» Bitlocker: Automatische Entschlüsselung beim Boot-Laufwerk?

Zitat

Bei Verwendung mit einem Trusted Platform Module (TPM), Version 1.2, bietet BitLocker größtmöglichen Schutz. Das TPM ist eine Hardwarekomponente, die von den Computerherstellern in vielen neuen Computern installiert wird. Das TPM kann mit BitLocker verwendet werden, um Benutzerdaten zu schützen und um sicherzustellen, dass ein Computer nicht manipuliert wurde, während das System offline geschaltet wurde.

Auf Computern, die nicht über das TPM (Version 1.2) verfügen, können Sie dennoch BitLocker verwenden, um das Windows-Betriebssystemlaufwerk zu verschlüsseln. Diese Implementierung erfordert jedoch den Anschluss eines USB-Geräts mit Systemstartschlüssel, damit der Computer gestartet wird bzw. seinen Betrieb aus dem Ruhezustand aufnimmt. Die Systemintegritätsprüfung vor dem Start, die BitLocker mit einem TPM bietet, steht in diesem Fall nicht zur Verfügung.

Darüber hinaus kann mit BitLocker der normale Systemstart solange gesperrt werden, bis der Benutzer eine PIN (Personal Identification Number) eingibt oder ein Wechselmedium (z. B. ein USB-Flashlaufwerk) mit einem Systemstartschlüssel anschließt. Diese zusätzlichen Sicherheitsmaßnahmen bieten eine mehrstufige Authentifizierung und stellen sicher, dass der Computer erst dann gestartet wird oder den Betrieb aus dem Ruhezustand wieder aufnimmt, wenn die richtige PIN eingegeben oder der richtige Systemstartschlüssel erkannt wird.

mgutt

Da wird ja nicht auf irgendeine automatische Entschlüsselung eingegangen.

Zitat

Unlock method – options differ drastically if encrypting an OS volume:
OS drives:
TPM only
TPM + PIN
TPM + startup key
TPM + PIN + startup key
Startup key only

Removable or fixed data drives:
Password – this is the method I’ve used for this blog. I don’t have/need a Smart card infrastructure.
Smart card
Automatic unlocking

Zitat

Der ausschließliche TPM-Authentifizierungsmodus kann auf ganz einfache Weise bereitgestellt, verwaltet und verwendet werden. Er ist auch eher für Computer geeignet, die unbeaufsichtigt sind oder neu gestartet werden müssen, während sie unbeaufsichtigt sind. Der ausschließliche TPM-Modus bietet jedoch den geringsten Datenschutz. Wenn Teile Ihrer Organisation über hochsensible Daten auf mobilen Computern verfügen, sollten Sie BitLocker mit einer mehrstufigen Authentifizierung auf diesen Computern bereitstellen.

Zitat

TPM only
The TPM validates early boot components. When using a TPM, this is the least secure unlock method for operating system drives.

Recommended for computers in a physically secure location and for situations where unattended restart is required, such as when Wake On LAN solutions are used or for servers in remote locations.


TPM + PIN (This is a best practice)
The TPM validates early boot components. The user must enter the correct PIN before the startup process can continue and before the drive can be unlocked. A Trusted Computing Group (TCG)-compliant TPM version 1.2 helps to protect the PIN from brute-force attacks.

Recommended for portable computers and computers in less secure locations. This unlock method requires PINs to be assigned to standard users and may generate additional help desk calls if users forget their PINs.
Minimum PIN length can be configured and is recommended to be at least 7 numerals long. For additional security, an enhanced PIN can be used, which permits users to use characters instead of numerals for their PIN. For more information about enhanced PINs, see the BitLocker Drive Encryption Deployment Guide for Windows 7 (http://go.microsoft.com/fwlink/?LinkID=140286).

Mach mit!