Wie Computer schützen außer mit Bitlocker?

C

CommanderBond

Enthusiast
Thread Starter
Mitglied seit
16.04.2012
Beiträge
739
Hallo, ich möchte mein Notebook schützen gegen physikalischen Diebstahl genauer gesagt die Daten da drauf.
Bitlocker kommt für mich nicht in Frage weil es zuviel Leistung frisst, ich möchte dadurch weder Performance noch Akkulaufzeit verschwenden.
Also was bleibt übrig an Möglichkeiten?
Der Schutz sollte natürlich auch wirksam sein falls jemand die SSD einfach ausbaut und woanders versucht auszulesen.
Ganz früher gab es mal das Sata Passwort. Gibt es da heute noch was ähnliches? Ein Passwort was man vielleicht eingeben muss bevor der Rechner überhaupt startet/bootet?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
CommanderBond schrieb:
Hallo, ich möchte mein Notebook schützen gegen physikalischen Diebstahl genauer gesagt die Daten da drauf.
Bitlocker kommt für mich nicht in Frage weil es zuviel Leistung frisst, ich möchte dadurch weder Performance noch Akkulaufzeit verschwenden.
Also was bleibt übrig an Möglichkeiten?
Der Schutz sollte natürlich auch wirksam sein falls jemand die SSD einfach ausbaut und woanders versucht auszulesen.
Ganz früher gab es mal das Sata Passwort. Gibt es da heute noch was ähnliches? Ein Passwort was man vielleicht eingeben muss bevor der Rechner überhaupt startet/bootet?
Zum Vergrößern anklicken....
Und inwiefern hilft ein SATA Kennwort gegen Ausbau in einen anderen PC? Garnicht. Die einzige Möglichkeit ist die Verschlüsselung. Aber die kostet dir ja zuviel Performance.

Aber nur ein kleine Anmerkung. Bitlocker kann man auch auf hardwarebassierte Verschlüsselung einstellen. Dann ist es keine AES-NI Verschlüsselung der CPU sondern z.B. TCG Opal, falls deine SSD das kann
 
kaiser schrieb:
Und inwiefern hilft ein SATA Kennwort gegen Ausbau in einen anderen PC?
Zum Vergrößern anklicken....
Und wie kommt der Angreifer dann an das Passwort wenn er sie ausbaut?

kaiser schrieb:
Bitlocker kann man auch auf hardwarebassierte Verschlüsselung einstellen. Dann ist es keine AES-NI Verschlüsselung der CPU sondern z.B. TCG Opal, falls deine SSD das kann
Zum Vergrößern anklicken....
Kann ich die SSD dann ausbauen und mit einem anderen PC auslesen falls das Gerät in dem die SSD steckt stirbt?
 
Ja.
Du musst dann allerdings den 48-stelligen Bitlocker-Key eingeben.
Den sollte man also notieren.
kaiser schrieb:
Und inwiefern hilft ein SATA Kennwort gegen Ausbau in einen anderen PC? Garnicht.
Zum Vergrößern anklicken....

Doch, denn das SATA-Kennwort ist ein Feature der SATA-Spezifikation.
Das SATA-Kennwort wird in der Firmware der HDD/SSD gespeichert und nicht im BIOS/UEFI des PCs.
Steckt man eine so geschützte HDD/SSD in einen anderen PC, wird nach dem Kennwort gefragt.
Es gibt sogar 3 Stufen des SATA-Kennworts:
User = muss man eingeben, um auf den Datenträger zugreifen zu können
Master High = muss man eingeben, um das User-Kennwort deaktivieren zu können. Auch die Rolle des User-Kennworts kann es übernehmen.
Master Maximum = muss man eingeben, um ein Sercure Erase des Datenträgers machen zu können.
Alle Tools, mit denen man ein Secure Erase machen kann, setzen das Master-Kennwort, machen dann den Secure Erase
und wenn der abgeschlossen ist, wird das Master-Kennwort wieder entfernt.
Daher darf man nie ein Secure Erase abbrechen, denn sonst ist der Datenträger unbrauchbar, weil dann das Kennwort nicht wieder entfernt wird und man das automatisch gesetzte Kennwort nicht kennt.

Das SATA-Kennwort ist trotzdem unsicherer als Bitlocker, denn die Daten sind ja unverschlüsselt.
Man braucht nur einen zweiten baugleichen Datenträger und tauscht dann die Steueuelektronik.
Denn da steckt ja die Firmware mit dem Kennwort drin.
Bei HDDs geht das leichter als bei SSDs.

Aber wer baut denn den Datenträger aus?
I.d.R. wird der ganze PC geklaut und dann einfach z.B. von einem USB-Stick gebootet und so der Kennwortschutz von Windows umgangen.
Man sollte daher im BIOS/UEFI das booten von USB und CD/DVD deaktivieren und das BIOS/UEFI mit einem Kennwort schützen.

Im Übrigen:
Man kann auch EFS nutzen.
Das gibt es in allen Windows-Editionen außer Home.
Damit geht die Verschlüsselung sogar auf Ordner- und Dateiebene.
EFS gibt es seit Windows NT 4.0!
Datei/Ordner mit EFS verschlüsseln:
Rechtsklick auf die Datei/Ordner, dann "Eigenschften" wählen, unten bei "Attribute" den Button "Erweitert" anklicken, dann Haken rein bei "Inhalt verschlüsseln, um Daten zu schützen".
Sollte man aber nur bei Daten machen, nicht im Windows-Verzeichnis!
Sonst sperrt man sich selbst aus, weil Windows dann nicht mehr booten kann.
Entschlüsseln geht ja erst, nachdem Windows gebootet ist.
I.dR. muss man ja gar nicht den kompletten Datenträger verschlüsseln, sondern will nur seine Daten vor fremdem Zugriff schützen.
Da wäre dann EFS ausreichend. EFS verschlüsselt die Daten übrigens seit XP SP1 mit AES und das gilt bis heute als ungeknackt.
 
Zuletzt bearbeitet:
Die Hardwareverschlüsselung ist nicht Bitlocker!
Die Hardwareverschlüsselung passiert in der Elektronik der HDD/SDD.
 
Und vor allem sollte das Bios/UEFI auch dies unterstützen bzw. das jeweilige Dienstprogramm (wenn vorhanden). Ansonsten bleibt halt nur BT, VC usw. usf.

ps: Ich persönlich nutze z.b. schon seit Jahren das "containern" via VC. Im Gegensatz zu BT wirklich sehr viel flotter und vor allem weniger fehlerbehaftet. Was mich bei BT immer am meisten genervt hat war, dass man das LW/Partition zwar schnell entsperren kann aber ohne Script dann halt nicht im laufenden Betrieb wieder sperren kann. Das fand ich dann doch schon sehr altbacken und halt das bei Sicherheitspatches von MS (wie aktuell) BT_verschlüsseltes Storage immer wieder mal irgendwo für Bugs sorgt.

edit: Selbst meine WD SN850X unterstützen IE1667 nicht (eigener Mikrocontroller für hardwarebasierte Verschlüsselung), laut KI aber wohl TCG Opal 2.01 und will man die "richtig" verschlüsseln, dann brauchts dafür wohl SEDutil. Das wiederum ist aber, da befehlszeilenorientiert, auch etwas umständlicher in der Bedienung und muss/wird zum ver-/entschlüsseln erst von z.b. einen USB Stick als Bootmedium vorgeladen werden. Keine Ahnung ob man sich den ganzen Murks wirklich antun möchte. Wäre auch mal gut zu wissen, um was für eine SSD es sich überhaupt handelt.

kaiser schrieb:
Und inwiefern hilft ein SATA Kennwort gegen Ausbau in einen anderen PC? Garnicht. Die einzige Möglichkeit ist die Verschlüsselung. Aber die kostet dir ja zuviel Performance.
Zum Vergrößern anklicken....
Genau! Die schützt ja nur auf den jeweiligen Board. Stöppelst du die woanders an, dann wars das.
 
Zuletzt bearbeitet:
passat3233 schrieb:
Die Hardwareverschlüsselung ist nicht Bitlocker!
Die Hardwareverschlüsselung passiert in der Elektronik der HDD/SDD.
Zum Vergrößern anklicken....
Die Frage bleibt dann ob man sie außerdem des PCs entschlüsseln kann. Weil der 48stellige Key ist ja Bitlocker. Also welchen Schlüssel gibt man dann ein oder geht das nicht?
 
BT verschlüsselst [at] default meines Wissens nach AES-128. Man kann auf AES-256 umstellen, kostet aber dann halt noch mehr Performance. Wichtig ist ja auch, welche Methoden deine SSD zur Verschlüsselung supportet. Daher ja die Frage -> um welche SSD handelt es sich? Der Schlüssel ansich wird von BT generiert und kann man sich z.b. ausdrucken lassen bzw. u.a. als automatisches Entsperrmedium auf USB installieren usw.

..aber denk daran, BT kann [at] default in laufender Sitzung nur Storage entsperren nicht wieder sperren, heißt, gesperrt ist das Medium quasi nur nach Neustart. Alles andere muss man scripten.

ps: Meiner Meinung nach komfortabler ist da VC, da brauchts aber bei einen Systemlaufwerk erst einer Modifikation, da VC sich vor den Bootblock setzt und die Partitionszuordnungen modifiziert.
Kann man eigentlich sehr einfach bewerkstelligen wenn man z.b. mittels MT Wizard bischen was von der ersten MSR Partition abzwackt (nur bei GPT) für diesen VC Bootmanager.

vc.png

..dafür bietet VC halt weit mehr Verschlüsselungsalgorithmen als BT und läuft halt schneller (zumindest bei mir).

edit: Willst du vor Start des OS bzw. generell verschlüsseln, solltest du erst einmal wissen, ob deine SSD entsprechende Encryption unterstützt. SEDutil nimmt z.b. (wenn ich das richtig nachgelesen habe) nur Storage das minimum TCG Opal supportet. Bietet das deine SSD nicht (z.b. nur AES), dann kannst du auch das nicht verwenden. Und eine "richtige Hardwareelektronik" die muss dann IE1667 supporten. Das wird aber eher weniger der Fall sein. Das dürften dann ganz spezielle SSDs sein.

passat3233 schrieb:
Doch, denn das SATA-Kennwort ist ein Feature der SATA-Spezifikation.
Das SATA-Kennwort wird in der Firmware der HDD/SSD gespeichert und nicht im BIOS/UEFI des PCs.
Steckt man eine so geschützte HDD/SSD in einen anderen PC, wird nach dem Kennwort gefragt.
Zum Vergrößern anklicken....
Da hast du in der Theorie durchaus Recht und hatte ich selbst mal mit meinen damaligen (Samsung) HDDs so auch eingerichtet.
In der Praxis war es aber dann nachher so, dass meine Spinpoints an einen anderen Board dann gar nicht verschlüsselt/PW-geschützt waren.
Und ganz ehrlich, bei NVMe Storage wüsste ich gar nicht, wo ich diese Option für M.2 gesockeltes Storage überhaupt finden könnte.
 
Zuletzt bearbeitet:
schaff dir kein Computer an......
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh