. Das ist der nächste Punkt:
@DrSnuggles schreibt, daß man den Schlüssel mit großem Aufwand aus dem TPM raus bekommt.

Ein unfreundlicher Besucher, der ohne weitere Interessen meine Hardware mit nimmt, würde vielleicht in eine unverschlüsselte Festplatte reinschauen und sich an despektierlichen Bildern ergötzen. Er wird aber keinen Aufwand betreiben, ein TPM zu knacken, sondern die Festplatte neu formatieren und einer anderweitigen Nutzung zuführen. Vermutet jemand auf meiner Festplatte geheime Pornofile vom Doktor mit dem Silberreiter, könnte das Interesse schon größer sein.

Aber wie groß ist der Aufwand, ein TPM zu knacken?


Wenn ich den Doktor richtig verstanden habe, hält er ein separates TPM-Modul für weniger sicher als das fTPM vom Ryzen.

VeraCrypt benutzt kein TPM, was u.a. damit begründet wird, daß ein Angreifer das ja zurücksetzen könnte. Aber was würde ihm das nutzen? Wäre der Schlüssel, den er ja haben will, dann nicht gelöscht?

Und genau das passiert wohl auch beim fTPM vom Ryzen, wenn man ein BIOS-Update macht:

Wenn ich das richtig verstanden habe, sollte man, wenn man fTPM verwendet, also entweder kein BIOS-Update machen, oder die Festplatte vorher ent- und hinterher wieder verschlüsseln, was ja gerne ein paar Stunden dauern kann und damit in der Praxis untauglich ist. Konzequenz: Wenn man fTPM benutzt, ist BIOS-Update tabu! Oder ist der Bericht nur ein Einzelfall?


@DrSnuggles
Von den Problemen beim BIOS-Update mal abgesehen, vertraust Du dem fTPM also mehr als einem separaten TPM-Modul?
 

eumel_1

Der Reisende
Eine Datensicherung vom laufendem System erzeugt (zumindest unter TrueCrypt) ein Image, welches nicht verschlüsselt ist.
Logisch, da es ja zur Laufzeit unverschlüsselt ist bzw. zur Datensicherung im laufendem System die Daten entschlüsselt.
 

silverrider

The One and Only
Ich schweife mal etwas ab @Richard Wagner , aber ich finde das gehört auch etwas zur Lösungsfindung.
Wir sind doch alle ungefähr eine Generation? und kommen alle aus der gleichen Computer-Geschichte,
sonst wären wir nicht hier auf dem Board.

Ich erinner mich noch an Zeiten, wo sofort nach XP-Antispy gerufen wurde, weil das OS ja soviel redet, Redmond eigentlich
zwei Teufelshörner auf hatte, der Entwurf zu Trustet Computing zu einem Shitstorm bei allen Freaks geführt hat, weil mir das Betriebssystem nicht mehr
gehört und M$ löschen kann worauf es Bock hat und mir Snowden aufgezeigt hat, dass fast die ganze Hardware auf meinem Rechner alle
Hintertüren hat, damit gewisse Herren jederzeit Zugriff haben auf meinen Rechner haben und die Hersteller noch nicht einmal darüber reden dürfen!?
Zu den Herren die nicht reden dürfen gehört natürlich auch Microsoft.

Du in Persona liebäugelst jetzt mit einer Vollverschlüsselung aus dem Hause M$ im Zusammenspiel mit Hardware? Merkst du worauf ich hinaus will?
Weiterhin wird Bitlocker in Firmen auch gerne benutzt, weil der Admin über die Konsole jederzeit einen Key würfeln kann, mit dem er sofort Zugriff auf die
Kryptopartitionen hat, also "super" Software :yo Wenn du jetzt noch an die alten Tage von Wikileaks denkst, da gab es z.B. Coffee hies es glaub ich, eine
Remoteforensic Software für Ermittlungsbehörden von? na? Microsoft, richtig!

Du willst mir nicht erzählen, dass M$ sowas heute nicht auch für Bitlocker hat :D , wenn ich mir alleine die dämlcihe Adminkonsole anschaue.

@eumel_1 s Firma hat das wohl schon längst kappiert und nutzt VeraCrypt, weil sie keinen Bock hat, dass die Ammis ihre Firmendaten auslesen :yo

Ich kann nichts für Dummheit von Firmen, aber ich empfehle dir nochmals VeraCrypt. Dort kannst du auch gerne Hardware benutzen, wenn es etwas einfacher gehen soll, dann mach einfach ein Schlüsselfile
auf einem Stick, aber auch da das Backup nicht vergessen :yo

Wenn du über Hardwarezusammenspiel mit dem Bitlocker nachdenkst, dann solltest du dich auch fragen, wie es bei einem Hardwareschaden weitergeht?
Bei Veracrypt habe ich wenigstens noch die Chance, natürlich bei wissenden Key und funktionaler Festplatte/SSD, jederzeit u.a. auch mit alternativen Tools,
die Partition zu öffnen.

Das zu meinen last 2 cent :icon_easter1:
 

Richard Wagner

Bekanntes Mitglied
@silverrider
Ich verstehe, was Du meinst, und da ist wohl jeder Widerspruch zwecklos!

@eumel_1
Wenn ich aus dem laufenden Sytem heraus ein Image mache, ist das vielleicht 20 GB groß, auch wenn die Partition 150 GB hat, davon aber 20 GB hiberfil.sys, pagefile.sys und der Rest leer. Mache ich das Image von außerhalb, wenn die Partition verschlüsselt ist, ist die Imagedatei 150 GB, weil die verschlüsselten Daten auch nicht komprimiert werden können. Oder ist das nicht so?
Aber wer hindert mich daran, das Image von der entschlüsselten Partition z.B. in einen TrueCrypt-Kontainer auf einer externen Festplatte zu speichern?
 

eumel_1

Der Reisende
Hiberfil.sys, pagefile.sys, swapfile.sys werden eigentlich bei jedem Backup standardmäßig ignoriert, soweit ich weiß von so ziemlich allen Backupprogrammen.
Weiterhin kann so ziemlich jedes Backupprogramm dieses auch selber verschlüsseln während es angelegt wird.

Dein Einwand stimmt so, wer will schon (Beispiel) ein 1:1 Image einer 1TB Bootplatte machen, das dauert ja auch ewig. Wollte nur darauf hinweisen.

Generell bin ich beim Silverrider, MS hat mit an Sicherheit grenzender Wahrscheinlichkeit eine Hintertür in Bitlocker. Und mit an Sicherheit grenzender Wahrscheinlichkeit wird dir das niemand bestätigen (außer vielleicht Whistleblower aus MS Internals).
VeraCrypt ist der Nachfolger vom TrueCrypt, die Software wurde auch schon mal durch ein Audit gejagt (hatte Mängel, diese sind dann im Nachfolger beseitigt worden) und ist ohne Mängel durchgekommen.
Veracrypt ist DIE Verschlüsselungssoftware für Paranoiker, was sichereres wirst Du nicht finden. Ob man das so von Bitlocker behaupten kann, weiß ich nicht.
 
Zuletzt bearbeitet:

Richard Wagner

Bekanntes Mitglied
Wahrscheinlich hast Du recht mit der Hintertür in Bitlocker. Die Frage ist allerdings, inwieweit das für mich interessant ist, solange mich nicht die Geheimdienste auf dem Kicker haben. Von daher hatte ich anfangs halt auch Bitlocker in Erwägung gezogen. Gegen einen gewöhnlichen Dieb reicht das sicher allemal. Aber man weiß ja nie, was kommt. Also geht meine Tendenz inzwischen stark Richtung VeraCrypt. Das habe ich eh schon für externe Backupplatten im Einsatz (vorher TrueCrypt).

Ein Aspekt scheint mir aber nach wie vor für Bitlocker mit TPM und PIN zu sprechen, und das ist der Hauptschlüssel, den dann nur das TPM kennt, ohne daß ich ihn an Mitbenutzer raus geben muß...

[...] VeraCrypt ist der Nachfolger vom TrueCrypt, die Software wurde auch schon mal durch ein Audit gejagt (hatte Mängel, diese sind dann im Nachfolger beseitigt worden) und ist ohne Mängel durchgekommen. [...]
Ich glaube, das Thema hatten wir hier irgendwo schon mal, ich kann mich aber nicht an die Antwort erinnern: Wenn VeraCrypt eine Lücke hat und die dann schließt, hat das doch keine Auswirkungen auf meine Laufwerke und Container. Wer hindert die neugierigen privat Detektive daran, eine ältere Version von VeraCrypt zu benutzen, wo die Lücke noch offen ist?
 

chaospir8

★★★★★-Oldie
@Belvedere Jehosaphat
In dem von Dir genannten Issue wird DiskCryptor als Alternative genannt, bei der man solche Geschwindigkeitseinbußen (BTW interessant, dass es nur die Lese-Zugriffe betrifft!) nicht hat.
Allerdings kenne ich das Programm nicht (ich verschlüssele auch momentan keine Festplatte auf keiner meiner Rechner).
 

bavariantommy

Universaldilletant
Hast Du Dir mal die Github-Seite angesehen? Das letzte stable Release stammt vom Dez. 2019, die aktuelle Beta vom April dieses Jahres.
Von "lange nicht mehr weiterentwickelt" kann da eher nicht die Rede sein.
Allerdings hat die aktuelle Beta-Version der Software eben den Bootloader meines Acer-Laptops geplättet.
Nach dem Start bietet die Software lediglich an, den Rechner zu rebooten, um sie zu aktivieren - dem ich auch folgte.
Danach war Ende im Gelände.
Letztlich half nur noch ein Reset des Systems.
 
Zuletzt bearbeitet:

silverrider

The One and Only
VeraCrypt ist nicht für M.2 SSDs geeignet. Es funktioniert zwar, allerdings mit recht hohen Geschwindigkeitsverlusten. Siehe https://github.com/veracrypt/VeraCrypt/issues/136
Das Problem ist seit über zwei Jahren bekannt, eine Lösung wurde versprochen, aber passiert ist nichts. Schade.

Wozu greift der geschwindigkeitsbewußte HDD Encrypter also? Ich hab noch keine Lösung.

Hmmm, also aus Erfahrung kann ich dir sagen, dass alle meine Laptops eine M2 haben und VeryCrypt. Ich habe in der normalen Nutzung keine Geschwindigkeitseinbußen festestellen
können, es erscheint mir bei normaler Nutzung für einen Normalverbraucher auch nicht erkennbar und ist bei einer SSD sicherlich jammern auf hohem Niveau.

Anders sieht es sehr wahrscheinlich für Nutzer aus, die noch die letzte Power aus Ihrer Kiste rausholen wollen, wobei sie dann eigentlich Intel schon erschossen haben sollten,
derren Patches für die CPU-Angriffe wohl mehr Verlust generieret haben, als VeraCrypt bei der Verschlüsselung :icon_lol:

Wenn du zu der Abteilung Zocker, Video- und Grafikbearbeitung und Co. gehörst, kann ich den Einwand verstehen, ansonsten merkst du im Alltag nichts davon, dass deine Partition verschlüsselt ist.

Dich zwingt aber auch keiner, deine Betriebssystempartition zu verschlüsseln, kannst ja auch nur eine gesonderte Partition verschlüsseln oder halt mit einem Container arbeiten.

P.S.: Hab mal die Benchmarks angesehen, die da aufgezeigt werden. Das ist dann grosses Aua, aber wie gesagt, ich für meinen Fall kann das nicht so gravierend bestätigen!
Am Ende würde ich sagen, einfach mal ausprobieren und selber ein Bild machen.
 
Zuletzt bearbeitet:

Belvedere Jehosaphat

Bekanntes Mitglied
@bavariantommy
Ich meinte das Original von ntldr. Das es jetzt eine Weiterentwicklung von Anderen gibt war mir nicht klar. Meine letzte Suche nach Programmen für Festplattenverschlüsselung ist etwa zwischen 6 und 9 Monaten her, da hatte Google noch nix ausgespuckt.

@silverrider
Habe auch überall Vera drauf. Noch empfinde ich keinen ausrechend hohen Leidensdruck für einen Wechsel, auch wenn manche Sachen auf meinem Arbeits-PC in der Firma trotz etwas langsamerer Hardware schneller laden. Aber das kann sich mit der nächsten Generation SSDs schlagartig ändern.
 

Richard Wagner

Bekanntes Mitglied
TPM machts nicht sicherer als wenn du eine lange Passphrase verwendest. Im Gegenteil. Der Schlüssel ist in Hardware persistiert und mit großem Aufwand bekommt man den raus. Beschissen schlecht ist Bitlocker ohne Bootpin und mit SATA encryption. Das hält nur Gelegenheitsdiebe auf.
Der Ryzen enthält selbst ein TPM. Das externe TPM ist überflüssig und viel unsicherer
Könntest Du das bitte noch etwas genauer erläutern?

Ich habe diesen Artikel dazu gefunden:

So wichtig, daß man diesen Aufwand betreibt, bin ich sicher nicht. Der Artikel ist aber schon 10 Jahre alt. Die Geheimdienste kennen vielleiht heute bessere Methoden und haben schon alle TPMs erforscht. WIe groß also ist der Aufwand heute? Und wieso meinst Du, daß fTPM vom Ryzen sicherer sei als ein separates Modul?

Sollte Bitlocker eine Hintertür haben, würden sicher alle Strafverfolgungsbehörden und Wirtschaftskriminelle diese kennen und nicht davor zurück schrecken, sie auszunutzen. Und es erscheint auch mir naheliegend, daß dem so ist. Dann ist es aber auch egal, wie sicher ein TPM ist. Den Aufwand, selbiges zu knacken, kann man sich dann sparen. Dennoch, die Frage steht im Raum...
 

Dorwyn

Bekanntes Mitglied
Wenn du zu der Abteilung Zocker, Video- und Grafikbearbeitung und Co. gehörst, kann ich den Einwand verstehen, ansonsten merkst du im Alltag nichts davon, dass deine Partition verschlüsselt ist.
Hmm... Mal angenommen es ist nur die Systemplatte verschlüsselt und nicht die Platte wo das Spiel drauf liegt... Kommt es dann zu merklichen Performanceeinbußen beim Zocken?! Das OS muss die Daten auf der Spieleplatte ja nicht entschlüsseln, sondern nur Daten der Systemplatte. Und das was du fürs Spiel vom OS brauchst, liegt doch eh im RAM, oder?
 

Belvedere Jehosaphat

Bekanntes Mitglied
@Richard Wagner
Es ist ein Katz und Maus Spiel. Erst ist TPM sicher, dann wirds geknackt, dann wirds wieder sicher gemacht, das dann auch wieder geknackt, und so weiter und so weiter. Ob Bitlocker mit TPM und Passwort bei der Windows-Anmeldung, oder Bitlocker ohne TPM aber mit Passwort für Pre Boot Authentication und Windows-Anmeldung ist unterm Strich egal, ein Erpresser kann jederzeit das Passwort durch Gewalteinwirkung auf den Benutzer herausbekommen. Lediglich Gelegenheitsdieben schiebt man einen Riegel vor, aber die haben auch nicht die Möglichkeiten zum Umgehen eines aktuellen TPMs.

Ob Bitlocker eine Hintertür hat? Nun, es wurde von einem US amerikanischen Unternehmen entwickelt (Microsoft), hat daher höchstwahrscheinlich eine Backdoor. In den Quellcode wurde meines Wissens noch niemandem Einblick gewährt und falls doch, wurde(n) die Person(en) mit an Sicherheit grenzender Wahrscheinlichkeit mit einem NDA mundtot gemacht.

Zur Sicherheit von TrueCrypt und VeraCrypt gibts hier noch folgendes zu lesen:
In einer erst im Dezember 2019 veröffentlichten Sicherheitsuntersuchung der Vorgängersoftware TrueCrypt aus dem Jahr 2010 durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden zahlreiche als sicherheitsrelevant eingestufte Fehler aufgeführt, von denen viele auch in der zur Zeit der Veröffentlichung aktuellen Veracrypt-Version (1.24) noch enthalten gewesen seien. Allerdings sei keine der Schwachstellen einzeln betrachtet dramatisch und wurden einige der Fehler umgehend behoben.
Fehler, die es schon in TrueCrypt gab, wurden von VeraCrypt übernommen und teilweise behoben. Es sind in VeraCrypt aber auch neue Fehler dazugekommen. Ist VeraCrypt jetzt sicher? Definitiv jein. Meine persönliche Einschätzung ist, daß es sicher genug ist, um den gemeinen Langfinger draußen zu halten.

@Dorwyn
Wenn Du genug RAM hast, daß die Auslagerungsdatei nicht bemüht werden muß, merkst Du nichts von einer verschlüsselten Systempartition.
 

Richard Wagner

Bekanntes Mitglied
Kann noch jemand Erhellendes zu meiner Frage in #10 beitragen?
Wenn VeraCrypt eine Lücke hat und die dann schließt, hat das doch keine Auswirkungen auf meine Laufwerke und Container. Wer hindert die neugierigen privat Detektive daran, eine ältere Version von VeraCrypt zu benutzen, wo die Lücke noch offen ist?
Was muß ich machen, wenn Vera bekannt gibt, eine Lücke geschlossen zu haben, vor der ich mich schützen will? Alles entschüsseln und neu verschlüsseln?
 

Belvedere Jehosaphat

Bekanntes Mitglied
@Richard Wagner
Ich weiß es nicht mit Sicherheit, kann mir aber gut vorstellen daß bei solch tiefgreifenden Änderungen wie dem Patchen der Verschlüsselung die bestehende Verschlüsselung nicht mehr mit der dann neueren Version von VeraCrypt kompatibel ist. Du müßtest dann vor der Versionsumstellung mit der Bestandsversion entschlüsseln und mit der neuen Version wieder verschlüsseln.
 

DrSnuggles

Bekanntes Mitglied
Generell bin ich beim Silverrider, MS hat mit an Sicherheit grenzender Wahrscheinlichkeit eine Hintertür in Bitlocker.
Mit Ansicherheit grenzender Wahrscheinlichkeit haben sie die nicht.
Die wäre nämlich schon lange von Reversern gefunden worden.
Man muss allerdings Bitlocker korrekt konfigurieren, d.h. kein Backup des Keys in die Microsoft Cloud pumpen ...

Weiterhin gestattet MS den Zugriff Regierungen: https://www.microsoft.com/en-us/securityengineering/gsp
und zu guter letzt Microsoft ist ein Riesenkonzern mit >150.000 Mitarbeitern, wo von ein großer Teil lesenden Zugriff hat, du kannst die Lücke nicht Geheimhalten.
Ich hab viel Kontakt zu Microsoft via PSFD, der klappt einmal seinen Laptop auf und schaut im Quellcode nach wenn es irgendwo klemmt ...

PS: Windows 10 Enterprise schadet nicht, da kann man dämlichen MS Defaults schön per GPO regeln ...
 
Zuletzt bearbeitet:

Richard Wagner

Bekanntes Mitglied
Danke für die Aufklärung!

Den Hinweis auf die Zugriffsrechte von Regierungen meinst Du, nehme ich an, im Zusammenhang mit der Wolke...

Den Hinweis auf die GPO und den Defender in Windows 10 Enterprise verstehe ich nicht. (ich bin noch bei Windows 8.1 und Comodo)
[...] kein Backup des Keys in die Microsoft Cloud pumpen ... [...]
Och... warum denn nicht?:icon_funny:
 

DrSnuggles

Bekanntes Mitglied
Group Policy Objekt
Damit setzt man in einer Firma Richtlinien auf den Clients durch.
Gibt's aber auch als lokale Policy.
Home kann das nicht
Pro ist etwas beschnitten
Volle Features gibt's nur bei Enterprise
 

Richard Wagner

Bekanntes Mitglied
Danke @DrSnuggles , aber was würde ich denn da an dämlichen Defaults ändern (ich hatte in #25 zuerst "Defender" gelesen)?
War das ein allgemeiner Hinweis, oder hat das mit Bitlocker oder TPM zu tun?
 

eumel_1

Der Reisende
Ja, das TPM ist in der CPU, viel viel schwerer physisch zu manipulieren als in einem separaten Chip
Wenn man den Gedanken weiterverfolgt, sollte man generell einen PC mit Nicht Intel Architektur nehmen, denn diese ist durch die korrupte Intel MME so im Arsch, man sollte AMD mal wieder eine Chance geben.
 

Richard Wagner

Bekanntes Mitglied
Das ist zwar OT, aber genau der Grund, warum ich AMD gekauft habe. Ich weiß nicht, wie das da demnächst aussehen wird, aber bei Intel hatte ich schon lange den Eindruck, daß Sicherheit ein Thema ist, das man dort nun lostlos behandelt. Deswegen hat es mich für die neue Hardware absolut nicht interessiert, wer welche Features, Leistung oder sonst was hat oder was es kostet. AMD fühlt sich für mich seit einiger Zeit schon einfach besser an!
 

Richard Wagner

Bekanntes Mitglied
TPM machts nicht sicherer als wenn du eine lange Passphrase verwendest.
Ich komme nocheinmal darauf zurück. Ich glaube, ich habe da etwas mißverstanden. Ich habe gerade mal in einer VM gespielt...

Wenn ich mit Bitlocker ohne TPM verschlüssel, ist es nicht der 48-stellige Wiederherstellungsschlüssel, den ich bei jedem Systemstart eingeben muß, sondern ein separates Kennwort, das kürzer sein kann. Aber das muß ich dann auch jedem Benutzer mitteilen. Richtig. Aber inwieweit ist das dann mit der Hardware gekoppelt. Ohne TPM doch gar nicht? Dann könnte man die Festplatte also auch in einem anderen Rechner entschlüsseln, nur mit dem Kennwort? Oder wie?
 

DrSnuggles

Bekanntes Mitglied
Natürlich kannst du die Festplatte auch in einem anderen PC entschlüsseln.
Auch mit einem TPM kannst du mit manage-bde den Recovery Key ausgeben und mit dem Platte entschlüsseln.
Das TPM gibt einfach nur den Key beim booten ans OS weiter.
Das ist kein DRM
 

DrSnuggles

Bekanntes Mitglied
Hier Mal sinnvolle settings für eine Firmenumgebung
 

Richard Wagner

Bekanntes Mitglied
Natürlich kannst du die Festplatte auch in einem anderen PC entschlüsseln. [...]
Ja, das ist schon klar, aber ich dachte, man müßte (ohne TPM) den 48-stelligen Wiederherstellungsschlüssel eingeben, um den PC zu starten. Bei meinem Test in der VM habe ich jetzt aber gesehen, daß man zusätzlich zum Wiederherstellungsschüssel, den man ausdrucken oder auf einen Stick speichern kann, ein Kennwort eingeben kann/muß, z.B. "DrScnuggles". Zum Booten reicht dann eben das: "DrScnuggles".

Die Frage war, welche Bedeutung dann der 48 stellige Wiederherstellungsschlüssel hat. Wenn ich den in ein TPM speicher, steht er beim PC-Start ja zur Verfügung, oder eben nicht, wenn ich das TPM ausbaue oder die Festplatte.

Aber wenn ich den Schlüssel ausgedruckt habe, dann weiß der Computer doch nichts davon...
 

Dorwyn

Bekanntes Mitglied
Sobald du Einstellungen im BIOS änderst, bspw. die Bootreihenfolge oder du bootest von einem USB Stick dann kannst du eben nicht auf die Platte durchgreifen. Der TPM gibt dann die Platte nicht frei.
 

DrSnuggles

Bekanntes Mitglied
Das BIOS / UEFI muss bei TPM Nutzung Passwortgeschützt sein und Secure Boot muss aktiviert sein. Booten von anderen Datenträgern muss verboten sein
 
Oben Unten