Die trans­par­ente Bit­Lock­er Ver­schlüs­selung (z.B. ohne Cryp­to­Pro Secure Disk for Bit­Lock­er) lädt kom­plett automa­tisch den Bit­Lock­er AES Vol­u­men-Encryp­tion-Key und startet Win­dows. Dieser Vor­gang erfordert einen ini­tial­isierten TPM Chip und Secure-Boot zum Schutz des Boot-Prozess­es.

Jedoch bietet ein automa­tis­ch­er Start eines ver­schlüs­sel­ten Clients einem Angreifer eine bre­ites Spek­trum an Angriffsvek­toren gegen das laufende Win­dows Betrieb­ssys­tem.

BitLocker ohne Benutzeridentifizierung / Authentisierung

Bezugnehmend auf https://wccftech.com/microsoft-patches-50-security-windows-10/ wur­den am 14. Novem­ber  2017 die Microsoft Patch­es KB4048955 (OS Build 16299.64) und KB4048954 (OS Build 15063.726 and 15063.728) veröf­fentlicht, die 53 Secu­ri­ty Schwach­stellen schließen. Davon sind 20 als “kri­tisch” eingestuft und 30 als “wichtig”.

Microsoft Tech­Net definiert eine kri­tis­che Schwach­stelle wie fol­gt:

Eine Sicher­heit­slücke dessen Aus­nutzung eine Aus­führung von Code ohne jegliche Benutzer­in­ter­ak­tion erlaubt. Diese Szenar­ien inkludierten selb­st fortpflanzende Mal­ware (z.B. Net­zw­erk Würmer) oder unver­mei­d­bare Szenar­ien in denen Code Aus­führung ohne War­nun­gen oder Eingabeauf­forderun­gen  erfol­gen. Dies kann das Sur­fen auf ein­er Web­seite oder das Öff­nen ein­er Email sein. Microsoft emp­fiehlt, dass Kun­den kri­tis­che Updates sofort ein­set­zen.

Für eine gestohlenes Win­dows Client Gerät bedeutet das, dass ein Angreifer nur ein paar Wochen zuwarten muss, um eine Fülle an doku­men­tierten und unge­fix­ten kri­tis­chen Sicher­heit­slück­en auf einem Client-Sys­tem zu haben und darüber ein­brechen kann!

Dies kann ein­fach durch ein kryp­tographis­ches Schloss (ein­er Pre-Boot-Authen­tisierung — PBA) ver­mieden wer­den, bevor das Win­dows OS startet.

Nutzen Sie keine trans­par­ente Ver­schlüs­selung mit Microsoft Bit­Lock­er, da dies Ihre Dat­en möglicher­weise HEUTE schützt — bei einem aktuell gepatcht­en Client, jedoch defin­i­tiv nicht MORGEN — bei einem ungepatcht­en Client mit kri­tis­chen Schwach­stellen!