TPM+Bitlocker+SSD, wie machen

[Tom_123]

Hi,

zum Thema eDrive (entgegnen einiger Aussagen unterstützt die Samsung 840 EVO die eDrive-Funktionalität):

1. Wenn Windows noch nicht installiert ist, kannst du dieses normal installieren und danach ganz normal Bitlocker aktivieren (voher den TPM(Security-)Chip im Bios/UEFI aktivieren).
2. Sollte Windows schon installiert sein, versuche probeweise Bitlocker zu aktiveren. Die Verschlüsselung muss sofort aktiv sein (keine Wartezeit bis die Platte verschlüsselt ist), ansonsten wird nicht die eDrive-Funktionalität verwendet. Sollte dies der Fall sein, kommst du meines Wissens nicht im einen Secure Erase und Neuinstallation von Windows herum. Wichtig: Du darfst nicht den Intel Rapid Storage Treiber installieren. Dieser funktioniert aktuell nicht im eDrive.

Zum Thema Passwörter:

Ich würde das Setzen eines SuperVisor- und PowerOn Passwortes im BIOS/UEFI empfehlen. Der Passwortschutz von Windows ist ein Witz und in 5 min ausgehebelt.

 

[Bogeyman]

Wie hebelt man den PW Schutz in Windows aus, wenn die Festplatte verschlüsselt ist und auch das Bios gesperrt ist und der PC nicht über USB Medien bootet etc.

 

[Tom_123]

Hi,

mit Passwortschutz von Windows meinte ich das Benutzerpasswort für die Windowsnutzer.
Zum Thema Bios Passwort: Dies soll laut Internet auch sehr leicht zurücksetzbar sein (durch Überbückung von bestimmten Kontakten auf dem EEPROM) . Ob diese Methode bei den aktuellen Thinkpads funktioniert (soll - laut Internet bis zu den Modellen von 2013 funktionieren), habe ich noch nicht herausgefunden.

 

[Bogeyman]

Soweit ich weiß muss man nen Thinkpad einschicken und das Mainboard tauschen wenn man das Bios Passwort vergessen hat. Steht meine ich sogar im Thinkpad Wiki.

mit Passwortschutz von Windows meinte ich das Benutzerpasswort für die Windowsnutzer.

Ja ich auch, aber wie soll man das umgehen wenn man die Festplatte nicht ausbauen kann, weil sie verschlüsselt ist, und auch nicht mit einem USB Stick booten kann.

Dass es unverschlüsselt schnell geht weiß ich auch.

 

[Piktogramm]

...
Zum Thema Bios Passwort: Dies soll laut Internet auch sehr leicht zurücksetzbar sein (durch Überbückung von bestimmten Kontakten auf dem EEPROM) .....

Ein reines Biospasswort kann man kinderleicht zurücksetzen. Ein Rechner mit TPM Modul und entsprechendem Passwort bekommt man in der Regel jedoch nicht klein (grobe Implementierungsfehler außen vor) ohne gewaltigen Aufwand. Wenn man als Privatperson sich einen Fanclub erarbeitet hat, der sich diesen Aufwand macht, hat man sicher andere Probleme.

Ansonsten setzt TPM einfach etwas näher an der Hardware an und generell sollte kritische Verschlüsselung immer möglichst weit unten ansetzen. Daher wenn möglich höhere Softwareschichten außen vor lassen, weil diese zunehmend einfacher angreifbar sind. Für den Endanwender reicht daher wohl auch Bitlocker und auch für viele Firmen.

 

[Bogeyman]

Die Sache ist halt die dass meine CPU kein AES hat, und ich daher mir die Samsung 840EVO anschaffen will. Das System soll auf jedenfall verschlüsselt sein. Habe aber auch keine Lust zig Passwörter einzugeben bei jedem Neustart. Entweder mach ich Autologin in Windows und dann ein Passwort vorm booten oder ich mach dass er ohne Passwort booten kann, dann aber ich erst mein Windows passwort eingeben muss.

Wüsste nicht wie man die Windowspasswortabfrage umgehen könnte sofern die SSD verschlüsselt ist.

 

[Piktogramm]

Dann setz das TPM Bootpasswort in meinen Augen die sauberere Variante


Die Passwörter von Windows sind nicht mehr so leicht angreifbar wie sie mal waren (hach war das schön). Insofern ist das auch kein direktes Problem, wenn auch mehr bzw. "leichtere" Angriffsmöglichkeiten bestehen als bei Verfahren die näher an der Hardware sind.

 

[Bogeyman]

ok dann werd ich mir erstmal die 840 Evo besorgen und die als eDrive einbinden mit Bitlocker.

Eine Frage habe ich aber noch wegen TPM und Bitlocker: Ist es irgendwie Möglich die SSD in einem anderen Computer auszulesen, im Fall der Fälle.

Im Moment verwende ich Bitlocker ohne TPM und man kann die Platten ja einfach in jedem PC mounten wenn man das Passwort hat.

Gibt es diese Möglichkeit mit TPM auch? Oder sind im Falle eines Mainboarddefekts auch die Daten auf der SSD futsch, weil man das TPM nicht mehr hat?

 

[Piktogramm]

Wenn ich es richtig verstehe, dann lässt Bitlocker zu, dass du dir den Schlüssel als File bzw als 48stellige Nummer sichern kannst um das Laufwerk auf andere Hardware umziehen zu können.

Bei TPM basierten Lösungen reicht es jedoch genauso das ATA Passwort zu wissen (und eine Möglichkeit zu haben das ATA Passwort ordentlich an das Laufwerk weiter zu geben, Teile meiner Hardware zicken da bei mir rum).


TPM dient ja vorrangig dazu diese Passwörter unerreichbar bzw. nur sehr aufwendig erreichbar auf der Hardware zu hinterlegen. Damit man eben keinen USB Stick braucht auf dem der Schlüssel unverschlüsselt liegt (sowas findet nur Kryptochef gut)

 

[Rome1981]

Dieses ganze Heckmeck, wegen eines Passwortes... wenn man schon so schreibfaul ist, dann nimmt man doch wenigstens eine Schippe Motivation in die Hand... Wenn man das wiederum getan hat, landet man ganz schnell mit dem Gesicht in der ThinkVantage-Software... Hier befindet sich (krasse Sache) auch eine Security Suite... hm, was macht diese nun? Ach ja, die kümmert sich um Sicherheit... Ein bisschen aktivieren, ein bisschen Handbuch, ein bisschen SSO (SingleSignOn)... Tada!
Man gibt auf einmal nur noch ein Passwort ein (BIOS), weil der Rechner den Login in Windows übernimmt. Ich selbst habe das jahrelang mit Fingerabdruck gemacht, da muss man nicht einmal mehr tippen... und seine Finger hat man eigentlich immer dabei...
Sollte aber mit Passwort auch gehen.