BitLocker-Gegenmaßnahmen
Windows verwendet Technologien wie TPM, sicherer Start, vertrauenswürdiger Start und Antischadsoftware-Frühstart (ELAM) zum Schutz gegen Angriffe auf den BitLocker-Verschlüsselungsschlüssel.
BitLocker ist Teil eines strategischen Konzepts für den Schutz mobiler Daten durch Verschlüsselungstechnologien. Daten auf einem verloren gegangenen oder gestohlenen Computer sind anfällig für nicht autorisierte Zugriffe durch das Ausführen eines Softwareangriffstools oder die Übertragung der Festplatte des Computers auf einen anderen Computer. Heute bekämpft BitLocker nicht autorisierte Datenzugriffe auf verloren gegangenen oder gestohlenen Computern, bevor das Betriebssystem gestartet wird. Dazu dienen:
Verschlüsseln der Festplatten auf Ihrem Computer. Sie können BitLocker etwa für Ihr Betriebssystemlaufwerk, ein festes Datenlaufwerk oder ein Wechseldatenlaufwerk (etwa einen USB-Speicherstick) aktivieren. Bei der Aktivierung von BitLocker für Ihr Betriebssystemlaufwerk werden alle Systemdateien darauf verschlüsselt, einschließlich der Auslagerungs- und Ruhezustandsdateien.
Sicherstellen der Integrität von Startkomponenten und Startkonfigurationsdaten. Auf Geräten mit einem TPM der Version 1.2 oder höher verwendet BitLocker die erweiterten Sicherheitsfunktionen des TPM, um sicherzustellen, dass Ihre Daten nur dann zugänglich sind, wenn die Startkomponenten des Computers unverändert erscheinen und sich die verschlüsselte Festplatte auf dem ursprünglichen Computer befindet.
Die folgenden Abschnitte bieten detailliertere Informationen zu den unterschiedlichen Technologien, die Windows zum Schutz vor Angriffen auf den BitLocker-Verschlüsselungsschlüssel in vier verschiedenen Bootphasen verwendet: vor dem Start, in der Pre-Boot-Phase, während des Starts und schließlich nach dem Start.
Schutz vor dem Start
Vor dem Start von Windows müssen Sie sich auf Sicherheitsfeatures verlassen, die als Teil der Gerätehardware implementiert sind, einschließlich TPM und Sicherer Start. Glücklicherweise verfügen viele moderne Computer über TPM.
Trusted Platform Module
Software allein reicht nicht aus, um ein System zu schützen. Nachdem ein Angreifer Software manipuliert hat, kann die Software die Manipulation möglicherweise nicht mehr erkennen. Daher führt eine einzige erfolgreiche Softwaremanipulation oft zu einem nicht vertrauenswürdigen System, das möglicherweise nie als solches erkannt wird. Die Manipulation von Hardware ist jedoch schwieriger.
Ein TPM ist ein Mikrochip, der grundlegende sicherheitsbezogene Funktionen bereitstellt, hauptsächlich in Bezug auf Verschlüsselungsschlüssel. Das TPM ist normalerweise auf der Hauptplatine eines Computers installiert und kommuniziert über einen Hardwarebus mit dem übrigen System. Physisch sind TPMs so gestaltet, dass sie manipulationssicher sind. Wenn ein Angreifer versucht, physische Daten direkt vom Chip abzurufen, wird der Chip dabei möglicherweise zerstört.
Durch die Verbindung des BitLocker-Verschlüsselungsschlüssels mit dem TPM und die korrekte Konfiguration des Geräts ist es praktisch unmöglich, dass ein Angreifer Zugriff auf die von BitLocker verschlüsselten Daten erhält, ohne dass er dazu die Anmeldedaten eines berechtigten Benutzers verwendet. Daher bieten Computer mit einem TPM ein hohes Maß an Schutz gegen Angriffe, die versuchen, den BitLocker-Verschlüsselungsschlüssel direkt abzurufen.
Weitere Informationen zum TPM finden Sie unter Trusted Platform Module.
UEFI und Sicherer Start
Kein Betriebssystem kann ein Gerät schützen, wenn das Betriebssystem offline ist. Aus diesem Grund arbeitet Microsoft eng mit Hardwareanbietern zusammen, um den Schutz gegen Boot- und Rootkit, die die Verschlüsselungsschlüssel einer Verschlüsselungslösung kompromittieren könnten, auf Firmwareebene zwingend zu machen.
UEFI ist eine programmierbare Startumgebung, die als Ersatz für BIOS eingeführt wurde, das in den letzten 30 Jahren praktisch nicht verändert wurde. Wie bei BIOS starten PCs UEFI vor aller anderen Software. UEFI initialisiert Geräte und startet dann den Bootloader des Betriebssystems. Im Rahmen seiner Einführung in die Prä-Betriebssystemumgebung erfüllt UEFI zahlreiche Zwecke. Einer seiner zentralen Vorteile besteht jedoch im Schutz neuerer Geräte gegen ausgeklügelte Schadsoftwarearten, die aufgrund ihrer Verwendung der Funktion „Sicherer Start“ als „Bootkit“ bezeichnet werden.
Neuere Implementierungen von UEFI (beginnend mit Version 2.3.1) können die digitalen Signaturen der Firmware des Geräts vor deren Ausführung überprüfen. Da nur der Hersteller der PC-Hardware Zugriff auf das erforderliche digitale Zertifikat zum Erstellen einer gültigen Firmwaresignatur hat, bietet UEFI Schutz vor Firmware-basierten Bootkits. UEFI ist also das erste Glied in der Vertrauenskette.
Der Sichere Start ist die Grundlage der Plattform- und Firmwaresicherheit, und wurde zur Verbesserung der Sicherheit in der Pre-Boot-Umgebung unabhängig von der Gerätearchitektur erstellt. Mit der Verwendung von Signaturen zur Prüfung der Integrität von Firmwareimages, bevor diese ausgeführt werden können, hilft der Sichere Start dabei, die Risiken von Bootloaderangriffen zu reduzieren. Der Sichere Start dient zum Blockieren des Starts von nicht vertrauenswürdiger Firmware und von Bootloaders (mit oder ohne Signatur) auf dem System.
Mit dem früheren BIOS-Startprozess ist die Prä-Betriebssystemumgebung anfällig gegen Angriffe, die den Bootloader-Handoff an möglicherweise schädliche Ladeprogramme umleiten. Diese Ladeprogramme konnten für Betriebssystem und Antischadsoftware-Software unerkannt bleiben. Das Diagramm in Abbildung 1 stellt den BIOS- und den UEFI-Startprozess einander gegenüber.
.jpg "Die Startprozesse mit BIOS und UEFI")
Abbildung 1. Die Startprozesse mit BIOS und UEFI
Mit aktiviertem sicheren Start kann UEFI, zusammen mit dem TPM, den Bootloader überprüfen und feststellen, ob dieser vertrauenswürdig ist. Um festzustellen, ob der Bootloader vertrauenswürdig ist, überprüft UEFI die digitale Signatur des Startladeprogramms. UEFI verwendet die digitale Signatur, um zu prüfen, ob der Bootloader mit einem vertrauenswürdigen Zertifikat signiert wurde.
Wenn der Bootloader diese beiden Tests bestanden hat, weiß UEFI, dass dieser kein Bootkit ist, und startet ihn. An dieser Stelle übernimmt der vertrauenswürdige Start (Trusted Boot), und der Windows-Bootloader überprüft mit denselben kryptografischen Technologien, mit denen UEFI den Bootloader geprüft hat, dass die Windows-Systemdateien nicht geändert wurden.
Alle Windows 8-zertifizierten Geräte müssen bestimmte Anforderungen im Zusammenhang mit dem auf UEFI basierenden sicheren Start erfüllen:
Der sichere Start muss standardmäßig aktiviert sein.
Sie müssen dem Zertifikat von Microsoft (und damit alle von Microsoft signierten Bootloadern) vertrauen.
Sie müssen dem Benutzer erlauben, den sicheren Start so zu konfigurieren, dass anderen signierten Bootloadern vertraut wird.
Mit Ausnahme von Windows RT-Geräten müssen sie dem Benutzer erlauben, den sicheren Start vollständig zu deaktivieren.
Diese Anforderungen bieten Schutz gegen Rootkits und erlauben Ihnen gleichzeitig, jedes beliebige Betriebssystem auszuführen. Sie haben drei Optionen zum Ausführen nicht von Microsoft stammender Betriebssysteme:
Verwenden Sie ein Betriebssystem mit einem zertifizierten Bootloader. Microsoft kann nicht von Microsoft stammende Bootloader analysieren und signieren, sodass diesen vertraut werden kann. Die Linux-Community verwendet diesen Prozess, um Linux zu aktivieren und den sicheren Start auf Windows-zertifizierten Geräten zu verwenden.
Konfigurieren Sie UEFI, um Ihrem benutzerdefinierten Bootloader zu vertrauen. Ihr Gerät kann einem signierten, nicht zertifizierten Bootloader vertrauen, den Sie in der UEFI-Datenbank angeben, damit Sie jedes (auch selbst erstellte) Betriebssystem ausführen können.
Deaktivieren Sie den sicheren Start. Der sichere Start kann deaktiviert werden. Dies hilft Ihnen aber nicht beim Schutz gegen Bootkits.
Um zu verhindern, dass Schadsoftware diese Optionen missbraucht, muss der Benutzer die UEFI-Firmware manuell so konfigurieren, dass sie einem nicht zertifizierten Bootloader vertraut, oder er muss den sicheren Start deaktivieren. Software kann die Einstellungen für den sicheren Start nicht ändern.
Jedes Gerät, das, unabhängig von seiner Architektur oder dem Betriebssystem, keinen sicheren Start oder eine ähnliche Bootloaderprüfungstechnologie erfordert, ist gegen Bootkits anfällig, die zu Angriffen auf die Verschlüsselungslösung verwendet werden können.
UEFI ist aufgrund seiner Konstruktion sicher, aber es ist sehr wichtig, die Konfiguration für den sicheren Start per Kennwort zu schützen. Zwar sind weithin bekannte Angriffe gegen UEFI vorgekommen, diese haben aber fehlerhafte UEFI-Implementierungen ausgenutzt. Diese Angriffe sind wirkungslos, wenn UEFI ordnungsgemäß implementiert wird.
Weitere Informationen zum sicheren Start finden Sie unter Sichern des Startprozesses von Windows 8.1.
Schutz in der Pre-Boot-Phase: Pre-Boot-Authentifizierung
Die Authentifizierung vor dem Start mit BitLocker ist ein Prozess, für den abhängig von der Konfiguration der Hardware und des Betriebssystems entweder ein TPM (Trusted Platform Module) oder eine Benutzereingabe (beispielsweise eine PIN) bzw. beides für die Authentifizierung verwendet werden muss, bevor der Zugriff auf die Inhalte des Systemlaufwerks ermöglicht wird. Im Fall von BitLocker verschlüsselt BitLocker das gesamte Laufwerk, einschließlich aller Systemdateien. BitLocker führt den Zugriff auf den Verschlüsselungsschlüssel und seine Speicherung erst durch, nachdem die Authentifizierung vor dem Start mit mindestens einer der folgenden Optionen abgeschlossen wurde: Trusted Platform Module (TPM), Bereitstellung einer bestimmten PIN durch den Benutzer, USB-Systemstartschlüssel.
Wenn Windows nicht auf den Verschlüsselungsschlüssel zugreifen kann, kann das Gerät die Dateien auf dem Systemlaufwerk nicht lesen oder bearbeiten. Selbst wenn ein Angreifer die Festplatte aus dem PC entnimmt oder den ganzen PC stiehlt, kann er die Dateien ohne den Verschlüsselungsschlüssel nicht lesen oder bearbeiten. Die einzige Möglichkeit zum Umgehen der Pre-Boot-Authentifizierung besteht in der Eingabe des äußerst komplexen 48-stelligen Wiederherstellungsschlüssels.
Die BitLocker-Funktion Pre-Boot-Authentifizierung wurde nicht speziell entwickelt, um das Betriebssystem am Start zu hindern: Dies ist lediglich ein Nebeneffekt der Art und Weise, in der BitLocker die Datenvertraulichkeit und die Systemintegrität schützt. Die Pre-Boot-Authentifizierung wurde entwickelt, um zu verhindern, dass der Verschlüsselungsschlüssel auf Geräten, die für bestimmte Arten von Cold Boot-Angriffen anfällig sind, in den Systemspeicher geladen wird. Viele moderne Geräte hindern einen Angreifer daran, den Speicher problemlos zu entfernen, und Microsoft erwartet, das sich solche Geräte in der Zukunft immer stärker verbreiten werden.
Auf Computern mit einem kompatiblen TPM können von BitLocker geschützte Betriebssystemlaufwerke auf vier verschiedene Weisen entsperrt werden:
Nur TPM. Die Verwendung der Nur-TPM-Überprüfung erfordert keine Interaktion mit dem Benutzer zur Entschlüsselung und zum Gewähren von Zugriff zum Laufwerk. Wenn die TPM-Überprüfung erfolgreich ist, entspricht die Benutzeranmeldung dem standardmäßigen Anmeldevorgang. Wenn das TPM fehlt oder geändert wurde, oder wenn das TPM Änderungen an wichtigen Startdateien des Betriebssystems erkennt, wechselt BitLocker in den Wiederherstellungsmodus, und der Benutzer muss ein Wiederherstellungskennwort eingeben, um wieder Zugriff auf die Daten zu erhalten.
TPM mit Startschlüssel. Zusätzlich zu dem Schutz, den das TPM bietet, wird ein Teil des Verschlüsselungsschlüssels auf einem USB-Speicherstick (dem Startschlüssel) gespeichert. Auf die Daten auf dem verschlüsselten Volume kann ohne den Startschlüssel nicht zugegriffen werden.
TPM mit PIN. Zusätzlich zu dem Schutz, den das TPM bietet, verlangt BitLocker, dass der Benutzer eine PIN eingibt. Auf die Daten auf dem verschlüsselten Volume kann ohne Eingabe der PIN nicht zugegriffen werden.
TPM mit Startschlüssel und PIN. Zusätzlich zu dem Kernkomponentenschutz, den das TPM bietet, wird ein Teil des Verschlüsselungsschlüssels auf einem USB-Speicherstick gespeichert, und es ist eine PIN erforderlich, um den Benutzer gegenüber dem TPM zu authentifizieren. Diese Konfiguration bietet eine mehrstufige Authentifizierung, damit ein verlorener oder gestohlener USB-Schlüssel nicht zum Zugriff auf das Laufwerk verwendet werden kann, da darüber hinaus die korrekte PIN erforderlich ist.
Microsoft empfiehlt seit vielen Jahren die Pre-Boot-Authentifizierung zum Schutz gegen DMA- und Speicherremanenzangriffe. Heute empfiehlt Microsoft die Pre-Boot-Authentifizierung nur auf PCs, auf denen die in diesem Dokument beschriebenen Schutzvorrichtungen nicht installiert werden können. Diese können in das Gerät integriert sein, oder durch Konfigurationen bereitgestellt werden, die die IT-Abteilung für das Gerät und Windows selbst implementiert.
Obwohl sie effektiv ist, ist die Pre-Boot-Authentifizierung für Benutzer unpraktisch. Darüber hinaus gilt: Wenn ein Benutzer seine PIN vergisst oder den Startschlüssel verliert, kann er erst dann wieder auf seine Daten zugreifen, wenn das Supportteam einen Wiederherstellungsschlüssel zugänglich macht. Heute bieten die meisten neuen PCs mit Windows 10, Windows 8.1 oder Windows 8 ausreichenden Schutz vor DMA-Angriffen ohne Pre-Boot-Authentifizierung. So enthalten die meisten modernen PCs USB-Port-Optionen (die nicht gegen DMA-Angriffe anfällig sind), jedoch keine FireWire- oder Thunderbolt-Ports (die gegen DMA-Angriffe anfällig sind).
Mit BitLocker verschlüsselte Geräte mit aktivierten DMA-Ports, einschließlich FireWire- oder Thunderbolt-Ports, sollten mit Pre-Boot-Authentifizierung konfiguriert werden, wenn sie Windows 10, Windows 7, Windows 8 oder Windows 8.1 ausführen, und die Deaktivierung der Ports über eine Richtlinien- oder Firmwarekonfiguration nicht möglich ist. Windows 8.1 und neuere InstantGo-Geräte benötigen keine Pre-Boot-Authentifizierung zur Verteidigung gegen DMA-basierte Port-Angriffe, da die Ports auf zertifizierten Geräten nicht vorhanden sind. Ein Nicht-InstantGo-Gerät mit einem Betriebssystem ab Windows 8.1 erfordert die Pre-Boot-Authentifizierung, wenn DMA-Ports auf dem Gerät aktiviert und die zusätzlichen in diesem Dokument beschriebenen Maßnahmen nicht implementiert sind. Viele Kunden sind der Auffassung, dass die DMA-Ports an ihren Geräten niemals verwendet werden, und entscheiden sich, die Angriffsgefahr auszuschließen, indem sie die DMA-Ports selbst beseitigen, entweder auf Hardwareebene oder über eine Gruppenrichtlinie.
Bei vielen neuen Mobilgeräten ist der Arbeitsspeicher des Systems auf die Hauptplatine gelötet, was gegen Cold Boot-Angriffe schützt, bei denen der Systemarbeitsspeicher eingefroren, entfernt und dann in ein anderes Gerät eingesetzt wird. Solche Geräte, und die meisten PCs, können jedoch weiterhin anfällig sein, wenn sie mit einem schädlichen Betriebssystem gestartet werden.
Sie können das Risiko des Startens eines schädlichen Betriebssystems minimieren:
Windows 10 (ohne sicheren Start), Windows 8.1 (ohne sicheren Start), Windows 8 (ohne UEFI-basierten sicheren Start) oder Windows 7 (mit oder ohne TPM). Deaktivieren Sie den Start von externen Medien, und verlangen Sie ein Firmwarekennwort, um Angreifer daran zu hindern, diese Option zu ändern.
Windows 10, Windows 8.1 oder Windows 8 (zertifiziert oder mit sicherem Start). Kennwortschutz für die Firmware, keine Deaktivierung des sicheren Starts.
Schutz während des Starts
Während des Startvorgangs verwendet Windows 10 den vertrauenswürdigen Start und Antischadsoftware-Frühstart (ELAM) zum Überprüfen der Integrität jeder Komponente. In den folgenden Abschnitten werden diese Technologien ausführlicher beschrieben.
Vertrauenswürdiger Start
Der vertrauenswürdige Start übernimmt dort, wo der UEFI-basierte sichere Start aufhört – während der Initialisierungsphase des Betriebssystems. Der Bootloader prüft die digitale Signatur des Windows-Kernels, bevor dieser geladen wird. Der Windows-Kernel überprüft wiederum alle anderen Komponenten des Windows-Startvorgangs, einschließlich der Starttreiber, der Startdateien und des ELAM-Treibers. Wenn eine Datei geändert oder nicht ordnungsgemäß mit einer Microsoft-Signatur signiert wurde, erkennt Windows das Problem und weigert sich, die schadhafte Komponente zu laden. Häufig kann Windows die beschädigte Komponente automatisch reparieren, die Integrität von Windows wiederherstellen und den normalen Start des PCs ermöglichen.
Windows 10 verwendet den vertrauenswürdigen Start auf jeder Hardwareplattform: Weder UEFI noch ein TPM sind erforderlich. Mit dem sicheren Start ist es jedoch möglich, dass Schadsoftware den Startvorgang vor dem Start von Windows beschädigt. An diesem Punkt können Schutzmaßnahmen des vertrauenswürdigen Starts umgangen oder möglicherweise auch deaktiviert werden.
Antischadsoftware-Frühstart
Da der UEFI-basierte sichere Start den Bootloader und der vertrauenswürdige Start den Windows-Kernel oder andere Windows-Startkomponenten geschützt hat, ist die nächste Angriffsgelegenheit für die Schadsoftware die Infizierung eines nicht von Microsoft stammenden Starttreibers. Herkömmliche Antischadsoftware-Apps starten erst, nachdem die Starttreiber geladen wurden. Dadurch kann ein als Treiber maskiertes Rootkit zu wirken beginnen.
Der Zweck von ELAM besteht darin, einen Antischadsoftwaretreiber zu laden, bevor als Startreiber markierte Treiber ausgeführt werden können. Diese Vorgehensweise ermöglicht einem Antischadsoftwaretreiber, sich als vertrauenswürdiger startkritischer Treiber zu registrieren. Dieser wird während des vertrauenswürdigen Startvorgangs gestartet, und damit stellt Windows sicher, dass er vor aller anderer nicht von Microsoft stammender Software geladen wird.
Mit dieser Lösung werden Starttreiber auf der Grundlage der Klassifizierung initialisiert, die der ELAM-Treiber gemäß einer Initialisierungsrichtlinie zurückgibt. IT-Experten haben die Möglichkeit, diese Richtlinie mithilfe von Gruppenrichtlinien zu ändern.
Treiber werden von ELAM wie folgt klassifiziert:
Gut. Der Treiber wurde signiert und nicht manipuliert.
Schlecht. Der Treiber wurde als Schadsoftware erkannt. Es wird empfohlen, dass Sie bekannte ungültigen Treiber nicht initialisieren lassen.
Schlecht, jedoch für den Start erforderlich. Der Treiber wurde als Schadsoftware erkannt, der Computer kann jedoch nicht erfolgreich starten, ohne diesen Treiber zu laden.
Unbekannt. Dieser Treiber wurde nicht von Ihrer Schadsoftwareerkennungsanwendung erkannt oder vom ELAM-Starttreiber klassifiziert.
Zwar schützen die oben aufgeführten Features den Windows-Startvorgang gegen Schadsoftwarebedrohungen, die die BitLocker-Sicherheit gefährden könnten. Es ist jedoch wichtig, festzuhalten, dass DMA-Ports in dem Zeitfenster zwischen der Entsperrung des Laufwerks durch BitLocker und dem Start von Windows zu dem Punkt, an dem Windows alle portbezogenen Richtlinien einstellen kann, die konfiguriert wurden, aktiviert werden können. Dieser Zeitraum, in dem der Verschlüsselungsschlüssel für einen DMA-Angriff verfügbar ist, könnte auf neueren Geräten kürzer als eine Minute oder je nach Systemleistung auch länger sein. Die Verwendung der Pre-Boot-Authentifizierung mit einer PIN kann verwendet werden, um die Gefahr von Angriffen erfolgreich zu verringern.
Schutz nach dem Start: Eliminieren der DMA-Verfügbarkeit
Windows InstantGo-zertifizierte Geräte verfügen nicht über DMA-Anschlüsse, was das Risiko von DMA-Angriffen eliminiert. Auf anderen Geräten können Sie FireWire, Thunderbolt oder andere Ports, die DMA unterstützen, deaktivieren.