• Artikel

Sicherheit

Fortschritte bei der BitLocker-Laufwerkverschlüsselung

Byron Hynes

 

Auf einen Blick:

  • Verbesserungen bei BitLocker
  • Installieren von BitLocker
  • Verwenden von BitLocker auf einem Server
  • Überlegungen für vollständigen Datenschutz

In der letztjährigen Sicherheitsausgabe des TechNet Magazins habe ich Sie auf eine kurze Führung durch einige Features der Windows BitLocker-Laufwerkverschlüsselung mitgenommen, um Ihnen zu zeigen, wie sie in der ersten Version von Windows Vista implementiert wurde. Nach der Veröffentlichung von Service Pack 1 für

Windows Vista® und des neuen Betriebssystems Windows Server® 2008 ist es an der Zeit, BitLocker® erneut unter die Lupe zu nehmen.

In diesem Artikel werde ich einige Änderungen beleuchten, die in der aktuellen Version zu finden sind, einen Überblick über die Installation und Verwendung von BitLocker auf einem Server geben und einige der in den Medien erwähnten Überlegungen ansprechen. (Übrigens können Sie den Artikel aus dem vergangenen Jahr, „Schlüssel zum Schützen von Daten durch BitLocker-Laufwerkverschlüsselung“ unter technet.microsoft.com/magazine/cc138009.aspx nachlesen.)

Neuerungen

Die Änderungen, die mit dieser Version von BitLocker eingeführt werden, bringen neue Flexibilität ohne eine Änderung grundlegender Vorgänge. Die von mir dargelegten Änderungen sind folgende: Unterstützung für Datenvolumes; Ermöglichung von dreistufige Authentifizierung für Gerätezugriff; Unterstützung für UEFI (Unified Extensible Firmware Interface), die neue Branchenstandardfirmware für 64-Bit-Systeme; besserer Schutz vor kryptografischen Angriffen auf Volumemetadaten sowie gesteigerte Verwendung von TPM (Trusted Platform Module).

Datenvolumes

Als Windows Vista veröffentlicht wurde, konnte über die BitLocker-Systemsteuerung nur Verschlüsselung für das Windows®-Betriebssystemvolume aktiviert werden (meist das Laufwerk C:). Für viele Nutzer war das durchaus ausreichend, da Heimcomputer meist so konfiguriert sind, dass alle Daten und Programme des Benutzers auf demselben Volume gespeichert sind wie das Betriebssystem. In Unternehmen und vor allem auf Servern ist das oft nicht der Fall. Daher betraf eine der häufigsten Anfragen von Kunden die Möglichkeit, Datenvolumes zu verschlüsseln – andere Volumes als das Betriebssystemvolume, die auf dem Computer installiert sind. (Beachten Sie, dass BitLocker nicht für die Verschlüsselung von Wechselmedien entwickelt wurde.)

Wie Sie in Abbildung 1 sehen können, befinden sich auf diesem Computer drei verwendbare Volumes. (Tatsächlich gibt es vier, wenn man die kleine aktive Partition einrechnet, die für den Start verwendet wird.) Das Betriebssystem ist auf Laufwerk C: installiert (das wird durch das Windows-Zeichen auf dem Symbol angezeigt), und es sind auch zwei Datenvolumes vorhanden, E: und P:. Volume P: wurde bereits mit BitLocker verschlüsselt und ist gerade gesperrt. Volume E: ist nicht noch verschlüsselt. In Windows Vista SP1 und Windows Server 2008 können diese Datenvolumes über die BitLocker-Systemsteuerungsoption verschlüsselt und entsperrt werden.

Abbildung 1 Die BitLocker-Schnittstelle

Abbildung 1** Die BitLocker-Schnittstelle **(Zum Vergrößern auf das Bild klicken)

Wenn Ihr Betriebssystemvolume mit BitLocker verschlüsselt ist, besteht das Standardverhalten darin, dass verschlüsselte Datenvolumes immer dann entsperrt werden, wenn das Betriebssystemvolume entsperrt wird. Wenn Sie die Systemsteuerung verwenden, um ein Datenvolume zu entsperren, ist diese Option als Kontrollkästchen verfügbar (siehe Abbildung 2).

Abbildung 2 Speichern von Schlüsseln für automatisches Entsperren

Abbildung 2** Speichern von Schlüsseln für automatisches Entsperren **(Zum Vergrößern auf das Bild klicken)

Um das automatische Entsperren für ein Datenvolume zu aktivieren oder zu deaktivieren, können Sie das Befehlszeilentool manage-bde.wsf verwenden. Manage-bde.wsf ist ein in Windows enthaltenes leistungsfähiges Skript, das die zugrunde liegenden WM-Anbieter (Windows Management Instrumentation) verwendet, die mit BitLocker installiert sind.

Um beispielsweise das Datenvolume P: so zu markieren, dass es manuell entsperrt werden muss, können Sie folgenden Befehl verwenden:

manage-bde.wsf –autounlock –disable P:

Verwenden Sie zum Aktivieren des automatischen Entsperrens von P: folgenden Befehl:

manage-bde.wsf –autounlock –enable P:

Die BitLocker-Systemsteuerung zeigt nicht alle Optionen an, die für BitLocker verfügbar sind. Daher sollten Sie die Option „-?“ verwenden, um die manage-bde.wsf-Befehle zu erkunden. Die manage-bde.wsf-Syntax ist auch im Entwurfshandbuch zur Windows BitLocker-Laufwerkverschlüsselung und im Bereitstellungshandbuch für Windows BitLocker enthalten. Beide Dokumente sind über das Microsoft Download Center unter go.microsoft.com/fwlink/?LinkId=115215 verfügbar.

TPM+USB+PIN

Kunden wollen auch zusätzliche Authentifizierungsstufen mit BitLocker verwenden können. BitLocker verwendet den TPM-Chip in Ihrem Computer, um die Integrität der Plattform zu prüfen, d. h. um sicherzustellen, dass die frühen Startkomponenten, einschließlich des BIOS, nicht manipuliert oder beschädigt wurden. Seit der Veröffentlichung von Windows Vista kann jedoch auch eine PIN bzw. das Vorhandensein eines USB-Flashlaufwerks erforderlich sein, das den Schlüssel enthält, der bei der Aktivierung von BitLocker erstellt wurde.

Mit Windows Server 2008 und Windows Vista SP1 können jetzt alle drei kombiniert werden. Das TPM überprüft weiterhin die Plattformintegrität, der USB-Schlüssel ist etwas Vorhandenes, und die PIN ist etwas, das Sie wissen. Diese Konfiguration bietet zuverlässigen Schutz davor, dass nicht autorisierte Benutzer in der Lage sind, den Computer zu starten und die durch BitLocker geschützten Laufwerke zu entsperren.

Wie bei vielen Sicherheitsmaßnahmen wird jedoch auch hier ein Kompromiss geschlossen. Wenn BitLocker auf diese Weise konfiguriert ist, kann ein Computer nicht automatisch neu starten. Im Fall eines Servers müssen Sie z. B. entscheiden, was Ihnen wichtiger ist: ein automatischer Neustart oder besserer Schutz.

Unterstützung für UEFI

Seit Windows Server 2008 und Windows Vista SP1 gibt es auch Unterstützung für Computer, die mit UEFI (Unified Extensible Firmware Interface) ausgestattet sind. UEFI ist eine Spezifikation, die eine Modernisierung des herkömmlichen BIOS darstellt, das von den meisten Computern beim Start verwendet wird. Weitere Informationen zur UEFI-Spezifikation finden Sie unter www.uefi.org.

Erhöhter Schutz

Wenn BitLocker erkennt, dass das System geändert wurde, oder wenn eine erforderliche PIN oder ein USB-Schlüssel beim Start nicht verfügbar ist, geht BitLocker in den Wiederherstellungsmodus. Bei der Wiederherstellung bleiben BitLocker-aktivierte Volumes gesperrt, und ein Textmodusdialog namens „Wiederherstellungskonsole“ wird angezeigt.

Zum Entsperren des Laufwerks muss der Benutzer ein Wiederherstellungskennwort (eine 48-stellige Zahl) entweder über die Tastatur oder über ein USB-Flashlaufwerk eingeben. (Wenn das Kennwort auf einem USB-Flashlaufwerk gespeichert ist, wird es manchmal als Wiederherstellungsschlüssel bezeichnet, da es sich um eine Binärdatei und nicht um eine Datei im Textformat handelt.)

BitLocker verwendet zum Entschlüsseln des Laufwerks das Wiederherstellungskennwort, um die in den Volumemetadaten gespeicherten Schlüssel zu entschlüsseln, d. h. den Volumehauptschlüssel (Volume Master Key, VMK) und dann den Schlüssel für die vollständige Volumeverschlüsselung (Full Volume Encryption Key, FVEK). Damit die Wiederherstellung erfolgreich ist, wird eine Kopie des Wiederherstellungskennworts benötigt.

Deshalb empfehle ich zusätzlich zur Speicherung durch den Benutzer (beispielsweise auf einem USB-Flashlaufwerk) die zentrale Speicherung des Wiederherstellungskennworts. Das Betriebssystem umfasst eine Funktion für die Speicherung von Wiederherstellungskennwörtern in Active Directory®-Domänendiensten (ADDS).

Geheime Informationen, die in den Volumemetadaten gespeichert werden, wie z. B. der VMK, sind verschlüsselt, und die Integrität der gesamten Volumemetadaten ist kryptografisch geschützt. Wenn BitLocker erkennt, dass die Volumemetadaten manipuliert wurden, wird die Verwendung der Metadaten verweigert, und geschützte Volumes werden nicht entsperrt. Beachten Sie, dass das Wiederherstellungskennwort allein kein Laufwerk in diesem Zustand entsperrt.

Es sollte darauf hingewiesen werden, dass diese Situation nur dann eintritt, wenn ein absichtlicher Angriff auf den Computer stattgefunden hat. Wenn das geschieht, ist die Wahrscheinlichkeit hoch, dass sich Ihr Computer bereits in den Händen eines Angreifers befindet und außerhalb Ihrer Kontrolle ist. Dieser Zustand ergibt sich nicht aus einer einfachen ungeplanten Änderung an der Plattform oder daraus, dass Sie Ihre PIN vergessen haben.

Zum Entsperren des Volume benötigen Sie die folgenden drei Elemente:

  • Das Wiederherstellungskennwort (als einzugebender Text oder auf einem USB-Flashlaufwerk)
  • Das binäre Schlüsselpaket, das verschlüsselte Versionen des FVEK und des VMK enthält
  • Das BitLocker-Reparaturtool

Kurz gesagt, müssen Sie sicherstellen, dass Ihr Unternehmen immer Zugriff auf alle diese Informationen hat.

Es kann manuell oder automatisch eine Sicherungskopie des Wiederherstellungskennworts erstellt werden. Ich empfehle die Verwendung der Gruppenrichtlinieneinstellung, um automatisch eine Sicherungskopie des Wiederherstellungskennworts in den Active Directory-Domänendiensten zu erstellen.

Wenn Sie diese Einstellung wie in Abbildung 3 gezeigt konfigurieren, schließen Sie die Option zur Sicherung des binären Schlüsselpakets mit ein. Das binäre Schlüsselpaket enthält verschlüsselte Versionen des VMK und des FVEK. Somit können Sie wenn nötig das BitLocker-Reparaturtool verwenden.

Abbildung 3 Konfigurieren der Gruppenrichtlinie, sodass sie Schlüsselpakete in den Wiederherstellungsinformationen enthält

Abbildung 3** Konfigurieren der Gruppenrichtlinie, sodass sie Schlüsselpakete in den Wiederherstellungsinformationen enthält **(Zum Vergrößern auf das Bild klicken)

Das BitLocker-Reparaturtool wurde entwickelt, um Daten von beschädigten Laufwerken, die BitLocker-aktiviert sind, wiederherstellen zu können. Beachten Sie, dass es sich um ein Tool für erfahrene Administratoren handelt. Weitere Informationen zum BitLocker-Reparaturtool finden Sie im Microsoft Knowledge Base-Artikel unter support.microsoft.com/kb/928201 oder in meinem Webcast „Microsoft BitLocker im Unternehmen: BitLocker-Tools, die Ihnen das Leben erleichtern“ (mit Livedemo) unter go.microsoft.com/fwlink/?LinkId=114985.

An dieser Stelle sollte darauf hingewiesen werden, dass BitLocker keinen Ersatz für das Erstellen von Sicherungskopien Ihrer Daten darstellt. Wenn Ihr Datenträger beschädigt oder vorsätzlich angegriffen wurde, gibt es keine Garantie, dass das BitLocker-Reparaturtool die Daten teilweise oder gar vollständig wiederherstellen kann.

Breitere TPM-Verwendung

Eigentlich handelt es sich hierbei nicht um eine BitLocker-Änderung, aber dieses Feature ist so toll, dass es erwähnt werden sollte. Vor SP1 war BitLocker der einzige Teil des Windows-Betriebssystems, der das TPM nutzte. Nun wird das TPM aber auch für andere Funktionen verwendet. Wenn Windows erkennt, dass ein TPM verfügbar ist, wird das TPM bei der Erzeugung von Zufallszahlen als Quelle erhöhter Entropie verwendet. Dadurch wird die Qualität aller möglichen Verschlüsselungen verbessert.

Das bedeutet aber auch, dass sich nicht alle TPM-Ereignisse, die in der Ereignisanzeige dargestellt werden, notwendigerweise auf BitLocker beziehen. Als IT-Experte sollten Sie wissen, dass andere Systemkomponenten – und möglicherweise Software anderer Anbieter – das TPM nutzen, sodass Ereignisse protokolliert werden.

BitLocker in Windows Server 2008

Aufgrund der gemeinsamen Codebasis zwischen Windows Vista und Windows Server 2008 sind die BitLocker-Änderungen in SP1 ein wesentlicher Bestandteil von Windows Server 2008. Aber warum ist BitLocker auf einem Server relevant? Letztendlich soll BitLocker einen Computer vor Offlineangriffen schützen. Anders gesagt, bietet BitLocker keinen Schutz für ein laufendes System, und Server sollen natürlich im Allgemeinen ständig laufen.

Es stellt sich heraus, dass es Gelegenheiten gibt, bei denen ein Server oder eine Festplatte eines Servers einem Onlineangriff ausgesetzt sein kann. Selbst wenn das nie geschieht, kann BitLocker, wie wir sehen werden, äußerst hilfreich sein, wenn ein Server oder eine Festplatte außer Betrieb genommen werden sollen. Sehen wir uns zunächst an, wie BitLocker auf einem Server installiert und ausgeführt wird.

Installieren von BitLocker

BitLocker ist in allen Editionen von Windows Server 2008 enthalten, aber es handelt sich um eine optionale Komponente, die entweder über den Server-Manager oder über die Befehlszeile installiert werden muss. BitLocker ist teilweise als NTFS-Filtertreiber implementiert. Für das Installieren dieses Filtertreibers ist ein Neustart des Computers erforderlich. Beachten Sie also, dass für die Aktivierung von BitLocker ein Neustart nötig ist. Außerdem benötigt BitLocker bei Windows Vista eine Split-Load-Konfiguration, wobei die aktive Partition zum Starten des Computers unverschlüsselt bleibt. Mit dem BitLocker-Laufwerkvorbereitungstool können Festplatten so konfiguriert werden, dass sie BitLocker unterstützen, falls der Server nicht bereits vom Hersteller konfiguriert wurde. Wenn Sie mit der Partitionierung von Festplatten vertraut sind, können Sie die Konfiguration sicher auch manuell vornehmen.

Zum Installieren von BitLocker in Windows Server 2008 können Sie die grafische Server-Manager-Schnittstelle verwenden, um BitLocker aus der Featureliste auszuwählen (siehe Abbildung 4), oder Sie verwenden die Befehlszeilenschnittstelle von Server-Manager, um folgenden Befehl einzugeben:

Abbildung 4 Auswählen von BitLocker in Server-Manager

Abbildung 4** Auswählen von BitLocker in Server-Manager **(Zum Vergrößern auf das Bild klicken)

ServerManagerCmd –install BitLocker –restart

Bei der Verwendung von Server-Manager werden BitLocker und die Verwaltungstools für BitLocker installiert. Sie können auch die Verwaltungskomponenten ohne BitLocker installieren. Dann ist kein Neustart erforderlich, da der Filtertreiber nicht enthalten ist. Diese Komponente heißt „RSAT-BitLocker“.

BitLocker funktioniert gut auf Computern, die die Server Core-Installationsoption ausführen, aber Sie können den Server-Manager nicht verwenden, um BitLocker auf Server Core zu installieren, oder die grafische Benutzerschnittstelle nutzen, um BitLocker auf Server Core zu verwalten. Verwenden Sie stattdessen zum Installieren der Komponenten die Befehlszeilentools „pkgmgr“ oder „ocsetup“.

Nach dem Installieren der BitLocker-Binärdateien sowie dem Konfigurieren Ihrer Festplatten in der erforderlichen Split-Load-Konfiguration können Sie BitLocker auf dem Betriebssystemvolume aktivieren. Die BitLocker-Systemsteuerungsoption verfügt in Windows Server 2008 und in Windows Vista SP1 über die gleichen Symbole und Optionen. Um die erweiterten BitLocker-Modi zu aktivieren, müssen die Standardeinstellungen mithilfe des Editors für lokale Richtlinien oder mit einem Gruppenrichtlinienobjekt, das auf den Server angewendet wird, angepasst werden.

Auf Server Core oder wenn Sie die Systemsteuerung nicht verwenden möchten, können Sie BitLocker über manage-bde.wsf aktivieren. Geben Sie zum Aktivieren von BitLocker auf Laufwerk C: Folgendes ein:

manage-bde.wsf –on C: -RecoveryPassword –RecoveryKey F:\

wobei C: das zu verschlüsselnde Volume ist und F:\ ein USB-Schlüssel oder ein anderes Volume, auf dem eine Kopie des Wiederherstellungsschlüssels (im binären Format) gespeichert wird. Sie können auch einen UNC-Pfad verwenden, um den Wiederherstellungsschlüssel auf einem Netzwerklaufwerk zu speichern. Ein Wiederherstellungskennwort (im numerischen Textformat) wird ebenfalls generiert und angezeigt. Eventuell möchten Sie den Parameter „–skiphardwaretest“ hinzufügen, wenn Sie sich sicher sind, dass die Hardwareplattform allen BitLocker-Anforderungen entspricht. Dadurch ersparen Sie sich einen Neustart.

Serverszenarios

Betrachten wir nun einige spezielle Szenarios, bei denen BitLocker für Server nützlich ist. Beachten Sie, dass BitLocker, wie bereits erwähnt, zum Schutz vor Onlineangriffen entwickelt wurde, das heißt für Angriffe, die stattfinden, wenn Windows nicht ausgeführt wird.

Zweigstellen Eine der ersten und offensichtlichsten Anwendungen für BitLocker auf einem Server ist die Verwendung als Teil der Windows Server 2008-Zweigstellenstrategie. Zwischen einem Viertel und einem Drittel der Server sind in Zweigstellen installiert, also in Büros mit möglicherweise geringerer physischer Sicherheit, weniger Zugriff auf IT-Unterstützung und vielleicht weniger Konnektivität zu Datencentern. Zweigstellen sind auch ein attraktives Ziel für Angriffe. In Verbindung mit Features wie z. B. schreibgeschützten Domänencontrollern kann BitLocker dabei helfen, vertrauliche Daten zu schützen, die in einer Zweigstelle gespeichert werden müssen, sich aber nicht so leicht physisch sichern lassen wie vielleicht in einem Datencenter.

Dies ist eine gute Gelegenheit, über das richtige Maß an Schutz nachzudenken. Was ist wichtiger, die Verhinderung nicht autorisierter Datenzugriffe oder dass der Server sofort und ohne Intervention neu gestartet wird? Ich denke, dass es in vielen Zweigstellen akzeptabel ist, für das Neustarten eines Servers die Eingabe einer PIN obligatorisch zu machen, aber das ist eine Entscheidung, die jedes Unternehmen selbst treffen muss.

Lieferung von Datenträgern Es ist oft notwendig, Daten auf einer Festplatte zu einem entfernten Ort zu liefern. Das kann die Lieferung eines einzelnen Datenträgers oder das Vorkonfigurieren und Versenden eines gesamten Servers umfassen. Während der Lieferung sind die Daten auf den Datenträgern außerhalb Ihrer Kontrolle und könnten kopiert werden, verloren gehen oder gestohlen werden.

Um dieses Risiko zu verringern, können Sie vor der Lieferung BitLocker auf den Volumes im Computer aktivieren und anschließend alle Schlüsselschutzvorrichtungen außer einem Wiederherstellungsschlüssel oder -kennwort entfernen. Dieser Schlüssel bzw. dieses Kennwort kann dann getrennt vom Server oder sogar per Telefon oder verschlüsselter E-Mail an die Mitarbeiter übermittelt werden. Nach dem Empfang des Computers oder Datenträgers wird das Wiederherstellungskennwort zum Entsperren des Laufwerks verwendet. Das Laufwerk kann verschlüsselt bleiben (fügen Sie alle weiteren Schlüsselschutzvorrichtungen wieder hinzu), oder der Datenträger kann nach der Bereitstellung vollständig entschlüsselt werden.

Dies ist eine besonders wirksame Möglichkeit, Domänencontroller oder Servern für Zweigstellen vorzukonfigurieren.

Diebstahl eines Servers Wie im vorangegangenen Abschnitt bereits angemerkt, besteht die reale Gefahr, dass ein Server (und v. a. ein Domänencontroller) gestohlen wird. Diebe können sich eines Laptops einfach aus einer Gelegenheit heraus bemächtigen, aber ein Server kann ein sorgfältig ausgewähltes Ziel darstellen. Wenn BitLocker so konfiguriert ist, dass es nur TPM-Integritätsprüfung erfordert, könnte der gestohlene Server einfach eingeschaltet und gestartet werden. Wenn die Laufwerke in einem Server aber mit BitLocker geschützt sind und BitLocker in einem erweiterten Modus konfiguriert ist, der einen USB-Schlüssel, eine PIN oder beides erfordert, ist es für Diebe sehr schwierig, innerhalb angemessener Zeit nützliche Informationen zu erhalten.

Diebstahl eines Datenträgers Wird aber nur ein Datenträger gestohlen, bietet das TPM noch immer guten Schutz. Nur das TPM des ursprünglichen Servers kann verwendet werden, um das mit BitLocker geschützte Laufwerk zu entsperren. Der Datenträger kann also nicht einfach in einen anderen Computer eingelegt und gelesen werden.

Verringertes Gefahrenpotenzial Durch die Verwendung von Serverhardware, die einen TPM-Chip enthält, und mithilfe der BitLocker-Plattformintegritätsprüfung erhöhen Sie den Schutz vor einigen Formen von Malware. BitLocker erkennt insbesondere Änderungen, die vorgenommen werden, während Windows offline ist, oder Änderungen an den frühen Startkomponenten, vor allem wenn Malware, wie z. B. ein Rootkit, zum Installieren einen Neustart erfordert. Dies ist keine umfassende Lösung, aber kombiniert mit Features wie Windows-Codeintegrität und mit Produkten wie z. B. Microsoft® ForefrontTM Client Security stellt es eine weitere wirksame Tiefenverteidigungsschicht dar.

Sichere Außerbetriebsetzung Eines der nützlichsten Szenarios für BitLocker kommt am Ende des Lebenszyklus eines Servers oder Datenträgers zum Tragen. Wie oft haben Sie von Servern oder Datenträgern gehört, die entsorgt wurden, ohne ordnungsgemäß außer Betrieb genommen worden zu sein? Haben Sie gewusst, dass gebrauchte Festplatten manchmal auf Auktionswebsites teurer verkauft werden als neue, da skrupellose Käufer hoffen, durch die Datenträger nützliche Informationen zu erlangen?

Glücklicherweise bietet BitLocker einen anderen Ansatz als das zeitaufwändige Entfernen nützlicher Daten vom Datenträger. Im Grunde werden niemals Informationen in einem nützlichen Format auf den Datenträger geschrieben. Da die verschlüsselten Daten unbrauchbar sind, besteht eine schnelle, einfache Maßnahme im Entfernen aller Schlüsselinformationen. Danach ist es egal, was mit der Datenträgerhardware geschieht – sie kann verkauft, wiederverwertet oder einem neuen Zweck zugeführt werden, ohne dass Sie sich darüber Gedanken machen müssen, dass die Daten in die falschen Hände fallen könnten.

In Windows Vista und Windows Server 2008 wurde der Formatierungsbefehl so aktualisiert, dass die BitLocker-Schlüssel einschließlich mehrerer Überschreibungen entfernt werden. Jetzt haben Sie eine einfache und wirksame Möglichkeit, um ein Laufwerk außer Betrieb zu nehmen.

Aktuelle Neuigkeiten

Während ich dies schreibe, zugegebenermaßen mehrere Wochen, bevor Sie den Artikel lesen können, wurden in einigen neuen Artikeln, Beiträgen und Berichten interessante Hardwareeigenschaften und ihre Auswirkungen auf BitLocker, weitere Windows-Sicherheitsfeatures und andere Verschlüsselungsprodukte von verschiedenen Anbietern diskutiert. Einige dieser Ergebnisse möchte ich hier kurz ansprechen.

Ein solcher Artikel wurde von Forschern an der Princeton University veröffentlicht und führt (sehr wirksam!) eine Eigenschaft moderner Computerspeicher vor, die gelegentlich als „DRAM-Remanenz“ bezeichnet wird (verfügbar unter citp.princeton.edu/pub/coldboot.pdf). Einfach ausgedrückt, kann einige Zeit, nachdem die Stromzufuhr zum Speicher unterbrochen wurde, immer noch auf den Inhalt eines Computerspeichers zugegriffen werden. BitLocker verwahrt selbstverständlich Schlüssel zum Entschlüsseln von Daten in einem Speicher, während Windows ausgeführt wird, und die Bedenken gehen dahin, dass nicht autorisierte Benutzer auf die Schlüssel zugreifen könnten.

In einer anderen Vorführung (security-assessment.com/files/presentations/ab_firewire_rux2k6-final.pdf) hat Adam Boileau gezeigt, wie IEEE 1394 (oft als FireWire bezeichnet) direkten Speicherzugriff ermöglicht, der verwendet werden kann, um geheime Informationen von Windows zu erlangen, wie z. B. Kennwörter oder Entschlüsselungsschlüssel. Interessant daran ist, dass direkter Speicherzugriff fast der Zweck von 1394 ist. Es handelt sich also nicht um eine Schwachstelle, sondern ist genau das, wofür Firewire entwickelt wurde.

Beide Angriffe erfordern aber physischen Zugriff auf einen laufenden (oder zumindest vor kurzem noch ausgeführten) Computer. BitLocker wurde nicht zum Schutz vor Onlineangriffen entwickelt und ersetzt nicht einen gewissen Grad an physischer Sicherheit. Richtige Tiefenverteidigung erfordert die Verwendung einer Reihe von Tools und Features, den Aufbau einer Umgebung physischer Sicherheit, die Erstellung grundlegender Unternehmensrichtlinien und die ständige Schulung der Benutzer.

Auch handelt es sich dabei nicht um neue Erkenntnisse. Dies ist seit einiger Zeit bekannt und wird auch im Microsoft® Data Encryption Toolkit (DET) besprochen. Die in DET bereitgestellte Risikoanalyse soll Kunden helfen, Sicherheit gegen Benutzerfreundlichkeit sowie die Kosten der Implementierung und der Verwaltung abzuwägen. Das ist sehr wichtig. Wir sind der Meinung, dass geschulte Kunden am besten in der Lage sind, Entscheidungen über die Kompromisse zwischen Sicherheit, Benutzerfreundlichkeit und Kosten zu treffen.

Neben dem DET haben einige meiner Kollegen hervorragende Kommentare und Leitfäden verfasst. Russ Humphries hat Sicherheitskompromisse im Kontext von DRAM-Remanenz in seinem Blogeintrag unter go.microsoft.com/fwlink/?LinkId=115217 erörtert. Darüber hinaus hat Douglas MacIver im Teamblog zur Systemintegrität unter go.microsoft.com/fwlink/?LinkId=115218 über zusätzliche spezielle Konfigurationsschritte und Gegenmaßnahmen geschrieben, die heutzutage ergriffen werden können. Ich empfehle Ihnen, sich die Zeit für die Lektüre dieser beiden sehr hilfreichen Blogeinträge zu nehmen. Sie sollten auch das DET lesen.

Wichtig bei diesen Empfehlungen ist, einen erweiterten Modus zu verwenden (also einen, der einen USB-Schlüssel oder eine PIN erfordert) und den Computer nicht unbeaufsichtigt im Energiesparmodus zu lassen (sondern stattdessen den Ruhezustand zu verwenden).

Schlussbemerkung

BitLocker bleibt eines der nützlichsten Features von Windows Vista. Mit der Veröffentlichung von SP1 wurde es in Reaktion auf Kundenfeedback verbessert und bietet nun mehr Szenarios und erfüllt breitere Anforderungen für den Datenschutz. Die Erweiterung dieses Schutzes ruhender Daten auf Windows Server 2008 bietet Ihnen weitere Möglichkeiten für den Datenschutz und die Einhaltung von Bestimmungen, unabhängig davon, ob diese Daten auf Servern oder Clientarbeitsstationen, im Datencenter, der Zweigstelle oder bei einem mobilen Benutzer gespeichert sind.

Byron Hynes ist Enterprise Technology Strategist bei der Microsoft Enterprise and Partner Group (EPG) und konzentriert sich auf Sicherheitsfeatures und Produkte. Vor seiner Arbeit für die EPG arbeitete er in der Windows Server-Abteilung und seit 2005 eng mit BitLocker (Systemintegrität). Er freut sich über ihre Kommentare und Fragen. Er ist auf der Tech•Ed 2008 anzutreffen oder per E-Mail unter bhynes@microsoft.com zu erreichen.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.