Bitlocker – Zusätzlicher PIN beim Systemstart

ist eine reine offline Verschlüsselung und schützt die Daten primär physikalisch vor Diebstahl. Einen Schutz vor Angriffen online und über das Netzwerk kann wiederum nicht bereitstellen. Dabei hilft ein TPM (Trusted Platform Module -> Wikipedia), verbaut auf der Platine des PC-Systems oder Notebooks, bei der Speicherung des kryptographischen Schlüssels. Dieser sorgt beim starten des Systems für ein automatisches und komfortables entsperren der Festplatte ohne ein eingreifen des Benutzers anzufordern bis dann die Windows-Anmeldung erscheint. Hat ein Dieb oder der unbefugte Benutzer das System vor sich so kann er auf jeden Fall versuchen das Passwort zu erraten.

Und der Angreifer hat im Unternehmen dabei auch noch gute Chancen. Benutzer müssen sich heutzutage viele Kennwörter merken. Diese sollten dann auch noch komplex sein und müssen in regelmäßigen Abständen geändert werden. Da ist der Zettel am Monitor oder das Passwort-Heftchen am Arbeitsplatz eine brauchbare Hilfe ;-).

Zusätzlichen Schutz kann man durch Anfordern eines Systemstart-PIN erreichen. PINs zählen zwar nicht zu den sichersten Methoden lassen sich aber wiederum gut merken und stellen in unserem Falle eine zusätzliche da.

Grundsätzlich sieht in Windows 10, wobei die Anleitung auch schon ab Windows Vista funktioniert, folgendermaßen aus:

bitlocker-pin-1

Um hier einen PIN setzen zu können müssen wir in einer Windows Domäne über eine Gruppenrichtlinie oder wie in meinem Beispiel mit einer lokalen Richtlinie eine Policy setzen. Der Pfad dahin und das Ergebnis ist in beiden Fällen das Gleiche. Ich öffne die lokale Richtlinie mit dem Befehl:

Und navigiere anschließend zu dem Pfad Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Bitlocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke

bitlocker-pin-2Hier konfiguriere ich den Wert Zusätzliche Authentifizierung beim Start anfordern mit folgenden Werten:

bitlocker-pin-3

Dabei entferne ich lediglich den Haken bei Bitlocker ohne kompatibles TPM zulassen denn meinen TPM-Chip möchte ich ja weiterhin benutzen. Alle anderen Werte bleiben auf Standard wobei hier weder etwas erzwungen noch deaktiviert wird und in meinem Fall der User die Wahl hat. Wollen wir das Ganze im Unternehmen erzwingen so muss der Wert TPM-Systemstart-PIN konfigurieren auf Start-PIN bei TPM erforderlich gesetzt werden.

Nach einem Update der Regeln mit Administrator-Rechten über den Befehl:

sollten dann in der Bitlocker Systemsteuerung eine zusätzliche Möglichkeit vorhanden sein.

bitlocker-pin-4

Über den Punkt Ändern, wie das Laufwerk beim Start entsperrt wird startet jetzt ein Assistent welcher uns ermöglicht einen PIN festzulegen. bitlocker-pin-5

Wem der PIN 4-Stellig zu kurz ist kann über die Richtlinie Minimale PIN-Länge für Systemstart konfigurieren auch höhere Werte anfordern. Diese Richtlinie befindet sich im selben Pfad.

Beim nächsten Neustart erscheint dann folgender Bildschirm:

bitlocker-pin-7

Erst nach PIN-Eingabe startet das Betriebssystem. Ein weiterer Schritt zum absichern und härten von Windows und einfach mal ein besseres Gefühl wenn ich das Notebook mal wieder im Auto lasse 😉

Bitte beachtet beim Testen und Probieren folgendes: Beim Arbeiten mit Bitlocker kann man schnell auch mal das falsche Häkchen setzen. Geht auf Nummer Sicher und prüft vorab ob der Bitlocker Recover-Key griffbereit zur Verfügung steht. Auch ein Testen in einer VM vorab wird empfohlen. Hyper-V kann in Windows 10 auch den TPM-Chip durchreichen und bietet so realistische Szenarien an!

bitlocker-pin-6

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.