Microsoft Bit­Lock­er ohne TPM nutzen

Das Deutsche Bun­de­samt für Sicher­heit in der Infor­ma­tion­ssicher­heit (BSI) gibt in den IT-Grund­schutzkat­a­lo­gen klare Def­i­n­i­tio­nen für den Betrieb von Microsoft Bit­Lock­er — speziell auch für den TPM Chip — gemäß dem aktuellen Stand der Tech­nik. Siehe hierzu “M 4.337 Ein­satz von Bit­Lock­er Dri­ve Encryp­tion”.

Die zwei wichtig­sten Erken­nt­nis zur Authen­tisierung ohne Pin wer­den wie aus­ge­führt: (Quelle BSI IT-Grund­schutz M 4.337 Ein­satz von Bit­Lock­er Dri­ve Encryp­tion)

TPM-Nutzung ohne Benutzer-Authen­tisierung” kann geeignet sein, wenn die Benutzer neben der lokalen Anmel­dung am Client oder an der Domäne keine weit­ere Anmel­dung und die damit ver­bun­de­nen Authen­tisierungsmit­tel wie PIN und/oder USB -Stick akzep­tieren wür­den. Da dies den ger­ing­sten Schutz bietet, sollte diese Ein­stel­lung nur im Aus­nah­me­fall ver­wen­det wer­den.

TPM-Nutzung ohne Benutzer-Authen­tisierung” begün­stigt bekan­nte Angriffsvek­toren, bei denen Unbefugte Zugang zum Schlüs­sel­ma­te­r­i­al erlan­gen, wenn sie physis­chen Zugang zum Sys­tem haben, Bei “Keine Authen­tisierung” wird während des Boot-Vor­gangs automa­tisch das Bit­Lock­er-Schlüs­sel­ma­te­r­i­al aus dem TPM in den Arbeitsspe­ich­er ( RAM , Ran­dom Access Mem­o­ry) des Sys­tems geladen. Dies geschieht vor der Anmel­dung eines Benutzers. Allerd­ings erfordern diese Angriffsvek­toren spezielle Werkzeuge und eine hohe Qual­i­fika­tion seit­ens des Angreifers. Gegen diese Angriffsvek­toren wird der Ein­satz der Authen­tisierungsmit­tel PIN und/oder USB -Stick emp­fohlen.

Secure Disk for BitLocker - TPM Nutzung

Beson­deren Augen­merk möchte ich gerne auf die typ­is­che Prob­lematik der Fest­plat­ten-Ver­schlüs­selung leg­en: Ein Angriff auf ver­schlüs­selte Dat­en wird nicht durch Laien erfol­gen. Nichts desto trotz kann der Dieb, der Inter­esse an der gestohlen Hard­ware hat, bere­its ein Risiko für Unternehmen darstellen. Viel Schlim­mer ist aber natür­lich das krim­inelle Vorhaben ein­er Indus­tries­pi­onage oder ein­er geplanten Erpres­sung durch entwen­dete Dat­en.

Hierzu wird das Ziel­gerät entwed­er Desk­top oder Note­book bzw. Tablet gestohlen. Im Anschluss daran wird man ver­suchen, die Fest­plat­te zu sich­ern oder zu vir­tu­al­isieren, um beliebig viele Ein­bruchsver­suche real­isieren zu kön­nen. Speziell in vir­tu­al­isierten Umge­bun­gen kön­nen ein­fach Brute-Force-Attack­en real­isiert wer­den.

Da ein pro­fes­sionel gestohlenes Note­book keine Verbindung mit dem Inter­net her­stellen wird, sind Schutzmech­a­nis­men wir Remote-Wipe oder das Löschen von Benutzer­pass­wörtern wirkungs­los. Ein Angreifer hat eine beliebige Zeit das Ziel­gerät zu hack­en.

Sofern auf den TPM Schutz — speziell auch auf die TPM-PIN — verzichtet wird, gibt es keinen aus­re­ichen­den Schutz vor Brute-Force-Angrif­f­en eines Endgerätes.

Ich empfehle fol­gende Authen­tisierung-Meth­o­d­en:

  • entsprechend der BSI Empfehlung: Aktivierung der TPM-PIN zur Benutzer-Authen­tisierung
  • oder: Aktivierung des Bit­Lock­er Pass­wort-Pro­tec­tors mit einem zumin­d­est 8-stel­li­gen Pass­wort
  • in großen Unternehmen: Evaluierung des Bit­Lock­er Add-ons Cryp­to­Pro Secure Disk for Bit­Lock­er für die starke Benutzer-Authen­tisierung mit Mul­ti-Fak­tor-Authen­tisierung
2017-12-04T13:43:51+00:00 03.12.2017|

Über den Autor:

Andreas Schuster ist 45 Jahre alt und wohnt in Wien. Vor über 20 Jahren hat er sein Hobby die IT zum Beruf gemacht und arbeitet seit vielen Jahren in der Crypto-Branche. Sein technisches Interesse an allem das ein Kabel hat (exklusive Weißwaren...) bringt immer wieder spannende Blog-Inhalte.

Hinterlassen Sie einen Kommentar