Was verschlüsselt BitLocker tatsächlich und wann?

2974
ygoe

Ich benötige vollständige Festplattenverschlüsselung für Business-Laptop-Computer, auf denen eine aktuelle Version von Windows 10 Pro ausgeführt wird. Die Computer verfügen über ein NVMe-SSD-Laufwerk von Samsung und eine Intel Core i5-8000-CPU.

Bei einigen Webrecherchen sind derzeit nur zwei Optionen verfügbar: Microsoft BitLocker und VeraCrypt. Ich bin mir des Zustandes der offenen und geschlossenen Quelle und der damit verbundenen Sicherheitsfolgen voll bewusst.

Nachdem ich einige Informationen zu BitLocker gelesen hatte, die ich zuvor noch nie verwendet hatte, habe ich den Eindruck, dass BitLocker ab Windows 10 nur neu geschriebene Daten auf der Festplatte verschlüsselt, jedoch nicht alles, was bereits vorhanden ist, aus Performancegründen. (Diese Dokumentation besagt, dass ich eine Wahl habe, aber ich habe keine. Sie haben mich nicht gefragt, was ich nach der Aktivierung möchte.) Ich habe in der Vergangenheit die TrueCrypt-Systemverschlüsselung verwendet und weiß, dass die vorhandene Datenverschlüsselung eine sichtbare Aufgabe ist, die erforderlich ist ein paar Stunden. Ich kann ein solches Verhalten mit BitLocker nicht beobachten. Keine wahrnehmbare CPU- oder Festplattenaktivität im Hintergrund.

Die Aktivierung von BitLocker ist sehr einfach. Klicken Sie auf eine Schaltfläche, und speichern Sie den Wiederherstellungsschlüssel an einem sicheren Ort. Der gleiche Prozess mit VeraCrypt brachte mich dazu, die Idee aufzugeben. Ich musste tatsächlich ein voll funktionsfähiges Wiederherstellungsgerät erstellen, selbst zu Testzwecken auf einem Wegwerfsystem.

Ich habe auch gelesen, dass VeraCrypt derzeit einen Konstruktionsfehler aufweist, der einige NVMe-SSDs bei der Systemverschlüsselung extrem langsam macht . Ich kann es nicht überprüfen, weil das Setup zu kompliziert ist. Zumindest nach der Aktivierung von BitLocker kann ich keine signifikanten Änderungen in der Festplattenleistung feststellen. Auch das VeraCrypt-Team verfügt nicht über ausreichende Ressourcen, um diesen "komplizierten Fehler" zu beheben. Darüber hinaus können Windows 10-Upgrades nicht mit VeraCrypt ausgeführt werden, was häufige Festplatten- und Verschlüsselungsarbeiten erforderlich macht. Ich hoffe, dass BitLocker hier besser funktioniert.

Ich bin fast damit einverstanden, BitLocker zu verwenden. Aber ich muss verstehen, was es tut. Leider gibt es fast keine Informationen online. Die meisten bestehen aus Blogbeiträgen, die einen Überblick geben, jedoch keine detaillierten Informationen. Also frage ich hier.

Was passiert nach der Aktivierung von BitLocker auf einem System mit einem Laufwerk mit den vorhandenen Daten? Was passiert mit neuen Daten? Was bedeutet "BitLocker aussetzen"? (Nicht das gleiche wie das permanente Deaktivieren und das Entschlüsseln aller Daten auf der Festplatte.) Wie kann ich den Verschlüsselungsstatus überprüfen oder die Verschlüsselung aller vorhandenen Daten erzwingen? (Ich meine nicht ungenutzten Speicherplatz, das ist mir egal, und für SSDs ist dies erforderlich, siehe TRIM.) Gibt es detailliertere Daten und Aktionen zu BitLocker, außer "Suspend" und "Decrypt"?

Und vielleicht in einer Randnotiz, wie bezieht sich BitLocker auf EFS (verschlüsseltes Dateisystem)? Wenn nur neu geschriebene Dateien verschlüsselt werden, scheint EFS eine sehr ähnliche Wirkung zu haben. Aber ich weiß, wie man EFS bedient, es ist viel verständlicher.

33

1 Antwort auf die Frage

39
grawity

Durch die Aktivierung von BitLocker wird ein Hintergrundprozess gestartet, der alle vorhandenen Daten verschlüsselt. (Bei HDDs ist dies traditionell ein langer Prozess, da jeder Partitionssektor gelesen und neu geschrieben werden muss - bei selbstverschlüsselnden Festplatten kann es sofort sein.) Wenn also gesagt wird, dass nur neu geschriebene Daten verschlüsselt werden, bezieht sich dies sofort auf den Zustand nach der BitLocker-Aktivierung und ist nach Abschluss der Hintergrundverschlüsselungsaufgabe nicht mehr gültig. Der Status dieses Prozesses kann im selben Fenster des BitLocker-Steuerungsfensters angezeigt und bei Bedarf angehalten werden.

Der Microsoft-Artikel muss sorgfältig gelesen werden. In diesem Artikel werden nur die verwendeten Bereiche der Festplatte verschlüsselt. Sie werben nur dies als auf frische Systemen den größten Einfluss hat, in dem Sie keine Daten haben noch neben dem Basis - Betriebssystem (und damit alle Daten werden „neu geschrieben“). Das heißt, 10 Fenster werden alle vorhandenen Dateien nach der Aktivierung verschlüsseln - es wird einfach nicht die Zeit zu verschlüsseln Plattensektoren verschwenden, die alles enthalten noch nicht. (Sie können diese Optimierung über die Gruppenrichtlinie deaktivieren.)

(Der Artikel weist auch auf einen Nachteil hin: Bereiche, in denen zuvor gelöschte Dateien gespeichert waren, werden ebenfalls als "nicht verwendet" übersprungen. Wenn Sie also ein gut verwendetes System verschlüsseln, löschen Sie den Speicherplatz mit einem freien Speicherplatz und lassen Sie Windows dann TRIM ausführen, wenn dies der Fall ist Sie verfügen über eine SSD, bevor Sie BitLocker aktivieren, oder deaktivieren Sie dieses Verhalten mithilfe der Gruppenrichtlinie.)

In demselben Artikel wird auch auf neuere Windows-Versionen hingewiesen, die selbstverschlüsselnde SSDs mit dem OPAL-Standard unterstützen. Der Grund dafür, dass Sie keine Hintergrund-E / A sehen, ist möglicherweise darauf zurückzuführen, dass die SSD vom ersten Tag an intern verschlüsselt wurde und BitLocker dies erkannte und nur die Schlüsselverwaltung auf SSD-Ebene übernahm, anstatt die Verschlüsselung auf Betriebssystemebene zu duplizieren. Das bedeutet, dass sich die SSD beim Einschalten nicht mehr selbst entriegelt, sondern Windows erfordert. Dies kann über die Gruppenrichtlinie deaktiviert werden, wenn das Betriebssystem die Verschlüsselung trotzdem bevorzugen soll.

Durch das Anhalten von BitLocker wird eine Klartextkopie des 'master'-Schlüssels direkt auf die Festplatte geschrieben. (Normalerweise wird dieser Hauptschlüssel zuerst mit Ihrem Kennwort oder mit einem TPM verschlüsselt.) Im Suspend-Modus kann die Festplatte eigenständig entsperrt werden. Dies ist eindeutig ein unsicherer Status. Windows Update kann jedoch das TPM entsprechend dem aktualisierten Betriebssystem neu programmieren, zum Beispiel. Die Wiederaufnahme von BitLocker löscht diesen einfachen Schlüssel einfach von der Festplatte.

BitLocker hat nichts mit EFS zu tun. Letzteres arbeitet auf Dateiebene und ordnet Schlüsseln Windows-Benutzerkonten zu (wodurch eine feinkörnige Konfiguration möglich ist, die eigenen Dateien des Betriebssystems jedoch nicht verschlüsselt werden können), während ersteres auf der Ebene der gesamten Festplatte arbeitet. Sie können zusammen verwendet werden, obwohl BitLocker EFS meistens überflüssig macht.

(Beachten Sie, dass sowohl BitLocker als auch EFS über Mechanismen verfügen, mit denen Active Directory-Administratoren des Unternehmens die verschlüsselten Daten wiederherstellen können - entweder durch Sicherung des BitLocker-Hauptschlüssels in AD oder durch Hinzufügen eines EFS -Datenwiederherstellungs-Agenten zu allen Dateien.)

Schöne Übersicht, danke. Zum letzten Satz: Ich sehe viele Anwendungsfälle - BitLocker verschlüsselt meine Festplatte gegen Personen außerhalb des Unternehmens, aber meine IT-Gruppe kann auf alle Daten in meiner Abwesenheit zugreifen, da sie über den Hauptschlüssel verfügen. EFS funktioniert gut für Dokumente, auf die ich meiner IT-Abteilung oder meinem Vorgesetzten nicht zugreifen möchte. Aganju vor 5 Jahren 0
@Aganju: Die gleiche IT-Gruppe hat wahrscheinlich bereits eine Richtlinie implementiert, die einen [EFS-Datenwiederherstellungs-Agenten] bestimmt (https://docs.microsoft.com/de-de/windows/security/information-protection/windows-information-protection / create-and-verify-an-efs-dra-certificate). Wenn Sie über Dokumente verfügen, auf die Ihre IT-Abteilung keinen Zugriff haben soll, speichern Sie sie keinesfalls auf einem Unternehmensgerät. grawity vor 5 Jahren 5
"Bitlocker (...) verschlüsselt alle vorhandenen Daten (...) auf Gesamtfestplattenebene" -> Sie haben vergessen, Partitionen zu erwähnen. Bei einer Festplatte mit 2 Partitionen habe ich Bitlocker aktiviert, um nur eine davon zu verschlüsseln (diejenige mit den Daten, nicht das Betriebssystem). Beim Booten mit einem Linux-basierten Betriebssystem können nur die Daten von der unverschlüsselten Partition gelesen werden. CPHPython vor 5 Jahren 2
@CPHPython: Richtig. Hier wird es wahrscheinlich inkonsistent - im Softwaremodus kann nur eine Partition verschlüsselt werden, aber im SSD-Modus (OPAL2) bin ich nicht sicher, ob diese Fähigkeit vorhanden ist. Ich denke, es sperrt das gesamte Laufwerk und (soweit ich OPAL verstanden habe) wird die 'PBA' die Sperre aufheben, bevor _any_ OS ausgeführt wird. grawity vor 5 Jahren 0

Verwandte Probleme