Windows 7

Blog von Microsoft Deutschland

Du sollst BitLocker verwenden.

Du sollst BitLocker verwenden.

  • Comments 5
  • Likes

Gastbeitrag von Georg Binder, selbständiger IT-Dienstleister und Autor von windowsblog.at.

Und so schnell kann ein Einbruch geschehen. Während wir am Freitag gemütlich Ripperl essen, hat jemand die Seitenscheibe am Auto eines Freundes (nennen wir ihn N.N.) eingeschlagen. Offenbar hat es sich noch nicht herumgesprochen, dass die SOKO Ost für mehr Sicherheit sorgt. Dürfte sich ausgezahlt haben:

“Alles von Wert ist weg. Laptop, Videokamera, Aufnahmegerät, Webcam, Zusatzakkus, SD-Karten usw. …”

Der Wert der Hardware ist das eine, VIEL schlimmer sind die Daten, vor allem wenn es sich eben nicht nur um private Daten handelt, sondern auch um Firmendaten, die der Geheimhaltung unterliegen. N.N. kann nur hoffen, dass der Dieb nur am Gerät interessiert ist. Denn sonst hat N.N. ganz andere Probleme, …

Die Erkenntnis kommt,…

“Am neuen Laptop ist BitLocker das erste, was ich aktiviere.”

Gute Idee. Die Enterprise und Ultimate Editionen von Vista/Windows 7 kennen die BitLocker Laufwerksverschlüsselung. Das ist eine Pre-Boot Verschlüsselung im Zusammenspiel mit einem privaten Zertifikat am Mainboard (TPM-Chip), wo der physische Zugriff auf das Gerät noch nicht heißt, dass man auch Zugriff auf die Daten bekommt. Die Standard-Schmähs (Festplatte wo anders einbauen, oder von Alternativ-Medium booten) hauen da nicht hin.

Ich hab mir die Mühe gemacht und über Nacht mein Gerät wieder entschlüsselt, damit ich die Screens machen kann und verschlüssle derzeit wieder. Hier die “Anleitung” (Weiter, Weiter, Fertig,…)

BitLocker aktivieren
Dazu gibt man im Startmenü “BitLocker” ein, klickt auf die Laufwerksverschlüsselung und aktiviert den BitLocker.

Bitlocker

Bitlocker aktivieren

Jetzt wählt man noch optional ein zusätzliches Sicherheitsmerkmal wie einen USB – Schlüssel oder einen PIN. Ich geb’s zu: hab ich nicht. Ohne PIN kommt der Angreifen bis zum Login – wenn er die Bootreihenfolge einhält, das sollte genau genommen gar nicht helfen. Und der USB-Schlüssel wäre sowieso in der selben Notebooktasche,…

Bitlocker Systemstarteinstellungen

Dann muss noch der Widerherstellungsschlüssel gespeichert werden. Schließlich brauchen wir ja auch eine Strategie wenn z.B. der TPM Chip bzw. das Motherboard eingeht.

Bitlocker Recovery

Zusätzlich – je nach dem was der Administrator für Einstellungen getroffen hat – muss auch eine Verbindung mit der Domain bestehen, damit der Recovery-Key auch im Active Directory gespeichert werden kann. Wenn man das nicht ist,… dann darf man die Einstellungen noch mal machen. Für die Ultimate Variante, die man ja auch als Einzelperson und ohne AD betreiben kann, gilt umsomehr, dass man den Key am besten auch ausdruckt und sicher verwahrt um dann im Desasterfall (mangels Administrator,…) die Verschlüsselung selbst aufheben zu können. @Microsoft: Hier fehlt der “Try again”-Button

BitLocker Domaine

Damit’s auch wirklich funktioniert, wird vorab ein Test gemacht, …

Bitlocker Überprüfung

Dazu ist dann ein Reboot notwendig:

Bitlocker reboot

Nach dem Hochfahren (wenn der Test erfolgreich war), beginnt die eigentliche Verschlüsselung. Und dann dauert es. Der Rechner kann in der Zwischenzeit weiter benutzt werden, was auch gut ist, denn das kann schon mal 6 Stunden dauern (nicht gestoppt, aber es dauert ewig,…).

BitLocker verschlüsselt

Tja, und dann würde es mich immer noch ärgern, würde mir wer den Laptop stehlen. Aber ich müsste mir keine Sorgen machen, dass meine Daten in fremde Hände gelangen.

BitLocker aktiv

Noch eine Anmerkung: ja, den BitLocker gibt es nur für Enterprise und Ultimate. Bevor wer jetzt wieder trollt, dass die Ultimate so teuer ist (und dabei sein Nicht-Wissen augenscheinlich präsentiert, in dem die FPP Preise statt der Systembuilder Preise genannt werden) hier nur die Frage: wie hoch ist der Schaden, wenn die Daten tatsächlich missbraucht werden?

Comments
  • Zitat:

    --------------------------------------------------------------

    Noch eine Anmerkung: ja, den BitLocker gibt es nur für Enterprise und Ultimate. Bevor wer jetzt wieder trollt, dass die Ultimate so teuer ist (und dabei sein Nicht-Wissen augenscheinlich präsentiert, in dem die FPP Preise statt der Systembuilder Preise genannt werden) hier nur die Frage: wie hoch ist der Schaden, wenn die Daten tatsächlich missbraucht werden?

    --------------------------------------------------------------

    TrueCrypt kann das alles auch - und zwar völlig kostenfrei - und dank OpenSource kann ich mir da auch sicher sein, dass es wirklich keine Hintertürchen zur Entschlüsselung gibt :)

    Weitere Fragen:

    Beherrscht BitLocker die Technik des "versteckten Betriebssystems"?

    Ist BitLocker vllt. schneller als TrueCrypt?

  • Ich weiß nicht, wie schnell TrueCrypt ist. Der Performanceverlust bei Bitlocker ist marginal. Wir haben ca. 3%-5% im normalen Betrieb beobachtet, was nicht merkbar ist. Beim Arbeiten mit sehr großen Dateien (Videoschnitt) ist es etwas mehr.

    Zu TrueCrypt vielleicht noch der Hinweis, dass es NICHT alles kann, was Bitlocker auszeichnet. TrueCrypt wirbt jetzt zwar auch mit Pre-Boot-Authentifizierung - allerdings ohne TPM-Unterstützung. Damit gibt es keine Unterstüzung für Anti-Hammering gegen Passwort-Erraten via Brute force. Weiterhin gibt es keine vergleichbare Unterstützung für einen Secure Startup. TrueCrypt kann damit - im Gegensatz zu Bitlocker - nicht gegen Bootroot-Techniken schützen. Siehe dazu vielleicht auch: http://blogs.technet.com/dmelanchthon/archive/2009/04/27/angeblich-irreparables-leck-in-windows-7.aspx.

    So jedenfalls nach meinem Kenntnisstand von TrueCrypt, solange sich da in letzter Zeit nicht gravierendes verändert hat. Und zum Thema Open Source als Sicherheitsmerkmal kann man geteilter Meinung sein. Das OpenSSL-Desaster bei Debian hat gerade gezeigt, dass das kein hinreichendes Kriterium ist. Was hilft die beste Verschlüselungssoftware, wenn es an Keymanagement und/oder sicherer Keyerzeugung mangelt?

    VG, Daniel

  • Wieso sollte man sich eine Ultimate Version zulegen, wenn Programme wie Truecrypt oder Drivecrypt genauso gut arbeiten? Zumal Truecrypt sogar noch umsonst ist.

    MfG

    Chris

  • Weil zum Beispiel TrueCrypt eben NICHT alles kann, was Bitlocker auszeichnet?

  • Die meisten Anwender werdedn höchstens davon ausgehen können, dass TrueCrypt keine bösen Hintertürchen enthält. Wirklich WISSEN kann man es nur, wenn man den gesamten Code selbst analysiert.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment