+49 (0) 8171/405-0 info@proSoft.de

BitLocker Single Sign-on

11.
Mrz
2021
Authenticator App, BitLocker, BitLocker 2FA, BitLocker PBA, BitLocker SSO, BitLocker-Verwaltung, UEFI BitLocker, YubiKey

Bei der nativen Nutzung der Festplattenverschlüsselung Microsoft BitLocker haben Organisationen die Wahl zwischen «Umständlich aber sicher» oder «benutzerfreundlich aber unsicher». Mit BitLocker Single Sign-on Funktionen in Kombination mit Lösungen zur BitLocker-Verwaltung, erreichen Unternehmen das Optimum «benutzerfreundlich und sicher».

Microsoft BitLocker ist in Verbindung mit einer TPM-PIN zwar sicher, aber umständlich in der Administration und aufwändig beim User-Helpdesk. Das Trusted Platform Module (TPM) ist ein, in Computern integrierter Chip, der in diesem Fall die sichere Speicherung des BitLocker-Schlüssels übernimmt. Geschützt wird der BitLocker Schlüssel durch eine PIN, die der Anwender beim booten eingeben muss. Das ist auch der Grund, warum Anwender diese Methode nicht unbedingt schätzen, Sie müssen sich doppelt anmelden – zuerst bei der Festplattenverschlüsselung und danach bei Windows bzw. am Netzwerk. Trotzdem empfiehlt Microsoft die Nutzung von TPM plus PIN. Wird die PIN vom Anwender vergessen, ergibt sich dadurch aber ein großes Problem, besonders wenn der Anwender unterwegs ist. Der Recovery Key zur Wiederherstellung von BitLocker, kann laut Microsoft im Microsoft Konto, auf einen USB-Stick, im Azure AD oder auf einem Ausdruck gefunden werden. Für Organisationen nicht ideal haben sie doch keine Chance mehr, ihren Anwendern bei entsprechenden «Wissenslücken» zu helfen.

Benutzerfreundlich aber unsicher

Wird die PIN dagegen im TPM-Chip gespeichert, kann sie beispielsweise durch «TPM-Sniffing» bei der Übertragung vom TPM in den Arbeitsspeicher mitgelesen werden. Dieser Angriff dauert in der Regel nur 20 Minuten. Links zu weiteren Angriffsmethoden finden Sie unten. Ist die TPM-PIN bekannt, können auch die Daten auf der eigentlich verschlüsselten Festplatte entschlüsselt werden. Einziger Vorteil ist hierbei, dass sich der Nutzer die PIN nicht merken muss.

BitLocker Single Sign-on oder Pre-Boot Authentifizierung

Microsoft empfiehlt deshalb nicht die Standardkonfiguration einzurichten, sondern BitLocker ausschließlich in Kombination mit einem TPM/BIOS-Passwort oder PIN und Single Sign-on bzw. Pre-Boot Authentifizierung (PBA) zu nutzen. Dadurch wird verhindert, dass der BitLocker-Schlüssel vor Eingabe eines Passworts das Trusted Platform Module erreichen und dort mithilfe einer Attacke ausgespäht werden kann. Die BitLocker Single Sign-on Funktionsweise wollen wir am Beispiel der BitLocker-Verwaltung Secure Disk for BitLocker des deutschen Herstellers Cryptware IT-Security GmbH erläutern. Bei dieser Lösung erfolgt die Pre-Boot Authentifizierung über Name/Passwort, (Virtual-) Smartcard, Zertifikat oder biometrisch. Neu hinzugekommen sind die sichere Authentifizierung über YubiKey OTP Hardware-Token und Authentifizierungs-Apps wie Google Authenticator, FreeOTP, LinOTP oder Sophos Authenticator.

Trotz BitLocker Single Sign-on konnte hier eine Zwei-Faktor Authentifizierung realisiert werden. Denn Anwender müssen sowohl das Notebook als auch Smartphone plus OTP-App, PIN oder biometrische Eigenschaften zur Anwenderidentifizierung am Smartphone oder den YubiKey Token parat haben. Eine einmalige Authentifizierung reicht aus, um sich sowohl bei BitLocker als auch bei Windows sicher anzumelden. Diese Verfahren sind durch den TPM-Chip am Notebook vor Brute-Force Attacken geschützt. Die OTP-Token wiederum sind durch das Trusted Platform Module kryptografisch mit der Hardware (Notebook) verbunden. Erwähnenswert ist noch, dass die Anmeldung über App vollständig offline funktioniert. In der eigenen Domäne sorgt der Friendly Network Mode für die Anmeldung am Netzwerk und nicht nur an Windows.

BitLocker Single Sign-on mit YubiKey

Volle Flexibilität mithilfe der YubiKey Produktfamilie

 

BitLocker Pre-Boot Authentifizierung mit YubiKey

Der YubiKey USB-Token ist eine echte Alternative und ein weiteres sicheres Single Sign-on Authentifizierungsverfahren. Anwender müssen zusätzlich zu den Anmeldedaten nur noch ihren YubiKey besitzen, um Zugang zum Betriebssystem zu erhalten. Nach der Anmeldung an der Secure Disk Pre-Boot Authentifizierung, wird der User auch automatisch am Microsoft Betriebssystem angemeldet (siehe Video). Die Lösung Secure Disk for BitLocker ist von Yubico in das Programm «Works with YubiKey» aufgenommen worden. Auch diese Methode entspricht den strengen Vorgaben einer Zwei-Faktor Authentifizierung.

Alle oben beschriebenen neuen Authentifizierungsmethoden sind Multi-User-fähig,

Durch BitLocker-Verwaltung die Kontrolle behalten

Die Hauptaufgaben einer BitLocker-Verwaltung sind aber Funktionen wie die zentrale, sichere Speicherung der BitLocker Recovery-Schlüssel in einer Datenbank, entsprechende Challenge-Response-Helpdesk-Mechanismen bei vergessenen Passwörtern/PINs, sowie ein Reporting über den Status der Festplattenverschlüsselung. Dies ist besonders wichtig, wenn Notebooks gestohlen werden oder abhandenkommen.

Links zum Thema

Fazit: BitLocker ist inzwischen der Standard bei Festplattenverschlüsselungen. Die Verschlüsselung ist optimal in das Betriebssystem integriert, maximal performant und kann auch mit Windows 10 Funktionen, wie Inplace-Upgrades umgehen. Die von Microsoft empfohlene Konfiguration ist sicher, aber nativ wenig benutzerfreundlich. Mit zusätzlicher BitLocker-Verwaltung sind PIN und Recovery-Schlüssel zentral gespeichert. Damit können Organisationen ihren Anwendern auch unterwegs helfen. Ob BitLocker aktiv war oder nicht, ist bei Verlust oder Diebstahl der Hardware entscheidend dafür verantwortlich, ob ein Datenschutzvorfall meldepflichtig ist oder nicht. Im Dashboard oder über Reports ist der Nachweis mit den entsprechenden Lösungen möglich.

Chefredakteur und Geschäftsführer der ProSoft GmbH

Derweil auf

Autovermieter Sixt ist laut eigenen Aussagen Opfer eines Cyberangriffs geworden. Personenbezogene Daten abgezogen. #sixt #cyberangriff https://t.co/cavk4iTo5h
Ransomware Hackerangriff auf einen IT-Dienstleister in Südhessen hat Auswirkungen auf Energieversorger, die wiederum Teil der sogenannten kritischen Infrastruktur sind. https://t.co/4ROHu62bun #KRITIS #ransomware #cyberangriff #Hessen https://t.co/I8Am01p5TK
Weitere USB-Speicher mit Verschlüsselung geknackt. Verbatim und ein Stick mit Zehnertastatur von Amazon schützen Daten unzureichend. https://t.co/zsPweetMRp https://t.co/yl9S8jbE6B
Die Zeitschrift kes berichtet: Was #KRITIS Betreiber jetzt beachten müssen. Anforderungen durch #IT-SIG und #B3S https://t.co/mGwYFATSOC https://t.co/1YUT3nVbJj
Das Landeskriminalamt Niedersachsen warnt vor betrügerischen E-Mails, die eine schon bekannte Erpressungsmasche nutzen. https://t.co/YzHa5JDbUZ https://t.co/pMfDWIN9BM
Hackerangriff auf e-netz südhessen AG. Laut Betreiber hauptsächlich IT und nicht OT betroffen #energie https://t.co/qlBJCrJsUG https://t.co/Ub5M8m84hD
@heisec: Sharehoster Mega: Sicherheitsforscher entschlüsseln eingentlich geschützte Daten https://t.co/IreNe8AR4z #Angriff #Attacke
@heisec: Strafverfolger warnen vor Erpresser-Mails https://t.co/W2uh04Ism4 #LKA #Erpressermails
@NetSupportNSM: #NetSupportManager is at the top of its game, having led the way with #innovative features to manage #technology #remotely and #securely for over 30 years. Check out this blog post all about using NetSupport Manager with #UnmannedDevices, here https://t.co/DwDMKn7vA2 https://t.co/1bGd9Zps2r
9a96f
AWS: Amazon-Hotpatch für log4j-Lücke ermöglicht Rechteausweitung | heise online #Amazon #AWS https://t.co/Ji85CluYWq
Telefonanrufe von #Europol sind eine neue Betrugsmasche https://t.co/m0TMO4SH8k
Insecure-by-design: Sicherheitsforscher von Vedere Labs decken zum Teil "kritische" Lücken in OT-Systemen wie SCADA-Steuerungssystemen im Industriesektor und bei kritischen Infrastrukturen auf. https://t.co/dWowRnd5EB #scada #ot #sicherheitslücken https://t.co/DKsqEZUdhJ
ICT Channel berichtet: 80 % aller Ransomware Opfer werden erneut angegriffen! Lieber schützen, statt zahlen!!!
https://t.co/T8A9lHgw2o https://t.co/2mhrMNycUC
@heisec: NAS: Qnap warnt vor Angriffswelle mit DeadBolt-Ransomware https://t.co/xmNTj1D3gQ #QnapNAS #DeadBoltRansomware
@CyberAllianz: Schwerer #IT-Sicherheitsvorfall - was tun?
Technik-Tipps für Admins 3/3 gibt es hier. 👇
Weitere Infos: https://t.co/emrhQpCG3g
#DeutschlandDigitalSicherBSI https://t.co/JTe7vJkHIV
Die Cybersecurity Lösungen von #OPSWAT finden Sie auf https://t.co/2uWkLHJ8No https://t.co/4IHifOodbN
Zügig aktualisieren: Angreifer könnten #Citrix ADM übernehmen | Security https://t.co/Ju0pPOH06n
Sicherheitsupdates: Angreifer könnten E-Mail-Schutz von Cisco stören | Security https://t.co/9cHfzzpW6k

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 
Mit der Anmeldung akzeptiere ich die Datenschutzbestimmungen der ProSoft GmbH.

 

Share This