Ich habe gerade mein neues MacBook Pro Mid 2018 bekommen, meine Mac OS Mojave-Partition mit FileVault 2 verschlüsselt, Boot Camp und Windows 10 Pro installiert und mich gefragt, ob es möglich ist, auch die Windows-Partition zu verschlüsseln.

Ich habe versucht, BitLocker zu verwenden, und konnte die Boot Camp-Partition nach dem Deaktivieren von TPM in gpedit.msc erfolgreich "verschlüsseln". Ich habe ein paar Mal umgemeldet, und es schien zu funktionieren. Nachdem Sie die Optionstaste gedrückt gehalten und Windows im Startbildschirm ausgewählt haben, wird der typische BitLocker-Bootloader angezeigt. Wenn Sie hingegen Macintosh HD auswählen, wird der FileVault 2-Bootloader angezeigt.

Ich habe jedoch zufällig herausgefunden, wie der BitLocker-Bootloader übersprungen werden kann.

Auf dem Mac OS Anmeldebildschirm habe ich Gastbenutzer ausgewählt. Es war der obligatorische Neustart und ich war im Gastbetriebssystem. Nach einem erneuten Neustart war es nicht mehr möglich, das Startoptionsmenü aufzurufen, indem beim Start die Optionstaste gedrückt gehalten wurde. Das Booten führte mich jedes Mal direkt zum Gastbetriebssystem. Ich konnte nicht einmal ein anderes Startvolumen einstellen, weil es anscheinend kein gab. Auf den ersten Blick war ich schockiert und dachte, ich hätte meinen Bootloader komplett zerstört.

Nachdem ich meinen NVRAM / PRAM zurückgesetzt habe, indem ich beim Start die Option + cmd + p + r gedrückt habe, ist etwas sehr Unerwartetes passiert. Das Standardmenü für Startoptionen war wieder verfügbar, aber als ich Windows auswählte, war der BitLocker-Bootloader nicht mehr vorhanden. Ich konnte Windows starten und in das Betriebssystem und das Dateisystem gelangen, ohne mein BitLocker-Kennwort einzugeben. In den Windows-Einstellungen war BitLocker deaktiviert und ich konnte auch den gesamten Inhalt des Boot Camp-Laufwerks von Mac OS aus sehen, was natürlich vorher nicht möglich war. Es sieht so aus, als ob BitLocker mein Laufwerk noch nie verschlüsselt hat, obwohl dies erfolgreich war, und mir den Bootloader mit der Kennwortabfrage gezeigt hat, bevor ich versuchte, von Windows zu starten.

Die Fragen, die ich jetzt habe, sind im Grunde:

  • Ist dies ein Fehler oder liegt es an der neuen T2-Architektur von Apples? Was mich zur nächsten Frage führt:
  • Ist es mit dieser neuen T2-Architektur nicht unmöglich, die gesamte Systempartition zu verschlüsseln, da durch das Zurücksetzen der Bootloader und das Bootmenü jedes Mal zurückgesetzt werden?
  • Wie kann ich meine Boot Camp-Partition vollständig verschlüsseln?

TrueCrypt / VeraCrypt funktioniert nicht so gut. Offensichtlich.

Und ja, ich dachte darüber nach, FileVault 2 zusammen mit einem Firmware-Kennwort und Windows Boot Camp ohne Verschlüsselung zu verwenden. Aber ich denke, dies ist eher keine Option oder sicher, da Apple oder, was noch wichtiger ist, die Mitarbeiter in ihren Läden in der Lage sind, das Firmware-Passwort zurückzusetzen, was meiner Meinung nach eine große Sache ist. Soweit ich weiß, funktioniert es immer noch, den RAM auszulöten und andere hinterhältige Dinge zu erledigen, um das Firmware-Passwort zu umgehen.

Was kann ich also tun? Ich möchte keine verschlüsselten Container im Dateisystem verwenden. Ich möchte nur, dass mein Mac und meine Windows Boot Camp-Partition sowohl eigenständig als auch vollständig verschlüsselt werden. Im Idealfall könnte ich sogar VeraCrypt für Mac OS anstelle von FileVault 2 verwenden.

Sag mir was ihr denkt :) Aber bitte keine Virtualisierungsvorschläge.

Danke im Voraus.

Malcolm
quelle