Bitlocker-Schutz lässt sich umgehen: Abhilfe mit PIN
ฝัง
- เผยแพร่เมื่อ 6 ก.ค. 2024
- Mehr im Blog: bit.ly/49GTGVe | Link TPM-Video: • Breaking Bitlocker - B...
Verbesserte Sicherheitsmaßnahmen für Bitlocker zur Abwehr von Cold-Boot-Angriffen.
Bitlocker dient als integrierte Verschlüsselungslösung für Windows-Betriebssysteme, wobei Microsoft stets bemüht ist, ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit herzustellen. Typischerweise nutzt ein Computer einen TPM-Chip, der den notwendigen Schlüssel bereitstellt, sodass Windows wie gewohnt startet. Obwohl die Daten verschlüsselt sind, ist es für den Nutzer nicht erforderlich, ein zusätzliches Passwort beim Hochfahren einzugeben.
Diese Benutzerfreundlichkeit birgt jedoch Risiken, da die Verschlüsselung mittels Cold-Boot-Angriffen und entsprechender Software umgangen werden könnte. Eine Lösung hierfür bietet die Eingabe einer PIN, die erforderlich ist, bevor Windows startet.
0:00 Einleitung
1:21 PIN in Gruppenrichtlinien aktivieren
3:11 PIN in Eingabeaufforderung eingeben
4:30 PIN Eingabe nach Neustart / Boot
4:44 Fazit, PIN entfernen, PIN ändern - วิทยาศาสตร์และเทคโนโลยี
Danke! Jetzt nähern wir uns glaube (!) ich der Festplattenverschlüsselung bei einem Linux-Desktop-System.
Ja oder auch wie früher bei TrueCrypt oder VeraCrypt.
@@eKiwiBlogTutorials wieso wie früher?
@@ariwankinabi Mit früher meinte ich, dass ich die früher verwendet hatte, vor Bitlocker. VeraCrypt funktioniert ja immer noch so.
@@eKiwiBlogTutorials eben! Ideal für die gemeinsame Partition für Linux und M$ auf einem dualboot Notebook.
@@ariwankinabi Das wollte ich bei nächster Gelegenheit auch mal testen und ggf. vorstellen.
Also gibt es jetzt zwei Abfragen, bevor Windows bootet? Weil dieses blaue Fenster mit Passwortabfrage hat man ja regulär bereits, wenn man das Systemlaufwerk mit Bitlocker verschlüsselt. So ist es zumindest bei mir seit Jahren.
Genau, einmal die Bitlocker und einmal die normale Windows-Anmeldung. Wenn Du die Bitlocker Abfrage schon hast, dann kann es sein, dass dein Computer noch kein TPM hat, in dem Fall wird Bitlocker automatisch so wie im Video konfiguriert.
@@eKiwiBlogTutorialsAlles klar, dann liegt es daran. Habe leider noch kein TPM; wird dann wohl langsam mal Zeit. Danke für die Info!
@@fdsfsdfsfdAch solange alles läuft, kein Grund für was neues. 🙂
USB anstatt Pin wäre ja auch ne Lösung. Allerdings frage ich mich hier ob man für jeden PC einen Stick brauch, oder ob man einen Stick auch für mehrere PCs verwenden kann ? Nachteil vom Stick ist natürlich, dass jemand damit einfachen Zugriff hat falls er deinen PC und deinen Stick hat...
USB hatte ich selbst noch nicht probiert, wäre aber auch mal ein Thema für ein weiteres Video. Für Server wäre der Stick interessant, da hier der Stick ja dran bleiben kann.
Bin gerade zufällig in dem Thema da ich bei meinem HTPC zufälligerweise das bei "zusätzliche Authentifizierung beim Start" aktiviert habe. Wenn man das C Laufwerk dann verschlüsselt empfiehlt mir Win10 dann 3 Optionen, 1) Ein Bitlocker PIN zu verwenden 2) Stick 3) TPM ensperrt das Laufwerk automatisch beim Start.
Aber wie im Video erwähnt Pin ist da nur möglich mit Zahlen. Ich mag aber lieber ein richtiges Passwort, und da führt ja dann wohl kein Weg an der Console wie Sie es gemacht haben dran vorbei...
Aber ich als jemand der keine Ahnung frage mich: Falls ich das Laufwerk über das TPM Modul automatisch ensperren lasse ist ja an sich sowieso nicht sicher. Weil ein Angreifer bekommt der denn nicht trotzdem Zugriff auf die Daten vom PC indem dieser einfach das Das Windows Login Passwort z.B. mit BrutForce oder Passwort Änderungsmethode umgeht Mithilfe eines USB-Tricks. Oder erkennt das TPM solche Angriffe ? Falls nein führt doch dann sowieso kein Weg an einem Bitlocker Pin/Passwort vorbei für das C-Laufwerk ?
Ich kenne halt Bitlocker bereits von Zeiten ohne TPM. Da musste man immer beim Start ein Passwort eingeben. Seit 3 Jahren nutze ich TPM Module an meinen PCs und dachte an sich durch das TPM Modul sind die Zeit vorbei, bei denen man beim Boot ein Passwort eingeben muss. Aber jetzt erst mache ich mir Gedanken ob es nicht doch auch möglich ist an die Daten zu kommen mit einem Windows Login-Hack. Und das neue Video Breaking Bitlocker zeigt ja auch dass offenbar kein Weg an einem Bitlocker-Pin/Passwort vorbei führt. Ich schätze mal auch man sollte für die Bitlocker Verschlüsselung seiner Laufwerke auch nicht das gleiche Passwort benutzen als das Windows-Login Passwort. Da das Windows-Login-Passwort möglicherweise dann doch recht einfach herausgefunden werden kann. Wobei das natürlich auch nur geht wenn man ein Gerät hat das kein Bitlocker-Pin/Passwort verwendet, weil dann ja quasi auch der Angreifer nicht bis zum Windows-Login erst kommt...
Die Frage ist immer, wieviel Sicherheit man braucht und natürlich auch, wie sicher das Windows Kennwort ist.
Ein einfaches Kennwort, welches sich mit Brute-Force erraten lässt, lässt sich dann natürlich leichter umgehen.
Aber das gilt auch für die PIN bzw. Passwort beim Booten.
Die Methode mit TPM ist sehr anfällig für Cold-Boot-Attacken oder wie hier im Video beschrieben. D.h. mit etwas Mühe kommt der Angreifer an die Daten.
Ein Hack mit USB-Stick ist mir aber auch nicht bekannt. Sobald das System verändert wird, wird ja auch der Bitlocker Schlüssel beim Booten verlangt.
Für mich habe ich aber die Entscheidung getroffen, dass ich mobile Geräte nur noch mit Boot-PIN verwende.
@@eKiwiBlogTutorials Brute Force kann man in einer Windows konfig anhand einer Begrenzten Anzahl an versuchen abschwächen. Angeblich sollen auch nur 32 Versuche bei Bitlocker Pin möglich sein bis es 10 Minuten gesperrt wird...
Wenn das Bitlocker Pin sogar ein Passwort ist, und dann noch relativ lang, sollte man ja gut geschützt sein vor Angreifern.
Danke für die Anleitung. Überlege mir nun auch eher ein Passwort anstatt eine Zahlenpin mit deiner Methode zu machen. Jedefalls das Pin kann man mit einer graphischen Oberfläche einstellen. Kann sein dass das aber nur erscheint wenn das Laufwerk noch nicht verschlüsselt wurde... und man es dann verschlüsseln möchte.
@@daisyduck8593 Sehe ich inzwischen auch so, Passwort, ausreichend lang, dürfte deutlich sicherer sein.