Du sollst BitLocker verwenden.

von Georg Binder 28. June 2009 17:44

Und so schnell kann ein Einbruch geschehen. Während wir am Freitag gemütlich Ripperl essen, hat jemand die Seitenscheibe am Auto eines Freundes (nennen wir ihn N.N.) eingeschlagen. Offenbar hat es sich noch nicht herumgesprochen, dass die SOKO Ost für mehr Sicherheit sorgt. Dürfte sich ausgezahlt haben:

“Alles von Wert ist weg. Laptop, Videokamera, Aufnahmegerät, Webcam, Zusatzakkus, SD-Karten usw. …”

Der Wert der Hardware ist das eine, VIEL schlimmer sind die Daten, vor allem wenn es sich eben nicht nur um private Daten handelt, sondern auch um Firmendaten, die der Geheimhaltung unterliegen. N.N. kann nur hoffen, dass der Dieb nur am Gerät interessiert ist. Denn sonst hat N.N. ganz andere Probleme, …

Die Erkenntnis kommt,…

“Am neuen Laptop ist BitLocker das erste, was ich aktiviere.”

Gute Idee. Die Enterprise und Ultimate Editionen von Vista/Windows 7 kennen die BitLocker Laufwerksverschlüsselung. Das ist eine Pre-Boot Verschlüsselung im Zusammenspiel mit einem privaten Zertifikat am Mainboard (TPM-Chip), wo der physische Zugriff auf das Gerät noch nicht heißt, dass man auch Zugriff auf die Daten bekommt. Die Standard-Schmähs (Festplatte wo anders einbauen, oder von Alternativ-Medium booten) hauen da nicht hin.

Ich hab mir die Mühe gemacht und über Nacht mein Gerät wieder entschlüsselt, damit ich die Screens machen kann und verschlüssle derzeit wieder. Hier die “Anleitung” (Weiter, Weiter, Fertig,…)

BitLocker aktivieren
Dazu gibt man im Startmenü “BitLocker” ein, klickt auf die Laufwerksverschlüsselung und aktiviert den BitLocker.

Bitlocker Bitlocker aktivieren

Jetzt wählt man noch optional ein zusätzliches Sicherheitsmerkmal wie einen USB – Schlüssel oder einen PIN. Ich geb’s zu: hab ich nicht. Ohne PIN kommt der Angreifen bis zum Login – wenn er die Bootreihenfolge einhält, das sollte genau genommen gar nicht helfen. Und der USB-Schlüssel wäre sowieso in der selben Notebooktasche,…

Bitlocker Systemstarteinstellungen

Dann muss noch der Widerherstellungsschlüssel gespeichert werden. Schließlich brauchen wir ja auch eine Strategie wenn z.B. der TPM Chip bzw. das Motherboard eingeht.

Bitlocker Recovery

Zusätzlich – je nach dem was der Administrator für Einstellungen getroffen hat – muss auch eine Verbindung mit der Domain bestehen, damit der Recovery-Key auch im Active Directory gespeichert werden kann. Wenn man das nicht ist,… dann darf man die Einstellungen noch mal machen. Für die Ultimate Variante, die man ja auch als Einzelperson und ohne AD betreiben kann, gilt umsomehr, dass man den Key am besten auch ausdruckt und sicher verwahrt um dann im Desasterfall (mangels Administrator,…) die Verschlüsselung selbst aufheben zu können. @Microsoft: Hier fehlt der “Try again”-Button

BitLocker Domaine

Damit’s auch wirklich funktioniert, wird vorab ein Test gemacht, …

Bitlocker Überprüfung

Dazu ist dann ein Reboot notwendig:

Bitlocker reboot   

Nach dem Hochfahren (wenn der Test erfolgreich war), beginnt die eigentliche Verschlüsselung. Und dann dauert es. Der Rechner kann in der Zwischenzeit weiter benutzt werden, was auch gut ist, denn das kann schon mal 6 Stunden dauern (nicht gestoppt, aber es dauert ewig,…).

BitLocker verschlüsselt 

Tja, und dann würde es mich immer noch ärgern, würde mir wer den Laptop stehlen. Aber ich müsste mir keine Sorgen machen, dass meine Daten in fremde Hände gelangen.

BitLocker aktiv

Noch eine Anmerkung: ja, den BitLocker gibt es nur für Enterprise und Ultimate. Bevor wer jetzt wieder trollt, dass die Ultimate so teuer ist (und dabei sein Nicht-Wissen augenscheinlich präsentiert, in dem die FPP Preise statt der Systembuilder Preise genannt werden) hier nur die Frage: wie hoch ist der Schaden, wenn die Daten tatsächlich missbraucht werden?

Der Unterschied bei Vista zwischen Business (120 EUR) und Ultimate (150 EUR) beträgt gerade einmal 30 EUR.  Nehmen wir einmal an, dass die Preise auch bei den Systembuilder Versionen von Windows 7 nicht sonderlich anders sein werden. Einzelpersonen, denen diese Aufpreis zu viel ist, könnten überlegen, ob sie auf das freie TrueCrypt ausweichen (derzeit nicht für Windows 7). TrueCrypt kennt keine Management Funktionalitäten für Unternehmen, was den Einsatz dort teuer macht (User vergisst Passphrase?).

Für Unternehmen
Ungeschützte Laptops in Unternehmen sind fahrlässig. Unternehmen sollten aus mehreren Gründen sowieso die Enterprise Version einsetzen (die ja BitLocker dabei hat). Und den sollte man dann auch nutzen. Oder – weil XP - man weicht auch hier auf andere Lösungen aus, z.B. von Ultimaco.

Related Posts:

Tags:  Feed Tag,  Feed Tag,  Feed Tag

Produktinfo

 

Comments (21) -

>

6/28/2009 5:56:14 PM #

Christian Haberl

Ich geb's zu ich war N.N.
Siehe meinen Beitrag hier: blog.this.at/.../...n-e28093-Laptop-gestohlen.aspx

Christian Haberl Österreich | Reply

>
>

6/28/2009 6:26:47 PM #

GM

Da kann ich nur aus vollstem Herzen kondolieren. So etwas ist verdammt ärgerlich.
Bei einem guten Freund hat man vorgestern auch versucht, seinen Laptop zu stehlen, jedoch samt dem Auto in dem es sich befand!

Allerdings haben sich die Diebe, Kriminalitätstouristen oder wie immer man diese HerrschaftInnen nennen möchte, dermaßen laut und dämlich angestellt, dass es die Nachbarn bemerkten, wo im Keller gerade ein feuchtfröhliches Treffen von Reanactment-Freunden abgehalten wurde (das Einbruchsopfer war auch dabei). Die sind stehenden Fußes mit gezückten Beidhändern und in voller Adjustierung (Kettenhemd, Stahlhelm, gespornten Stiefeln usw.) nach oben gelaufen. Die zwei Möchtegern-Diebe, haben aber wohl sofort die Flucht ergriffen, als sie das stählerne Geschepper der sich nähernden 11 Ritter vernommen haben, denn außer einem arg ramponierten Auto-Türschloss (super bei einem Neuwagen!), war leider nichts mehr zu sehen.

Was lernt man daraus?
Auto immer in die Garage und sich mit einer martialischen, mittelalterlichen Ausrüstung versorgen - am besten inklusive Pferd und Lanze, damit man die flüchtenden Strauchdiebe auch wirkungsvoll verfolgen kann ;)

PS: Aber mal ernsthaft: Ich bin mittlerweile dazu übergegangen, beim Verlassen des Hauses meine Notebooks unters Bett zu stellen, wo man sie nicht gleich sieht - solche Diebe wollen ja schnell wieder weg, suchen also meist nicht akribisch rum. Klar, bei Autos geht das so nicht, aber gerade dort sollte man auch nichts offen liegen lassen. Weiß natürlich nicht, wie das in diesem Fall war.

GM Deutschland | Reply

>
>
>

6/28/2009 7:55:59 PM #

kitzi

Mir hat man auch gerade Freitag mein neues (500€) Handy gestohlen... Bin auch grad voll verärgert...

kitzi Österreich | Reply

>

6/28/2009 7:25:30 PM #

SyberX

Super Beitrag. Wie schaut es bei Win 7 bei einem Update auf die Final aus ?? Da müsste ich erst alles entschlüsseln oder ??

SyberX Deutschland | Reply

>
>

6/28/2009 8:32:48 PM #

Lukas Beeler

Bezweifle ich. Hat bei mir Vista -> Beta -> RC problemlos geklappt. Was man von Vista auf 7 tun kann ist mittels des CLI Tools die Metadaten updaten.

Lukas Beeler Schweiz | Reply

>
>
>

6/29/2009 6:42:11 PM #

Grogoth

Naja also "problemlos" würd ich das upgrade von beta - rc  nicht bezeichnen, einige dinge gehen einfach nicht mehr, zb. sql server 2008, und manche dialoge sind jetzt so denglisch... aber naja ich wusste ja worauf ich mich dabei einlasse. jedenfalls wird das upgrade rc rtm sicher ein clean install

Grogoth Österreich | Reply

>

6/28/2009 7:39:15 PM #

Einste1n

Problem ist, das die meisten Mainboards diese Chip nicht haben und 30
Euro sind 30 Euro, daher ziehe ich TrueCrypt vor.

Einste1n Deutschland | Reply

>

6/28/2009 9:57:46 PM #

a m

...du sollst einfach keine Wertgegenstände im Auto lassen! B.z.w. einen Laptop nie alleine in einer fremd Firma o.ä. stehen lassen.
Dann brauchst du auch kein Bitlocker Smile

mfg
// Windows 7 läuft endlich! Nach einer Formation ging die Installation ohne Probleme! Bin zufrieden mit 7. Aber die Systemsteuerung müsste man manuel auf "oldshool" umstellen können. Funktioniert bei Vista doch auch.

a m Deutschland | Reply

>
>

6/29/2009 2:29:22 PM #

Luki

wozu? einfach in das suchfeld - bzw [seit win7] gleich ins startmenü - eintippen was man will. hab seit vista die systemsteuerung kein einziges mal mehr durch umständliches klicken benutzt...

Luki Österreich | Reply

>

6/28/2009 10:44:59 PM #

Andreas Tomek

Hallo Georg,

zuerst einmal Glückwünsche zum schönen Artikel ;)
Ein paar kleine Anmerkungen bzw. Tipps wenn es sich wirklich um wichtige Firmendaten handelt. Gezielte Diebstähle kommen nämlich durchaus häufig vor:

1)Wenn die Daten wirklich kritisch sind sollte auf jeden Fall der TPM verwendet werden. Bei der USB Version handelt es sich nur um eine versteckte Datei, die leicht kopiert werden kann bzw. wo der USB Key wahrscheinlich in der Tasche beiliegt (Wie von Georg angemerkt)

2)Auf einen PIN sollte man nicht verzichten. Zwar hilft es gegen Anfänger, aber wenn jemand es auf die Daten abgesehen hat, dann hat er wahrscheinlich auch die Zeit auf den nächsten Remote Buffer Overflow zu warten und das gebootete Gerät zB über das Netzwerk anrugreifen.

3)Das Notebook sollte im Auto usw. immer ausgeschalten oder im Hibernate sein. Bei eingeschaltenem Gerät bzw. Standby gibt es Angriffsszenarien wie zB Cold Boot Attack, die ein Auslesen des Schlüssels aus dem Speicher zulassen (http://citp.princeton.edu/memory/). Aus demselben Grund ist auch ein PIN wichtig, da ich sonst einfach booten kann und den Key im Speicher habe.

Just my 2 cents, damit man sich nicht in falscher Sicherheit wiegt (was meiner Meinung nach noch gefährlicher ist als bewusste Unsicherheit).

Liebe Grüße!
Andi

Andreas Tomek Österreich | Reply

>

6/29/2009 12:10:18 AM #

wer im Glashaus sitzt...

Einzelpersonen, denen diese Aufpreis zu viel ist, könnten überlegen, ob sie auf das freie TrueCrypt ausweichen (derzeit nicht für Windows 7).

Solange es keine Windows 7 RTM gibt, wäre es in meinen Augen auch nicht sonderlich seriös mit Windows 7 Unterstützung zu werben. Ein "feature complete" des RC1 reicht nicht wirklich aus für eine solche Aussage.

Die pre boot authentication sollte mit TrueCrypt 6.2a mittlerweile aber auch unter Windows 7 RC1 problemlos funktionieren. Kannste ja mal testen und als nächsten Blog Eintrag das Topic "Du sollst TrueCrypt verwenden." erstellen Laughing

wer im Glashaus sitzt... Deutschland | Reply

>

6/29/2009 3:17:30 AM #

Alexander Moshe (Staatschef)

"auf das freie TrueCrypt ausweichen (derzeit nicht für Windows 7). "

Komisch. Ich verwende hier Win7 (Upgrade von Vista) und mein TrueCrypt läuft (sonst käme ich ja an keine Daten ran).

Oh zur Anmerkung: Ich verschlüssle mit TrueCrypt *KEINE* Laufwerke (das geht evtl nicht unter Win7?), sondern erstelle eine Container-Datei, wo alle wichtigen Daten drin sind und mounte das dann als Laufwerk.

Alexander Moshe (Staatschef) Schweiz | Reply

>
>

6/29/2009 10:36:11 AM #

rony

Ich habe versucht TrueCrypt zu benutzen, doch zweimal sind mit die containerfiles auf dem USB-Stick kaputt gegangen. Nun habe ich das Neue Bitlocker2go ausprobiert, und das läuft.

rony Deutschland | Reply

>

6/29/2009 11:58:53 AM #

Christian Haberl

Irgendwie witzig. Man twittert und bloggt, dass einem das Notebook geklaut wurde. Schon ruft Dell an und meint sie möchten um das neue Notebook mitbieten, damit es diesmal wieder ein Dell Latitude und nicht wieder ein Fujitsu Lifebook wird. Mit gratis Diebstahlschutz versteht sich...

Christian Haberl Österreich | Reply

>

6/29/2009 4:18:07 PM #

Will auch verschlüsseln

Hallo,

ganz simple Frage. System rennt schon seit guter Zeit perfekt eingerichtet (Programme etc.) vor sich hin. Kann ich jetzt nachträglich BitLocker aktivieren und verschlüsseln oder ist das nur bei einem "frischen" System möglich?

Danke.

Will auch verschlüsseln Deutschland | Reply

>
>

6/29/2009 6:53:58 PM #

admin

Ja, BitLocker läßt sich auch nachher aktivieren. Unter Vista (vor SP1) war das etwas müsam, SP1 hat dann ein Prepartion Tool gebracht, unter Windows 7 ist die notwendige Partition bereits vorab angelegt.

Georg Binder Österreich | Reply

>

6/29/2009 6:37:50 PM #

Kreuzer Michael

Leider ist Bitlocker in der Form am Markt vorbei verkauft geworden. Wenn ich ein 0815 Notebook kaufe, ist meist ein Vista Business dabei. Ohne Bitlocker. Geniales Marketing, oder? Bei einem Kunden musste ich mich daher für TrueCrypt entscheiden. Die Technologie ist prinzipiell schon nett, aber der Rest ist einfach nur Schwachsinn. Kein Kunde kauft zu einem neuen NB das Upgrade auf Ultimate dazu. Just my 2 cents..

Kreuzer Michael Österreich | Reply

>
>

6/29/2009 6:52:51 PM #

admin

Ja und nein. Es ist (durch die Positionierung mit Active Directory) eine reine Enterprise Funktion und damit nicht gedacht für den Einzelkämpfer (auch wenn das selbst im Heimbereich/Privatnutzung sinnvoll wäre!).

Georg Binder Österreich | Reply

>

6/30/2009 2:04:19 AM #

Steffen

Du schreibst, dass man für BitLocker in der Professional Edition keine AD-Anbindung benötigt. Heißt das im Umkehrschluss, dass man für BitLocker in der Enterprise Editionen auf jeden Fall eine AD-Anbindung benötigt?

Steffen Deutschland | Reply

>
>

6/30/2009 9:08:22 AM #

admin

Jein. Geht auch ohne, macht nur wenig Sinn, denn das tolle an BitLocker ist ja die AD Integration des Recovery Keys und das Management über Gruppenrichtlinien.

Georg Binder Österreich | Reply

>

7/1/2009 7:17:03 AM #

DLensing

Hallo,
Ein weiterer Vorteil an Windows 7 ist auch Bitlocker-to-Go.

Damit wären sogar die SD-Karten mit eventuellen Daten geschützt gewesen. Seit dem ich eine Testinstallation von Windows 7 einsetze, ist Bitlocker sowie Bitlocker-to-Go auf dem System aktiv.

Allerdings ohne TPM und bei einem 1,3 GHz-Notebook mit 1 GB Ram. Ich konnte auch kaum eine System- bzw. Performancebeinträchtigung feststellen, da ich dort früher mit XP gearbeitet habe und Windows 7 die selbe Flexibilität mit bietet.

Gruß
Daniel

DLensing Deutschland | Reply

Add comment

  Country flag

biuquote
Loading

Datenschutzhinweis: Sie stimmen durch "Kommentar speichern" der Speicherung Ihrer Angaben durch Microsoft Österreich für die Beantwortung der Anfrage zu. Sie erhalten dadurch keine unerwünschten Werbezusendungen. Ihre Emailadresse wird auf Ihren Wunsch dazu verwendet Sie über neue Kommentare zu informieren.

Microsoft respektiert den Datenschutz. Datenschutz & Cookies

Developer Events

App für Windows 8, Windows Phone oder/und Azure? Diese Events zeigen Dir, wie es geht:

 

 

Mehr Information

Menü

Home
Über WindowsBlog.at
Archiv
Abonnieren Feed
Kontakt
Twitter

Follow Me

Dieser Blog wird von Microsoft Österreich unterstützt. Der Inhalt ist jedoch die Privatmeinung des Bloggers.

Although this blog is supported by Microsoft Austria, the content represents the personal opinion of the blogger.

WindowsBlog App

Windowsblog News gleich auf Windows 8 lesen: mit der WindowsBlog Neuigkeiten App finden Sie News aus dem WindowsBlog, WinforPro und Dr. Windows übersichtlich in einer App zusammen gefasst.

 

RecentComments

Comment RSS

Month List