Was verschlüsselt BitLocker tatsächlich und wann?

34

Ich benötige die vollständige Festplattenverschlüsselung für Business-Laptops, auf denen eine aktuelle Version von Windows 10 Pro ausgeführt wird. Die Computer verfügen über ein NVMe-SSD-Laufwerk von Samsung und eine Intel Core i5-8000-CPU.

Nach einigen aktuellen Webrecherchen stehen derzeit nur zwei Optionen zur Verfügung: Microsoft BitLocker und VeraCrypt. Ich bin mir des Status von Open und Closed Source und der damit verbundenen Auswirkungen auf die Sicherheit voll bewusst.

Nachdem ich einige Informationen zu BitLocker gelesen habe, die ich noch nie zuvor verwendet habe, habe ich den Eindruck, dass BitLocker ab Windows 10 aus Leistungsgründen nur neu geschriebene Daten auf der Festplatte verschlüsselt, jedoch nicht alle bereits vorhandenen. (Diese Dokumentation besagt, dass ich die Wahl habe, aber nicht. Sie haben mich nicht gefragt, was ich möchte, nachdem ich es aktiviert habe.) Ich habe in der Vergangenheit die TrueCrypt-Systemverschlüsselung verwendet und weiß, dass die vorhandene Datenverschlüsselung eine sichtbare Aufgabe ist ein paar Stunden. Ich kann ein solches Verhalten mit BitLocker nicht beobachten. Keine erkennbare CPU- oder Festplattenaktivität im Hintergrund.

Das Aktivieren von BitLocker ist wirklich einfach. Klicken Sie auf eine Schaltfläche, und speichern Sie den Wiederherstellungsschlüssel an einem sicheren Ort. Der gleiche Prozess mit VeraCrypt brachte mich dazu, die Idee aufzugeben. Ich musste tatsächlich ein voll funktionsfähiges Wiederherstellungsgerät erstellen, auch zu Testzwecken auf einem Einwegsystem.

Ich habe auch gelesen, dass VeraCrypt derzeit einen Konstruktionsfehler aufweist, der einige NVMe-SSDs bei der Systemverschlüsselung extrem langsam macht . Ich kann es nicht verifizieren, weil das Setup zu kompliziert ist. Zumindest nach der Aktivierung von BitLocker kann ich keine signifikante Änderung der Festplattenleistung feststellen. Auch das VeraCrypt-Team verfügt nicht über ausreichende Ressourcen, um diesen "komplizierten Fehler" zu beheben. Darüber hinaus können Windows 10-Upgrades nicht mit VeraCrypt ausgeführt werden , sodass häufige De- und Verschlüsselungen auf der gesamten Festplatte erforderlich sind. Ich hoffe, BitLocker funktioniert hier besser.

Daher bin ich fast mit der Verwendung von BitLocker zufrieden. Aber ich muss verstehen, was es tut. Leider gibt es online fast keine Informationen dazu. Die meisten bestehen aus Blog-Posts, die einen Überblick geben, aber keine genauen Informationen enthalten. Also frage ich hier.

Was geschieht mit vorhandenen Daten, nachdem BitLocker auf einem System mit einem Laufwerk aktiviert wurde? Was passiert mit neuen Daten? Was bedeutet es, BitLocker auszusetzen? (Dies ist nicht gleichbedeutend mit der dauerhaften Deaktivierung und damit der Entschlüsselung aller Daten auf der Festplatte.) Wie kann ich den Verschlüsselungsstatus überprüfen oder die Verschlüsselung aller vorhandenen Daten erzwingen? (Ich meine nicht genutzten Speicherplatz, das ist mir egal und für SSDs ist es erforderlich, siehe TRIM.) Gibt es einige detailliertere Daten und Aktionen zu BitLocker außer "Suspend" und "Decrypt"?

Und vielleicht auf der anderen Seite, wie hängt BitLocker mit EFS (verschlüsseltes Dateisystem) zusammen? Wenn nur neu geschriebene Dateien verschlüsselt werden, scheint EFS einen sehr ähnlichen Effekt zu haben. Aber ich weiß, wie man EFS bedient, es ist viel verständlicher.

ygoe
quelle

Antworten:

41

Durch Aktivieren von BitLocker wird ein Hintergrundprozess gestartet, der alle vorhandenen Daten verschlüsselt. (Auf Festplatten ist dies traditionell ein langer Prozess, da jeder Partitionssektor gelesen und neu geschrieben werden muss. Auf selbstverschlüsselten Festplatten kann dies sofort erfolgen.) Wenn also gesagt wird, dass nur neu geschriebene Daten verschlüsselt werden, bezieht sich dies auf den Status sofort nach BitLocker Aktivierung und ist nicht mehr wahr , sobald die Hintergrundverschlüsselung Aufgabe beendet. Der Status dieses Vorgangs wird im selben Fenster der BitLocker-Systemsteuerung angezeigt und bei Bedarf angehalten.

Der Microsoft-Artikel muss sorgfältig gelesen werden: Er befasst sich tatsächlich mit der Verschlüsselung nur verwendeter Bereiche der Festplatte. Sie werben nur dies als auf frische Systemen den größten Einfluss hat, in dem Sie keine Daten haben noch neben dem Basis - Betriebssystem (und damit alle Daten werden „neu geschrieben“). Das heißt, 10 Fenster werden alle vorhandenen Dateien nach der Aktivierung verschlüsseln - es wird einfach nicht die Zeit zu verschlüsseln Plattensektoren verschwenden , die alles enthalten noch nicht. (Sie können diese Optimierung über Gruppenrichtlinien deaktivieren.)

(Der Artikel weist auch auf einen Nachteil hin: Bereiche, in denen zuvor gelöschte Dateien gespeichert waren, werden ebenfalls als "unbenutzt" übersprungen. Wenn Sie also ein gut genutztes System verschlüsseln, wischen Sie den freien Speicherplatz mit einem Tool ab und lassen Sie dann Windows TRIM ausführen, wenn Sie haben eine SSD, bevor Sie BitLocker aktivieren, oder verwenden Sie die Gruppenrichtlinie, um dieses Verhalten zu deaktivieren.)

Im selben Artikel werden auch neuere Windows-Versionen erwähnt, die selbstverschlüsselnde SSDs nach dem OPAL-Standard unterstützen. Der Grund, warum Sie keine Hintergrund-E / A sehen, könnte sein, dass die SSD vom ersten Tag an intern verschlüsselt wurde und BitLocker dies erkannte und nur die Schlüsselverwaltung auf SSD-Ebene übernahm, anstatt den Verschlüsselungsaufwand auf Betriebssystemebene zu duplizieren. Das heißt, dass sich die SSD beim Einschalten nicht mehr selbst entsperrt, sondern Windows dies tun muss. Dies kann über die Gruppenrichtlinie deaktiviert werden, wenn das Betriebssystem die Verschlüsselung unabhängig von dieser Einstellung ausführen soll.

Durch das Anhalten von BitLocker wird eine Klartextkopie des Hauptschlüssels direkt auf die Festplatte geschrieben. (In der Regel wird dieser Hauptschlüssel zuerst mit Ihrem Kennwort oder mit einem TPM verschlüsselt.) Wenn er angehalten ist, kann die Festplatte auf eigene Faust entsperrt werden. Dies ist eindeutig ein unsicherer Zustand, ermöglicht es Windows Update jedoch, das TPM so zu programmieren, dass es mit dem aktualisierten Betriebssystem übereinstimmt , beispielsweise. Durch die Wiederaufnahme von BitLocker wird dieser einfache Schlüssel einfach von der Festplatte gelöscht.

BitLocker ist nicht mit EFS verwandt. Letzteres funktioniert auf Dateiebene und ordnet Schlüssel Windows-Benutzerkonten zu (dies ermöglicht eine fein abgestimmte Konfiguration, macht es jedoch unmöglich, die eigenen Dateien des Betriebssystems zu verschlüsseln), während ersteres auf der Ebene des gesamten Datenträgers funktioniert. Sie können zusammen verwendet werden, obwohl BitLocker EFS größtenteils überflüssig macht.

(Beachten Sie, dass sowohl BitLocker als auch EFS über Mechanismen verfügen, mit denen Active Directory-Administratoren in Unternehmen die verschlüsselten Daten wiederherstellen können - entweder durch Sichern des BitLocker-Hauptschlüssels in AD oder durch Hinzufügen eines EFS -Datenwiederherstellungsagenten zu allen Dateien.)

Grawity
quelle
Schöne Übersicht, danke. Zum letzten Satz: Ich sehe viele Anwendungsfälle - BitLocker verschlüsselt meine Festplatte gegen Personen außerhalb des Unternehmens, aber meine IT-Gruppe kann in meiner Abwesenheit auf alle Daten zugreifen, da sie den Hauptschlüssel haben. EFS eignet sich gut für Dokumente, auf die meine IT-Abteilung oder mein Manager keinen Zugriff haben sollen.
Aganju
6
@Aganju: Dieselbe IT-Gruppe hat wahrscheinlich bereits eine Richtlinie bereitgestellt, die einen EFS-Datenwiederherstellungsagenten festlegt . Wenn Sie Dokumente haben, auf die Ihre IT-Abteilung keinen Zugriff haben soll, speichern Sie diese überhaupt nicht auf einem Unternehmensgerät.
Grawity
2
"Bitlocker (...) verschlüsselt alle vorhandenen Daten (...) funktioniert auf Ganzplattenebene" -> Sie haben vergessen, Partitionen zu erwähnen. Bei einer Festplatte mit 2 Partitionen habe ich Bitlocker aktiviert, um nur eine davon zu verschlüsseln (die mit den Daten, nicht das Betriebssystem). Beim Booten mit einem Linux-basierten Betriebssystem können nur die Daten von der unverschlüsselten Partition gelesen werden.
CPHPython
@CPHPython: Richtig, und hier wird es wahrscheinlich inkonsistent - im Softwaremodus kann es nur eine Partition verschlüsseln, aber im SSD (OPAL2) -Modus bin ich mir nicht sicher, ob diese Fähigkeit vorhanden ist. Ich denke, es sperrt das gesamte Laufwerk und (soweit ich es verstanden habe, OPAL) die "PBA" entsperren, bevor ein Betriebssystem ausgeführt wird.
Grawity