Ich habe jahrelang hauptsächlich Ubuntu verwendet und muss jetzt Windows 11 Pro verwenden.
Ich habe eine Maschine mit TPM 2.0, daher sagt mir die Microsoft-Website/Windows 11, dass das Gerät (hoffentlich die Festplatte?!) jetzt verschlüsselt ist.
Ich verstehe jedoch nicht, wie ich den Windows-Anmeldebildschirm erreichen kann, wenn die gesamte SSD verschlüsselt ist (was zumindest das ist, was ich erreichen möchte)? Wie kann das Betriebssystem gelesen werden, ohne dass ein Schlüssel zum Entschlüsseln der Daten auf der Festplatte vorhanden ist?
Oder habe ich einfach falsch verstanden, was die „Geräteverschlüsselung“ eigentlich bewirkt?
Antwort1
Ich verstehe jedoch nicht, wie ich den Windows-Anmeldebildschirm erreichen kann, wenn die gesamte SSD verschlüsselt ist (was zumindest das ist, was ich erreichen möchte)? Wie kann das Betriebssystem gelesen werden, ohne dass ein Schlüssel zum Entschlüsseln der Daten auf der Festplatte vorhanden ist?
Estuteinen Schlüssel haben. Der BitLocker-Verschlüsselungsschlüssel basiert nicht auf Ihrem Anmeldekennwort – er ist völlig unabhängig, ganz ähnlich wie die LUKS-Passphrase unter Ubuntu.
Im Kern funktioniert BitLocker unter Windows fast genau wie LUKS unter Ubuntu. Es funktioniert pro Partition (nicht auf Festplattenebene), sodass die gesamte Betriebssystempartition verschlüsselt ist, aber ein kleiner Teil des Betriebssystemsnichtverschlüsselt 1 und auf einer anderen Partition gespeichert, weshalb Sie zur Eingabe der Passphrase für die „Festplatte“ aufgefordert werden – oder das TPM verwendet wird, um diese automatisch abzurufen.
Wenn die „Geräteverschlüsselung“ aktiviert ist, wird die Passphrase der Festplatte mithilfe des TPM verschlüsselt („versiegelt“) und in den BitLocker-Metadaten der Festplatte gespeichert. Beim Systemstart entsiegelt der Windows-Bootloader die Passphrase (d. h. fordert das TPM auf, sie zu entschlüsseln) und kann das verschlüsselte Volume C:\ entsperren.VorLaden des Betriebssystems.
Wenn Sie zur Anmeldeaufforderung des Betriebssystems gelangen, ist bereits alles entsperrt.
(Dasselbe kann unter Linux mit erreicht werden systemd-cryptenroll, wobei das TPM zum Versiegeln des LUKS-Schlüssels verwendet wird und dieser als „Token“ im LUKS2-Header gespeichert wird. In diesem Fall fordert der unverschlüsselte Linux-Kernel+initrd zur Eingabe der Passphrase an oder kommuniziert mit dem TPM.)
Die Vollversion von BitLocker (in „Pro“ und höheren Editionen von Windows) unterstützt auch die Verwendung einer regulären Passphrase ohne TPM. (Dies gilt zwar nicht speziell als „Geräteverschlüsselung“, ist aber dennoch im Grunde dasselbe BitLocker.) Wenn Sie BitLocker auf diese Weise ohne TPM einrichten würden, würden Sie auch vom Windows-Bootloader eine Passphrase-Abfrage erhalten, bevor das Betriebssystem mit dem Booten beginnen könnte, genau wie bei Ubuntu.
1 Die „Vollständige Festplattenverschlüsselung“ erfolgt eigentlich meistens pro Partition, nicht wirklich für die gesamte Festplatte. Normalerweise wird die Hauptpartition C:\ oder Linux „/“ verschlüsselt, die „EFI-Systempartition“ jedoch nicht.
Sowohl der Windows-Bootloader (der BitLocker verwaltet) als auch der Linux-Kernel + initrd (der LUKS verwaltet) müssten in der unverschlüsselten EFI-Systempartition gespeichert werden. (Ähnlich haben Sie auf BIOS-Systemen ein unverschlüsseltes /boot oder eine „Microsoft-Systempartition“, die das Windows-Äquivalent von /boot ist.)
Ein wichtiger Teil dieses gesamten Setups ist, dass der "TPM-versiegelte" SchlüsselBedingungen für die Entschlüsselungdaran angeschlossen – das TPM weigert sich tatsächlich, es zu entsiegeln, wenn ein anderes Betriebssystem gestartet wird (oder wenn Secure Boot aktiviert/deaktiviert ist), sodass der Bootloader vor Manipulation geschützt ist, auch wenn er nicht verschlüsselt ist. Einfache passwortbasierte Verschlüsselung verfügt normalerweise nicht über einen solchen Schutz.
Windows-Festplatten haben normalerweise eine „Rescue“-Partition mit einem schreibgeschützten Mini-Betriebssystem; diese ist ebenfalls nicht verschlüsselt (aber durch Secure Boot abgedeckt). Wenn Sie benutzerdefinierte Datenpartitionen auf derselben Festplatte haben, können diese verschlüsselt sein oder nicht; wenn sie verschlüsselt sind, wird ihre Passphrase einfach irgendwo unter C: gespeichert.
Antwort2
Aus Geräteverschlüsselung in Windows:
Die Geräteverschlüsselung trägt zum Schutz Ihrer Daten bei und ist auf vielen Windows-Geräten verfügbar.
Normalerweise greifen Sie über Windows auf Ihre Daten zu und unterliegen den üblichen Schutzmechanismen, die mit der Anmeldung bei Windows verbunden sind. Wenn jemand diese Windows-Schutzmechanismen jedoch umgehen möchte, kann er das Computergehäuse öffnen und die physische Festplatte entfernen. Indem er dann Ihre Festplatte als zweites Laufwerk auf einem von ihm kontrollierten Computer hinzufügt, kann er möglicherweise auf Ihre Daten zugreifen, ohne Ihre Anmeldeinformationen zu benötigen.
Wenn Ihr Laufwerk jedoch verschlüsselt ist, müssen sie beim Versuch, mit dieser Methode auf das Laufwerk zuzugreifen, den Entschlüsselungsschlüssel angeben (den sie nicht haben sollten), um auf irgendetwas auf dem Laufwerk zugreifen zu können. Ohne den Entschlüsselungsschlüssel werden die Daten auf dem Laufwerk für sie wie Kauderwelsch aussehen.
Die Geräteverschlüsselung schützt Ihre Festplatte vor Diebstahl, nicht Ihren Computer.
Um den Computer zu schützen, müssen Sie Bitlocker aktivieren. Dies erfordert einen Schlüssel zum Entsperren des Computers, sofern Ihr Computer die Voraussetzungen dafür erfüllt. Sie sollten den Bitlocker-Schlüssel und den Wiederherstellungsschlüssel gut aufbewahren, da Sie sonst Gefahr laufen, Ihre Daten zu verlieren.
Weitere Informationen finden Sie unter BitLocker-Übersicht.