BitLocker Single Sign-on

BitLocker Single Sign-on oder Pre-Boot Authentifizierung

Microsoft empfiehlt deshalb nicht die Standardkonfiguration einzurichten, sondern BitLocker ausschließlich in Kombination mit einem TPM/BIOS-Passwort oder PIN und Single Sign-on bzw. Pre-Boot Authentifizierung (PBA) zu nutzen. Dadurch wird verhindert, dass der BitLocker-Schlüssel vor Eingabe eines Passworts das Trusted Platform Module erreichen und dort mithilfe einer Attacke ausgespäht werden kann. Die BitLocker Single Sign-on Funktionsweise wollen wir am Beispiel der BitLocker-Verwaltung Secure Disk for BitLocker des deutschen Herstellers Cryptware IT-Security GmbH erläutern. Bei dieser Lösung erfolgt die Pre-Boot Authentifizierung über Name/Passwort, (Virtual-) Smartcard, Zertifikat oder biometrisch. Neu hinzugekommen sind die sichere Authentifizierung über YubiKey OTP Hardware-Token und Authentifizierungs-Apps wie Google Authenticator, FreeOTP, LinOTP oder Sophos Authenticator.

Trotz BitLocker Single Sign-on konnte hier eine Zwei-Faktor Authentifizierung realisiert werden. Denn Anwender müssen sowohl das Notebook als auch Smartphone plus OTP-App, PIN oder biometrische Eigenschaften zur Anwenderidentifizierung am Smartphone oder den YubiKey Token parat haben. Eine einmalige Authentifizierung reicht aus, um sich sowohl bei BitLocker als auch bei Windows sicher anzumelden. Diese Verfahren sind durch den TPM-Chip am Notebook vor Brute-Force Attacken geschützt. Die OTP-Token wiederum sind durch das Trusted Platform Module kryptografisch mit der Hardware (Notebook) verbunden. Erwähnenswert ist noch, dass die Anmeldung über App vollständig offline funktioniert. In der eigenen Domäne sorgt der Friendly Network Mode für die Anmeldung am Netzwerk und nicht nur an Windows.

Volle Flexibilität mithilfe der YubiKey Produktfamilie

BitLocker Pre-Boot Authentifizierung mit YubiKey

Der YubiKey USB-Token ist eine echte Alternative und ein weiteres sicheres Single Sign-on Authentifizierungsverfahren. Anwender müssen zusätzlich zu den Anmeldedaten nur noch ihren YubiKey besitzen, um Zugang zum Betriebssystem zu erhalten. Nach der Anmeldung an der Secure Disk Pre-Boot Authentifizierung, wird der User auch automatisch am Microsoft Betriebssystem angemeldet (siehe Video). Die Lösung Secure Disk for BitLocker ist von Yubico in das Programm «Works with YubiKey» aufgenommen worden. Auch diese Methode entspricht den strengen Vorgaben einer Zwei-Faktor Authentifizierung.

Alle oben beschriebenen neuen Authentifizierungsmethoden sind Multi-User-fähig,

Durch BitLocker-Verwaltung die Kontrolle behalten

Die Hauptaufgaben einer BitLocker-Verwaltung sind aber Funktionen wie die zentrale, sichere Speicherung der BitLocker Recovery-Schlüssel in einer Datenbank, entsprechende Challenge-Response-Helpdesk-Mechanismen bei vergessenen Passwörtern/PINs, sowie ein Reporting über den Status der Festplattenverschlüsselung. Dies ist besonders wichtig, wenn Notebooks gestohlen werden oder abhandenkommen.

Links zum Thema

• BitLocker TPM 2.0 Sniffing erklärt
• BitCracker First Open Source BitLocker Password Cracking Tool
• Mehr über BitLocker-Verwaltung erfahren