Samstag, 31. Mai 2014

Bitlocker Passwordabfrage beim Starten einrichten (BitLocker StartUp Key and PIN)

Mit dem "Ende" von TrueCrypt, siehe Golem: Rätsel um das Ende von Truecrypt, kommt man vielleicht auf die Idee auf BitLocker umzusteigen.

Hier beschreibe ich wie man einen PIN in BitLocker einrichtet, siehe auch Best Practice von Microsoft.

Der Auslieferungszustand von BitLocker ist leider über Cold Boot, Firewire and BIOS Keyboard Buffer angreifbar. (Wenn man nur auf den TPM Chip setzt, also kein Hardwaretoken benutzt)

Eines der tollen Feature von TrueCrypt ist die PreBoot Authentication.
Diese Feature ist auch unter Windows in Kombination von Bitlocker möglich.
BitLocker Passwort beim booten

Am einfachsten geht dies, wenn deine Hardware ein TPM Chip eingebaut hat. Dieser funktioniert wie eine SmartCard, d.h. es reicht ein recht einfacher PIN von 4 Zahlen um den Rechner zu schützen. (Bis zu 20 Stellen sind als PIN möglich)

  1. Zuerst muss der TPM Chip ggf. im Bios aktiviert werden.
  2. Dann muss der TPM Chip eingerichtet werden

3. Festplatte verschlüsse
4. Lokale Sicherheitsrichtlinie anpassen
5. PIN setzen


BitLocker lässt sich relativ einfach starten, einfach nach BitLocker im StartMenü eingeben und schon kann man die Festplatte teilweise (nur Userdaten) oder komplett verschlüsseln.

Ich würde auf jeden Fall eine komplette Verschlüsselung bevorzugen, mit einem Hardware AES Chip, z.b. in den meisten Intel Core i5 und i7 macht es eh kein Performance unterschied.

Bei einem Datendurchsatz von 1,4 GB/s (auf meinem i7) hat man mit BitLocker IMHO keinen Perfomanceeinbruch.

Also wir haben nun die Verschlüsseln durch BitLocker aktiviert, jetzt wird schon im Hintergrund die Festplatte verschlüsselt.
Man merkt von dieser Verschlüsselung erstmal nichts, den Bitlocker arbeiter ziemlich transparent. Nur das Laufwerk-Icon hat nun ein kleines Schloß.
Achtung, damit ist die Festplatte an das aktuelle System gebunden!

Mir persöhnlich reicht das jedoch nicht, ich möchte vor dem Starten von Windows erstmal ein Passwort eingeben.

Um dies zu bewerkstelligen muss man in der lokalen Gruppenrichtlinie die Funktion StartUp key and PIN aktivieren.


Und kann man schon den PIN einrichten, leider nur über ein CLI


C:\Windows\system32>manage-bde -protectors -add c: -TPMAndPIN
BitLocker Drive Encryption: Configuration Tool version 6.3.9600
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Type the PIN to use to protect the volume:
Confirm the PIN by typing it again:
Key Protectors Added:

    TPM And PIN:
      ID: {XXXXXXXXXXXXXXXXXXXXX8}
      PCR Validation Profile:
        0, 2, 4, 8, 9, 10, 11

Key protector with ID "{XXXXXXXXXXXXXXXXXX}" deleted.


Nun erscheint auch im Kontext Menu der Punkt PIN ändern.
Wenn man nun den Computer hochfährt wird man mit der folgenden Eingabe begrüßt.
Sollte man den PIN nicht mehr wissen, gibt es folgende Recover Funktion
bzw.


Wenn du gar nichts mehr hast, hast du ein Problem und deine Daten sind alle weg! Aber so ist es nunmal mit der Verschlüsselung.

Über mich