Laptop / Festplatte umfangreich mit Bitlocker verschlüsseln (Windows 10)

[akosti]

Hallo,

Ich bin gerade damit fertig geworden meinen Laptop einzurichten. Jetzt, als ich zum letzten und wichtigsten Schritt komme, bin ich etwas verwirrt und hoffe, dass ihr mir hier weiterhelfen könnt.

Ich wollte meinen Laptop bzw. das Laufwerk mit Bitlocker verschlüsseln. Grund hierfür ist, dass ich mich vor physischen Zugriffen auf mein Gerät schützen möchte - wenn jemand an mein Gerät kommt, soll er nicht durch Eingabe des Windows-Passworts (oder noch schlimmer des 6-stelligen PINs, wie es seit neuesten ist) Zugriff auf alles haben. Ich hatte das Ganze immer klassisch mit Bitlocker eingerichtet. Laufwerk mit Bitlocker verschlüsselt damit bei jedem Neustart der Zugang im blauen Fenster durch Passworteingabe gewährt wird. Ohne dieses Passwort ging gar nichts.

Aus irgendeinem Grund kann ich aber "Bitlocker verwalten" in der Windows Suche nicht finden. Jetzt hab ich natürlich im Netz gestöbert um herauszufinden wieso. So wie es aussieht, ist das Laufwerk aber doch schon verschlüsselt:

Ich kann nur mehr den Wiederherstellungsschlüssel sichern. Klar, wenn jemand meine Festplatte ausbaut wird er durch den TPM auch nicht an die Daten kommen (so mein Verständnis). Was ein TPM ist, ist mir durchaus bewusst, dieser ist auch aktiviert. Aber wenn ich mein Gerät neu starte bzw. einschalte, wird kein Passwort abgefragt und ich komme sofort zum Windows Log-In bei dem man nur den PIN benötigt.

Es kann doch nicht sein, dass der PIN die einzige Sicherheitsmaßnahme ist, die mir Zugriff zum Gerät gewährt? Noch dazu habe ich nie ein zusätzliches Passwort eingerichtet, außer natürlich das meines Microsoft-Kontos - selbst das wird ja nicht abgefragt, da der PIN das Ganze ersetzt.

Übersehe ich hier irgendwas? Wie komm ich wieder zu meinem Oldschool Login bei dem ich mein sicheres, offline generiertes Passwort eingeben muss? Gibt es da mittlerweile etwas neueres?

Aktuell ist es zwar komfortabel, aber Sicherheitstechnisch einfach nur lächerlich.

Danke schon einmal und Gruß!

 

[Nilson]

Du kannst dein System auch mit VeraCrypt verschlüsseln. Das kann kein TPM und du musst daher ein Passwort beim Starten angeben. Und du nutzt den Quasistandard der Opensource Verschlüsselung statt die proprietäre Lösung von Microsoft.

 

[madmax2010]

+1
An Veracrypt arbeiten sehr viele, sehr kompetente Menschen & es gibt regelmaessig Audits deren Ergebnisse oeffentlich einsehbar sind. Finde ich erheblich vertraueswuerdiger, als proprietäre SW, bei der nicht einmal oeffentlich bekannt ist wer denen wann und wie AES implementiert hat.

 

[Sephe]

Also.... Durch Secure Boot und TPM wird das booten so weit abgesichert, dass die Windows Anmeldung tatsächlich ausreichen sollte.

Du baust die SSD in einen anderen PC : Wiederherstellungsschlüssel

Du bootest von einem USB Stick o.Ä. : Wiederherstellungsschlüssel

Du steckst nicht autorisierte Thunderboltgeräte an: Wiederherstellungsschlüssel

Du deaktivierst Secure Boot : Wiederherstellungsschlüssel

Du gibst mehrmals die Falsche Pin ein: es gibt keine Pinabfrage mehr.

 

[Ray519]

Kann es sein dass du nur Windows Home hast? Da gibt es eine reduzierte Form von Bitlocker nur für das System-Laufwerk... Vllt fehlen dir deshalb Einstellungen.
Und wenn ein TPM verbaut ist, kann man über die Group Policies erlauben / vorschreiben, dass zusätzlich zum TPM auch noch ein Passwort eingegeben werden muss.

Ich habe aber keine Ahnung, ob man das nachträglich machen kann.

 

[TomH22]

Es kann doch nicht sein, dass der PIN die einzige Sicherheitsmaßnahme ist, die mir Zugriff zum Gerät gewährt? Noch dazu habe ich nie ein zusätzliches Passwort eingerichtet, außer natürlich das meines Microsoft-Kontos - selbst das wird ja nicht abgefragt, da der PIN das Ganze ersetzt.

Die PIN ersetzt nicht das Passwort, sondern ist nur vorgeschaltet, damit man nicht das, hoffentlich starke, Passwort des Microsoft Kontos jedes mal eingeben muss. Nach wenigen Fehlversuchen (glaube 3) fragt das System nach dem Passwort. Wenn man also nicht gerade 1234 oder 0000 verwendet, ist das sehr sicher. Eine 4 stellige PIN ist hinreichend stark, wenn es eben nur sehr wenige Versuche gibt, wie beim Geldautomaten. Man kann die PIN aber auch in der Systemsteuerung löschen, dann wird immer das PW abgefragt.

Zusätzlich sollte man für das Microsoft Konto noch 2 Faktor Authentifizierung mit dem Microsoft Authenticator einrichten. Dann gibt es auch die Option, sich nur über eine Challenge im Authenticator anzumelden anstatt ein Passwort zu verwenden. Denn ein Passwort, das man nie eingibt kann auch nicht durch Keylogger abgefangen werden.

Aber in jedem Fall dann auch einen Recovery Code für das Microsoft Konto generieren und auf Papier an einem sicheren Ort ablegen

 

[akosti]

Danke euch für die Antworten und danke für den Tipp mit Veracrypt. Ich glaube das werde ich mir ansehen.

Kann es sein dass du nur Windows Home hast? Da gibt es eine reduzierte Form von Bitlocker nur für das System-Laufwerk... Vllt fehlen dir deshalb Einstellungen.

Ja, Windows Home. Liegt wohl dann daran. Ich verstehe das aber so, dass es mit TPM diese Option gar nicht gibt aber kann man bestimmt irgendwie umgehen. Will aber auch nicht unbedingt das TPM deaktivieren.

Die PIN ersetzt nicht das Passwort, sondern ist nur vorgeschaltet, damit man nicht das, hoffentlich starke, Passwort des Microsoft Kontos jedes mal eingeben muss.

Okay danke, das mit den Fehlversuchen hab ich noch nicht getestet. Mein Punkt ist aber, dass ich nur ungern das Microsoft Passwort nutzen möchte, da ich dieses evtl. für andere Geräte benötige und das Ding ja auch im Browser/Internet eingegeben wird.

2FA wäre natürlich auch eine Option. Sehe ich mir an.

 

[TomH22]

da ich dieses evtl. für andere Geräte benötige und das Ding ja auch im Browser/Internet

Das ist gerade der Vorteil, der „passwortlosen“ Methode über den Authenticator:
Wenn man sich auf einem fremden Gerät oder an einem öffentlichen Ort (wo es evtl. Zuschauer oder Überwachungskameras gibt) in sein Microsoft Konto einloggen muss, gibt es keine Möglichkeit das Passwort zu loggen oder auszuspähen. Man darf natürlich das Ausloggen und Browser schließen nicht vergessen, wenn es nicht der eigene PC ist (oder besser gleich den private/inkognito Modus verwenden, dann werden alle login Cookies in jedem Fall gelöscht )

 

[akosti]

Vollzitat entfernt)

Ja okay, dann natürlich nur in Kombination mit 2FA. Wäre mir auch sicher genug.
Aber nur das Passwort alleine? Ist mir nicht sicher genug.

 

[Loopman]

Ich wollte meinen Laptop bzw. das Laufwerk mit Bitlocker verschlüsseln. Grund hierfür ist, dass ich mich vor physischen Zugriffen auf mein Gerät schützen möchte - wenn jemand an mein Gerät kommt, soll er nicht durch Eingabe des Windows-Passworts (oder noch schlimmer des 6-stelligen PINs, wie es seit neuesten ist) Zugriff auf alles haben.

Es scheint, als hättest du das mit Bitlocker nicht richtig verstanden. Mit dem richtigen Passwort bzw. PIN ist es vollkommen wurscht ob mit Bitlocker verschlüsselt oder nicht.
Bitlocker hilft dir nur, wenn jemand das Passwort/PIN nicht kennt und versucht alternativ an deine Daten zu kommen - sei es durch booten über ein anderes Medium, Zurücksetzen des PW mit den üblichen Tricks, Ausbau der Platte/SSD und Einbau in einen anderen PC, etc.

 

[akosti]

Es scheint, als hättest du das mit Bitlocker nicht richtig verstanden. Mit dem richtigen Passwort bzw. PIN ist es vollkommen wurscht ob mit Bitlocker verschlüsselt oder nicht.

Naja aber nur seitdem es TPMs gibt. Bevor es diese Komponente gab, war Bitlocker sehr wohl ein zusätzlicher Passwortschutz.

Bitlocker hilft dir nur, wenn jemand das Passwort/PIN nicht kennt und versucht alternativ an deine Daten zu kommen - sei es durch booten über ein anderes Medium, Zurücksetzen des PW mit den üblichen Tricks, Ausbau der Platte/SSD und Einbau in einen anderen PC, etc.

Ja und darum geht es mir (neben dem Schutz bzgl. einloggen solange der Laptop ganz bleibt) auch. Wenn jemand mein Gerät in die Hände bekommt, soll alles sicher verschlüsselt sein. Egal ob er sich auf normalem Wege einloggen möchte oder er die Festplatte ausbaut.