Wie stelle ich sicher, dass BitLocker nicht mit einem Wiederherstellungsschlüssel umgangen werden kann?

1

Ich möchte meine Festplatte mit BitLocker verschlüsseln, muss jedoch einen Wiederherstellungsschlüssel erstellen. Jetzt verstehe ich, warum dies wichtig ist, da es Fälle geben kann, in denen mein Kennwort allein das Laufwerk nicht entsperren kann, z. B. wenn das Benutzerprofil beschädigt wird. Das Problem ist, dass ein entschlossener Dieb, der meine Festplatte erhält, möglicherweise auch meinen Wiederherstellungsschlüssel erhält, vorausgesetzt, ich behalte ihn tatsächlich in meinem Haus, in meiner Person oder an einem mit mir entfernten Ort. Wenn mein Passwort zum Entsperren des Laufwerks NOCH erforderlich ist, kann der Dieb natürlich nicht auf meine Daten zugreifen. Wenn der Wiederherstellungsschlüssel ALLEIN das Laufwerk entsperren kann, gibt es absolut nichts, was den Dieb davon abhält, auf meine Daten zuzugreifen. Es wäre, als würde ein Einbrecher mit einem Schlüssel unter einer Topfpflanze das Haus eines Menschen betreten.

Was vermisse ich? Wie kann ich sicherstellen, dass ich nicht von meinen Daten ausgeschlossen werde, solange ich mich an mein Passwort erinnere, und dass ich nicht etwas erstelle, das ein Dieb verwenden könnte, um meine Daten zu umgehen? Passwort.

Hinweis: Ich verwende kein TPM.

Steohawk
quelle
1
Der Wiederherstellungsschlüssel kann erst nach Eingabe des richtigen Kennworts erstellt werden, nachdem Sie den Schlüssel an einem sicheren Ort aufbewahrt haben. Wenn sie Ihr Laufwerk stehlen, können sie keinen weiteren Wiederherstellungsschlüssel erstellen, es sei denn, sie haben das aktuelle Kennwort.
Moab
1
Lösche es. Wenn es nicht existiert, kann es nicht verwendet werden.
Ramhound

Antworten:

4

Kurze Antwort: Bewahren Sie Ihren Wiederherstellungsschlüssel an einem sicheren Ort auf. Vielleicht ist das für Sie Google Drive, ein Flash-Laufwerk, das Sie an Ihrem Schlüsselbund behalten, oder eine E-Mail, die Sie an sich selbst senden.

Der Dieb kann nur dann einen Wiederherstellungsschlüssel generieren, wenn er bei Ihrem Computer angemeldet ist. Wenn sie das Laufwerk stehlen, ohne zuerst den Wiederherstellungsschlüssel oder Ihr Kennwort zu erhalten, ist Bitlocker der richtige Ansprechpartner.

Was Sie fragen, ist: "Wie kann ich einen Schlüssel erstellen, den niemand anderes verwenden kann, der mich einlädt, wenn ich mein Passwort vergesse?" Und die kurze Antwort lautet: "Das geht nicht." Wenn Sie den Schlüssel machen, machen Sie es schwer zu finden. Wenn Sie den Schlüssel nicht machen, vergessen Sie Ihr Passwort nicht. ich

In puncto Sicherheit ist dies ein gewöhnlicher Kompromiss: Benutzerfreundlichkeit <-> Sicherheit

Wie @Ramhound sagte. Die zusätzliche / sekundäre Verwendung des Wiederherstellungsschlüssels besteht darin, dass die Hardware, mit der das Laufwerk verbunden war, geändert wurde. Sie benötigen es, um an diesem Punkt auf die Daten zuzugreifen.

Per @ user1751825 "In einer anderen Situation benötigen Sie möglicherweise den Wiederherstellungsschlüssel. Wenn Sie Ihr Laufwerk mithilfe des Befehlszeilenprogramms entsperren müssen, benötigen manage-bdeSie möglicherweise den Wiederherstellungsschlüssel."

Abraxas
quelle
2
Schicken Sie es sich nicht per E-Mail. Dies ist bei weitem nicht sicher genug. Bitlocker bietet die Option zum Hochladen auf Ihr One-Drive-Konto. Dies ist der Speicherung in einer E-Mail vorzuziehen.
user1751825
@ user1731825 Wie bei den meisten Dingen ist es relativ. Wenn es sich um einen persönlichen Laptop handelt, ist es für Sie unerheblich, in einem Unternehmen mit intensiver E-Mail-Sicherheit zu arbeiten. Das Risiko ist ziemlich gering. Ein weiterer Anwendungsfall ist der Betrieb eines eigenen Exchange / Postfix-Servers, auf dem Sie die Sicherheit verwalten. Wenn Sie es genug vertrauen, was ist falsch daran, es zu benutzen? Ich bin damit einverstanden, dass es weniger ideal ist, aber es ist auch keine physische Sache und es kann Cloud-Speicher vermeiden.
Abraxas
1
E-Mails sind nicht als Allzweck-Speichersysteme konzipiert, auch wenn die potenziellen Auswirkungen auf die Sicherheit nicht berücksichtigt werden. Es ist zu einfach, Dinge versehentlich zu löschen oder zu verlegen. Ich weiß, dass viele Leute es tun, aber es ist wirklich nicht etwas, das ermutigt werden sollte. Zum Beispiel Dinge im Papierkorb für den späteren Abruf aufbewahren.
user1751825
Wieder lieferte nur eine Antwort. Ich bin nicht damit einverstanden, es für die Speicherung zu verwenden, aber die Leute tun es und mit der Erhöhung der Verfügbarkeit von Archivpostfächern und ähnlichen Dingen ist es nicht die "schlechteste" Idee. Aber ich würde dem OP absolut empfehlen, es nicht in E-Mails zu speichern.
Abraxas
1
Genau. Es ist nicht die schlechteste Idee, aber es gibt einfachere, sicherere Optionen, die man wirklich zuerst in Betracht ziehen sollte.
user1751825
1

Der Wiederherstellungsschlüssel wird nur benötigt, wenn Sie Ihr Kennwort vergessen haben. Die Eingabe des Kennworts bei Verwendung des Wiederherstellungsschlüssels ist daher nicht intuitiv. Wenn Sie sicher sind, dass Sie Ihr Passwort nie vergessen werden, müssen Sie den Wiederherstellungsschlüssel nicht aufbewahren. Dies ist jedoch riskant. Ich denke, es sollte ausreichen, den Wiederherstellungsschlüssel an einem sicheren Ort aufzubewahren.

Aktualisieren ... Das Befehlszeilenprogramm manage-bde verwendet nur den Wiederherstellungsschlüssel und nicht das Kennwort. Es ist jedoch unwahrscheinlich, dass dieses Dienstprogramm im normalen Gebrauch benötigt wird.

user1751825
quelle
Wenn Sie etwas eingeben manage-bde -unlock -help, können Sie sehen, dass der Wiederherstellungsschlüssel nicht nur eine Option zum Entsperren ist. -Passwordist eine der unterstützten Optionen.
PetSerAl
@PetSerAl Das stimmt. Es hat jedoch Einschränkungen. Dieser Parameter akzeptiert kein Kennwort in der Befehlszeile, öffnet jedoch ein Aufforderungsdialogfeld, in dem der Benutzer das Kennwort eingeben kann. Dies bedeutet, dass es beispielsweise nicht in der Windows-Wiederherstellungsumgebung verwendet werden kann. Auch wenn Sie den Befehl lock / unlock per Skript ausführen müssen, damit er nicht interaktiv ausgeführt wird, benötigen Sie das Wiederherstellungskennwort / den Wiederherstellungsschlüssel, da die Option -Password nicht funktioniert.
user1751825
Aber Sie können immer noch wmicfür die wmic /namespace:\\Root\CIMV2\Security\MicrosoftVolumeEncryption path Win32_EncryptableVolume where DriveLetter='X:' call UnlockWithPassphrase Passphrase='Password'
Skripterstellung
@PetSerAl Danke dafür. Mir war diese alternative Methode der Skripterstellung nicht bekannt. es sieht sehr interessant aus.
user1751825
0

Warum nicht die Wiederherstellungsdatei nehmen und verschlüsseln ? Die Verwendung einer anderen Passphrase, die Sie definitiv nicht vergessen werden, unterscheidet sich von der "Haupt" -Passphrase, die Sie schützen möchten.

Die Verwendung von PGP / GPG oder LUKS oder sogar TrueCrypt (noch) sollte sicher sein.

Dann wäre es viel sicherer, es in einen Online-Speicher hochzuladen, aber wenn etwas Ihren Computer beschädigt (Feuer, Diebstahl usw.), dann gibt es keinen wirklichen Grund, die Wiederherstellungsdatei ohnehin von der Website zu entfernen (es ist nutzlos ohne den damals nicht verfügbaren Bitlocker) Daten)

Xen2050
quelle
-1

Speichern Sie den Schlüssel in Ihrem Microsoft-Konto. Nur diejenigen, die Zugriff auf Ihr Microsoft-Konto haben, können den Schlüssel erhalten. Wenn Sie sich nicht bei Ihrem Computer anmelden können, verwenden Sie einen anderen Computer oder Laptop in der Nähe, um hierher zu gelangen

https://support.microsoft.com/en-us/instantanswers/566e0e4e-4ca7-4df2-88fb-aa71c00ea55e/find-my-bitlocker-recovery-key

Hier ist die Anweisung direkt von Microsoft

Orte, an denen Sie nach Ihrem BitLocker-Schlüssel suchen können:

On a printout you saved. Look in places you keep important papers.
Saved on a USB flash drive. Plug the USB flash drive in to your locked PC and follow the instructions. If you saved the key as a text

Verwenden Sie einen anderen Computer, um die Textdatei zu lesen. In Ihrem Microsoft-Konto. Um Ihren Wiederherstellungsschlüssel zu erhalten, gehen Sie zu BitLocker-Wiederherstellungsschlüssel.

Oder fragen Sie jemanden um Hilfe:

Ask someone with administrator privileges on the same PC to unlock it with their key.
If your PC is connected to a domain (usually a work or school computer), ask a system administrator for your recovery key.

Wenn Sie immer noch nicht einsteigen können, müssen Sie Ihren PC zurücksetzen. Lernen wie.

Es ist ähnlich, wenn man es in Google Drive oder Dropbox legt, aber ich denke, es ist viel besser. In Google Drive können Sie vergessen, wo Sie den Schlüssel speichern. In Google Drive ist dies nur eine andere Textdatei, die irgendwo verloren gehen kann.

Mit Microsoft speichern sie es nicht nur auf onedrive (das ist übrigens die Dropbox von Microsoft). Sie werden den Schlüssel nicht auf Ihrem einzigen Laufwerk sehen. Microsoft hat einen speziellen Ort, an dem der Schlüssel nur für Sie gespeichert werden kann. Es ist also nicht nur eine andere Textdatei. Es ist wirklich eine Besonderheit der einen Firma, die das Bitlocker-System herstellt. Es ist viel leichter zu finden. Es ist sicherer. Sie müssen Ihre Identität zuerst am Telefon überprüfen, bevor Sie sich anmelden können. Und Sie haben sie als Text- und nicht nur als Textdatei erhalten.

Auch wenn Sie mehrere Schlüssel oder Hunderte von Computern haben, benennt Microsoft den Computer, zu dem jeder Schlüssel gehört.

Wenn Sie es auf Google Drive speichern, müssen Sie es wohl nacheinander ausprobieren. Technisch gesehen hat der Wiederherstellungsschlüssel einen Dateinamen, mit dem Sie auch übereinstimmen können. Es ist jedoch weitaus bequemer, einen Schlüssel unter dem Namen Jim-PC zu erhalten, als den Schlüssel 12234-fdfdg-blabla-blublu

Sie speichern den Schlüssel grundsätzlich mit demselben Konto, mit dem Sie sich bei Ihrem Computer anmelden. Der einzige Weg, den Sie scheitern, ist, wenn Sie vergessen haben, sich an dieses Konto anzumelden. Das bedeutet jedoch, dass Sie sich trotzdem nicht an Ihrem Computer anmelden können. Wenn Sie ich sind, kann es sein, dass ich mehrere Google-Laufwerke habe, die nicht unbedingt mit meinem Microsoft-Konto verknüpft sind. Ich denke, es ist nur angemessener, Microsoft-Schlüssel mit Microsoft-Service zu verwenden.

user4951
quelle
Wie unterscheidet sich dies von der Speicherung auf Google Drive?
Ramhound