ComputerBase Menü
Aktuelles

Rechner (Windows) Verschlüsseln - 2023

DFFVB

DFFVB

Commodore
Registriert
Dez. 2015
Beiträge
4.943
Hallo zusammen,

angeregt durch den LTT Hack und der Erkenntnis, dass hier bei Diebstahl alle Session Tokens ebenfalls ungeschützt sind, frage ich mich nach der bestmöglichen Absicherung, gegen Einbruch / Verlust. Bestmöglich im Sinne von angemessenes Verhältnis von Komfort zu Sicherheit ;-)

Ich sehe grundsätzlich drei Möglichkeiten:

1. Bitlocker 2. Veracrypt 3. BIOS SSD-Verschlüsselung

1. Bitlocker
Hier gibt es ja mehrere Varianten,​
a) die erste und einfachste ist es zu aktivieren, wobei es da nur TPM Schutz genießt. Sprich, wer das Laptop klaut, hat immer noch Zugriff darauf, und kann per Brute-Force das PW knacken, bzw. das PW zurücksetzen, oder all die vielen Lücken ausnutzen, bei denen man sagt "Ist ja grad egal, wenn der Angreifer physischen Zugriff hat", bzw. cold boot attacken.​
b) Sprich man sollte zusätzlich Pre-Boot PIN aktivieren. Welche Risiken bleiben hier? TPM ab 2.0 sollte ja gegen Brute Force geschützt sein, ergo kann hier auch eine achtstellige numerische PIN gewählt werden?​
c) Bonus: Netzwerk Unlock - Dazu muss ich aber nen Windows Server plus AD betreiben... Hat da wer Erfahrung?​
2. Veracrypt
Grundsätzlich ja MS vorzuziehen, allerdings nutzt es kein TPM, die Erklärung in der FAQ find eich etwas lahm: Wenn der Angreifer physischen Zugriff hat, ist eh egal. Klar kann ich da dann ein so langes PW wählen, dass es nicht brute-force anfällig ist, aber das ist schon angenehmen nur Zahlen bei Bitlocker, und sich halbwegs auf TPM verlassen zu können. Ja mich weiß, TPM hat unterschiedliche Implementierung, und alle zwei Stunden ein neuer Versuch - aber selbst bei 6 Stellend auert das einem normalen Angreifer zulange.​
3. BIOS Passwörter für die Datenträger
Hier habe ich noch relativ wenig Erfahrung, früher konnte man BIOS Passwörter durch entfernen der CMOS Batterie zurücksetzen, nachdem ich gestern gelernt habe, dass ATA Passwörter nichtmal die Platte formatierbar ist, dürfte das schon auch Sicherheit bieten, mit wahrscheinlich dem gleichen Nachteil wie bei Verycrypt? Oder ist hier das Zusammenspiel mit TPM?​
Danke vorab für eure rückmeldung
 
DFFVB schrieb:
wer das Laptop klaut, hat immer noch Zugriff darauf, und kann per Brute-Force das PW knacken,
Zum Vergrößern anklicken....
Wenn das Passwort sicher ist (16-20stellig, Groß/Kleinbuchstaben, Sonderzeichen und Ziffern) ist es praktisch nicht zu knacken bzw. es würde mit Brute-Force Jahrzehnte dauern.
 
  • Gefällt mir
Reaktionen: Nureinnickname! und H3llF15H
jahrelang in der arbeit mit bitlocker unterwegs gewesen, hat immer funktioniert. worst-case wäre ja auch, man sperrt sich selbst aus und hat so datenverlust.
 
  • Gefällt mir
Reaktionen: DFFVB
Kronos60 schrieb:
Wenn das Passwort sicher ist (16-20stellig, Groß/Kleinbuchstaben, Sonderzeichen und Ziffern) ist es praktisch nicht zu knacken bzw. es würde mit Brute-Force Jahrzehnte dauern.
Zum Vergrößern anklicken....
Wenn der Dieb ein Student an einer Elite-Uni oder aber in einem Institut mit Supercomputer arbeitet, dann nicht. :volllol:
 
Zer0DEV schrieb:
Wenn der Dieb ein Student an einer Elite-Uni oder aber in einem Institut mit Supercomputer arbeitet, dann nicht.
Zum Vergrößern anklicken....
Auch da würde dauert es Jahrzehnte dauern.
Kann man hier ausprobieren:
https://checkdeinpasswort.de/

Bitte keine gültigen Passwörter eingeben sondern nur Phantasiepasswörter.
 
Ich nutze dafür Veracrypt, aber um ganz sicher zu gehen, lasse ich die SSD mit sehr empfindlichen Daten nicht aus den Augen, nehme sie daher auf Reisen überall mit. Was lustig war, bei der Einreise in die USA haben die Beamten das Teil kontrolliert, die erste Fake-Partition haben die auch auslesen können, die eigentlichen Daten aber nicht, die zweite Partition wurde für einen Defekt befunden.
 
Für die Systemverschlüsselung nimmst du am besten Bitlocker, es bietet die beste Kompatibilität und macht keine Probleme falls du dein System auf eine neuere Version aktualisierst.

Andere Partitionen mit sensible Dateien kannst du auch mit VeraCrypt verschlüsseln, wobei aber auch Bitlocker vollkommen ausreichend ist.

Wenn du Bitlocker für das verwendest, dann unbedingt in den GPO die Zusätzliche Authentifizierung beim Start aktivieren.
Der TPM-Only-Modus, wie sie z.B. bei der Geräteverschlüsselung in den Home-Versionen zum Einsatz kommt, ist nicht sonderlich sicher: https://winfuture.de/news,135210.html

In den Gruppenrichtlinien kannst du außerdem festlegen, dass der PIN auch Buchstaben und Sonderzeichen enthalten darf:

Code: 
- Computerkonfiguration\Windows-Einstellungen\Administrative Vorlagen\Bitlocker-Laufwerksverschlüsselung\Betriebssystemlaufwerke
  - Erweiterte PINs für Systemstart zulassen

Wichtig dabei ist, dass du den PIN im englischen Tastaturlayout eingibst, da die Pre-Boot-Umgebung standardmäßig das englische Layout verwendet.

Standardmäßig verschlüsselt Bitlocker mit AES-128, wenn du einen längeren Schlüssel verwenden möchtest kannst du das ebenfalls in den Gruppenrichtlinien umstellen:

Code: 
- Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Bitlocker-Laufwerksverschlüsselung
  - Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerke auswählen: XTS-AES 256-Bit

Der Zugang zum UEFI sollte durch einen Passwort geschützt werden.
Auf modernen UEFI-Boards lässt sich dass Passwort auch nicht mehr so einfach zu umgehen oder ohne Datenverlust zurücksetzen. Das würde heissen, dass das TPM ebenfalls gelöscht wird.
Die Entsperrung der verschlüsselten Datenträger wäre dann nur mit den Wiederherstellungsschlüssel möglich.

Mehr Infos findest du auch hier: BitLocker-Gegenmaßnahmen
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: DFFVB
Sehr hilfreich! Danke @PC295

@Kronos60 Siehe Link von PC295 - auch über Thunderbolt kann wohl der RAM ausgelesen werden, weil das System selber sich komplett entschlüsselt, dazu kommt, lieber zwei "unsichere" Passwörter, als jedes Mal ein ellenlanges.

@juwa Und was wenn Du die SSD verleirst? Oder Zuhause ein BackUp? Und krass, dass die Amis da wirklich darauf schauen, ist schon ne Frechheit... aber cool, dass Veracrypt da wirkliuch funktioniert
 
@DFFVB
Ich kann die Platte natürlich auch verlieren oder sie kann mir gestohlen werden, natürlich habe ich sogar zwei Backups davon gebunkert. Ja, der Zoll in den USA ist da sehr neugierig. In meinem Fall geht es natürlich nicht um OK, Kinderpornos oder Terrorpläne, sondern eher einfach um klassische Schlapphut-Spionage. Du weißt ja sicher auch, dass die selbst das Telefon der Kanzlerin Merkel verwanzt hatten.

Die Einreise in den USA war übrigens damals über Kanada mit einem Mietwagen mit US-Kennzeichen, das war denen sowieso alleine schon alles sehr suspekt. In einem meiner zwei Pässe hatte ich noch ein 6 Monate älteres Visum neben dem aktuell gültigen.

Die haben mir glatt das Notebook weggenommen und vermutlich auch ein Image von der Platte gezogen, denn das Teil haben die definitiv aufgeschraubt. Hat alles ein paar Stunden Zeit gekostet, aber dann anstandslos alles zurück bekommen und mir eine gute Fahrt gewünscht inklusive "Welcome to America"... hey ich bin aus Kanada eingereist... aber einen dummen Kommentar habe ich mir verkniffen. :D
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

H
SSD Win10 in Win11 PC eingebaut, dann zurückgebaut, jetzt in keinem PC mehr lesbar? (Datenträgerstruktur beschädigt)
2
Antworten
25
Aufrufe
1.547
Evil E-Lex
Evil E-Lex
Bob.Dig
Leserartikel BitLocker Hardware Encryption eDrive
17 18 19
Antworten
373
Aufrufe
79.660
Bob.Dig
Bob.Dig
T
Windows bootet nicht mit CSM Support
2 3
Antworten
41
Aufrufe
1.831
tobii_123
T
A
TPM entsperrt Bitlocker Festplatte nicht nach Verschiebung von Partition
Antworten
4
Aufrufe
2.204
Marco01_809
Marco01_809
G
Windows 11 und seine Folgen bzgl. Mainboard
2
Antworten
34
Aufrufe
1.941
.one
.one
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz