M 4.337 Einsatz von BitLocker Drive Encryption
Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: Administrator, Benutzer, IT-Sicherheitsbeauftragter, Leiter IT
Neben der Festplattenverschlüsselung dient BitLocker Drive Encryption (BDE) der Sicherstellung der Systemintegrität während des Bootprozesses. Letzteres setzt voraus, dass der Windows Vista Rechner über ein TPM (Trusted Platform Module) verfügt.
BitLocker ist nur in den Windows Vista Versionen Enterprise und Ultimate verfügbar.
Der Einsatz der BDE wird empfohlen, um die Vertraulichkeit aller Daten eines Windows Vista Rechners zu schützen. Dies gilt insbesondere für mobile Rechner.
Die Verschlüsselung entfaltet jedoch nur dann ihre Schutzwirkung, wenn der Windows Vista Rechner ausgeschaltet ist. Während des Startvorgangs von Windows Vista entschlüsselt BitLocker die verschlüsselten Festplattenpartitionen für die Dauer, in der der Windows Vista Rechner eingeschaltet ist.
Vorbereitung des Einsatzes von BitLocker
Wird BDE eingesetzt, sollte der Windows Vista Rechner über ein TPM (Trusted Platform Module) verfügen. BitLocker unterstützt TPMs ab einschließlich der Version 1.2.
Ein TPM ist ein Sicherheitschip, der durch die Trusted Computing Group (TCG) spezifiziert worden ist. Vereinfacht lässt sich ein TPM wie eine, auf die Hauptplatine gelötete, Smartcard vorstellen. Sofern auf dem Windows Vista Rechner ein Trusted Platform Module (TPM) zur Verfügung steht, kann BitLocker dieses als Schlüsselspeicher, zur Schlüsselprüfung und zur Sicherstellung der Systemintegrität während des Bootprozesses nutzen. Ohne TPM kann BitLocker alternativ auch ein USB-Speichermedium als Schlüsselspeicher nutzen, ein Integritätsschutz ist dann allerdings nicht mehr gegeben.
BitLocker verschlüsselt "simple Volumes". Ein simple Volume besteht aus genau einer Partition (ein Volume kann sonst auch aus mehreren Partitionen bestehen). Die Begriffe Volume, simple Volume und Partition werden hier synonym verwendet.
Für BitLocker ohne installiertes Service Pack 1 oder später müssen mindestens zwei Volumes eingerichtet werden:
- Ein Volume für das Betriebssystem (in der Regel Laufwerk C:). Dieses Volume wird im folgenden Bootpartition genannt. Die Bootpartition muss mit dem NTFS-Dateisystem formatiert sein. BitLocker verschlüsselt die Bootpartition vollständig mit Ausnahme des Bootsektors und eines Bereichs mit BitLocker-Metadaten.
- Ein Volume das unverschlüsselt bleiben muss, damit Windows Vista gestartet werden kann. Dieses Volume wird im folgenden Systempartition genannt (ein synonymer Ausdruck ist aktives Volume).
- Die Systempartition muss mit dem NTFS-Dateisystem formatiert sein. Die Systempartition muss mindestens 1,5 GB groß sein.
Wenn ein Windows Vista Rechner nur ein Volume hat, dann kann mit dem Microsoft BitLocker-Laufwerkvorbereitungstool ein zweites Volume erstellt werden. Das BitLocker-Laufwerkvorbereitungstool befindet sich unter Start / Alle Programme / Zubehör / Systemprogramme / BitLocker.
Es sollte überlegt werden, den Schreibzugriff durch die Standardbenutzer auf die unverschlüsselte Systempartition zu unterbinden. Dies kann erreicht werden, indem die entsprechenden NTFS-Berechtigungen gesetzt werden. Dadurch wird verhindert, dass Standardbenutzer irrtümlich die Vertraulichkeit ihrer Daten durch die BDE geschützt glauben, obwohl sie ihre Daten versehentlich in die unverschlüsselte Systempartition geschrieben haben.
Weitere Partitionen, wie eine Datenpartition, lassen sich durch BitLocker ab dem Service Pack 1 für Windows Vista verschlüsseln.
Auswahl der geeigneten Benutzer-Authentisierung
Für den erfolgreichen Start von BitLocker während des Startvorgangs von Windows Vista kann der Administrator vier unterschiedliche Verfahren zur Authentisierung des Benutzers konfigurieren.
- Keine Authentisierung
Dies setzt ein TPM auf dem Windows Vista Rechner voraus. BitLocker startet unbemerkt durch den Benutzer. - Authentisierung mittels USB-Stick, also "Besitz"
Diese Variante ist sowohl mit als auch ohne TPM auf dem Windows Vista Rechner möglich. Ohne TPM wird das zur Entschlüsselung notwendige BitLocker-Schlüsselmaterial auf dem USB-Stick gespeichert. Mit TPM wird dieses Schlüsselmaterial auf das TPM und den USB-Stick verteilt. - Authentisierung mittels PIN, also "Wissen"
Dies setzt ein TPM auf dem Windows Vista Rechner voraus. Das TPM prüft die eingegebene PIN. - Multifaktorauthentisierung mittels USB-Stick und PIN
Dies setzt ein TPM auf dem Windows Vista Rechner voraus. Das TPM dient als Speicher eines Teils des Schlüsselmaterials und zur Prüfung der PIN.
Es muss eine geeignete Form der Authentisierung des Benutzers gegenüber BitLocker gewählt werden. Hierbei sind folgende Gesichtspunkte zu berücksichtigen und gegeneinander abzuwägen:
- Keine Authentisierung kann geeignet sein, wenn die Benutzer neben der lokalen Anmeldung am Rechner oder an der Domäne keine weitere Anmeldung und die damit verbunden Authentisierungsmittel wie PIN und/oder USB-Stick akzeptieren würden. Da "Keine Authentisierung" den geringsten Schutz bietet, sollte diese Einstellung nur im Ausnahmefall verwendet werden.
- Keine Authentisierung in Verbindung mit einem TPM begünstigt bekannte Angriffsvektoren, über die ein Unbefugter die BitLocker-Entschlüsselung überwinden kann. Bei "Keine Authentisierung" wird während des Boot-Vorgangs automatisch das BitLocker-Schlüsselmaterial aus dem TPM in den Arbeitsspeicher (RAM, Random Access Memory) des Windows Vista Rechners geladen. Dies geschieht vor der Anmeldung eines Benutzers. Die Angriffsvektoren ermöglichen Unbefugten den Zugang zu dem Schlüsselmaterial, wenn sie physischen Zugang zum Windows Vista Rechner haben. Diese Angriffsvektoren erfordern spezielle Werkzeuge und eine hohe Qualifikation seitens des Angreifers. Gegen diese Angriffsvektoren wird der Einsatz der Authentisierungsmittel PIN und/oder USB-Stick empfohlen.
- Das Authentisierungsmittel PIN ist im Gegensatz zur Authentisierung mit einem USB-Stick durch mögliche Keylogger gefährdet. Keylogger gibt es als Software- und als Hardware-Ausführung. Keylogger zeichnen unbemerkt die Tastatureingaben eines Benutzers auf, so dass diese von unbefugten Dritten missbraucht werden können. Ein Software-basierter Keylogger müsste die Sicherheitsmechanismen von Windows Vista zum Schutz der Systemintegrität überwinden. Eine weitere PIN-spezifische Gefährdung liegt vor, wenn zur PIN-Eingabe eine drahtlose Tastatur eingesetzt wird. Deren Übertragung kann abgehört werden. Die PIN-Eingabe sollte daher nicht über eine drahtlose Tastatur erfolgen, wenn keine oder nur eine schwache Verschlüsselung für die drahtlose Datenübertragung eingesetzt wird.
- Das Authentisierungsmittel USB-Stick empfiehlt sich nicht in Verbindung mit einem mobilen Rechner, da ein USB-Stick häufig direkt mit diesem (etwa in der Laptop-Tasche) aufbewahrt wird.
- Das Authentisierungsmittel USB-Stick und PIN empfiehlt sich bei erhöhten Sicherheitsanforderungen. Diese Form der Multi-Faktor-Authentisierung ist erst ab Windows Vista Service Pack 1 möglich.
Alle vier vorgestellten Authentisierungsformen können auch im Pool-Betrieb eingesetzt werden, wenn ein mobiler Windows Vista Rechner mehreren Benutzern zur Verfügung steht. Alle Benutzer müssen dann über dieselbe PIN und/oder über dasselbe Schlüsselmaterial auf einem USB-Stick verfügen.
BitLocker Wiederherstellungskennwort und Wiederherstellungsschlüssel
Der Administrator muss ein Wiederherstellungskennwort für BitLocker setzen. Das Wiederherstellungskennwort kann nach der Erstellung ausgedruckt oder elektronisch gespeichert und im Bedarfsfall manuell eingegeben werden. Es besteht aus 48 numerischen Zeichen.
Wenn das Wiederherstellungskennwort vom Administrator gewählt wird, dann müssen triviale Formen vermieden werden (siehe M 2.11 Regelung des Passwortgebrauchs). Wenn das Wiederherstellungskennwort aus Effizienzgründen für verschiedene Windows Vista Rechner gleich gewählt wird, dann gilt die Vermeidung trivialer Formen umso dringender.
Eine Variante des Wiederherstellungskennworts ist der Wiederherstellungsschlüssel. Dieser liegt im Binärformat vor. Zu den unterstützten Ablageorten für Wiederherstellungskennworte und Wiederherstellungsschlüssel zählen Dateien, Active Directory und USB-Sticks. Das Wiederherstellungskennwort eignet sich im Gegensatz zum Wiederherstellungsschlüssel aufgrund seiner numerischen Darstellungsform auch für die telefonische Übermittlung.
Das Wiederherstellungskennwort und der Wiederherstellungsschlüssel ermöglichen die Fortführung des Startvorgangs von Windows Vista, wenn BitLocker diesen abgebrochen hat. Zu den möglichen Ursachen zählen eine falsche PIN, ein defekter oder fehlender USB-Stick, ein defektes TPM und festgestellte Veränderungen am BIOS des IT-Systems. Für den Start des abgesicherten Modus von Windows Vista, zum Beispiel zur Wartung oder Fehlerbehebung, wird ebenfalls das Wiederherstellungskennwort beziehungsweise der Wiederherstellungsschlüssel benötigt.
Besteht der Verdacht, dass PIN, USB-Stick, Wiederherstellungskennwort oder Wiederherstellungsschlüssel kompromittiert worden sind, dann muss der entsprechende Schlüssel neu gesetzt werden. Dies kann mit dem Kommandozeilenwerkzeug manage-bde.wsf in Verbindung mit dem Wiederherstellungskennwort oder dem Wiederherstellungsschlüssel erfolgen. Auf diese Weise können auch verlorene oder defekte USB-Sticks und/oder PINs zurückgesetzt werden.
Auch ein mit BitLocker verschlüsselter Datenträger wird einmal ausgesondert werden. Möglicherweise wird dann aus Effizienzgründen auf das Löschen des BitLocker-verschlüsselten Datenträgers verzichtet. In diesem Fall müssen alle Schlüssel vernichtet werden, die zur Entschlüsselung eingesetzt werden können.
Es sollte überlegt werden, Sicherheitskopien des Wiederherstellungskennworts und des Wiederherstellungsschlüssels zu erstellen und an einer geeigneten Stelle separat aufzubewahren. Die Form der Sicherheitskopien und deren Aufbewahrung sind anhand des Schutzbedarfs der Daten festzulegen. Wenn ein Active Directory als Speicherort für das Wiederherstellungskennwort gewählt wird, dann können dessen vorhandene Mechanismen zur Sicherstellung der Verfügbarkeit genutzt werden.
Wiederherstellungskennwort und Wiederherstellungsschlüssel sowie deren Sicherheitskopien dürfen nur Befugten zugänglich sein (siehe M 2.22 Hinterlegen des Passwortes). Sie müssen an einer geeigneten Stelle hinterlegt werden, so dass sie im Bedarfsfall hinreichend schnell verfügbar sind.
Klarstellung des Umfangs der BitLocker-Verschlüsselung
Die Benutzer müssen darüber informiert werden, welche Festplattenpartitionen durch BitLocker verschlüsselt werden und welche nicht. Derzeit verschlüsselt BitLocker nur die eigentliche Windows-Partition, auch Bootpartition genannt. Und dies auch nur, wenn der Windows Vista Rechner ausgeschaltet ist. Mit Erscheinen des Service Packs 1 können auch weitere Partitionen, wie Datenpartitionen, mit Bitlocker verschlüsselt werden. BitLocker verschlüsselt nicht die Systempartition.
Die Benutzer müssen darüber informiert werden, wie sie mit den möglichen Energiesparmodi unter dem Gesichtspunkt der Wirksamkeit der BitLocker-Verschlüsselung umgehen sollten.
BitLocker in Verbindung mit Energiesparmodi
Ein Windows Vista Rechner, der aktuell nicht benutzt wird und auch nicht ausgeschaltet ist kann sich im Energiesparmodus befinden. Bei Windows-Systemen gibt es die Energiesparmodi Standby-Modus, Ruhezustand (auch Hibernate-Modus genannt) und Hybrider Energiesparmodus.
Im Standby-Modus verbleibt das BitLocker-Schlüsselmaterial im Arbeitsspeicher (RAM) des Windows Vista Rechners. Dadurch ist die Vertraulichkeit der BitLocker-verschlüsselten Daten durch den Angriffsvektor gegen BitLocker-Schlüssel im RAM gefährdet (siehe Abschnitt oben). Gegen diesen Angriffsvektor wird empfohlen, einen Windows Vista Rechner nicht unbeaufsichtigt im Standby-Modus zu lassen. Alternativen sind der Ruhezustand und das Ausschalten. Die Möglichkeit zum Standby-Modus ist ein typisches Merkmal von mobilen Rechnern, um Energie zu sparen.
Der Ruhezustand ist nicht durch den geschilderten Angriffsvektor gegen BitLocker-Schlüssel im RAM gefährdet, da das Schlüsselmaterial verschlüsselt auf die Festplatte geschrieben wird und nicht im Arbeitsspeicher verbleibt.
Der hybride Energiesparmodus ist eine Neuerung von Windows Vista. Dieser Modus kombiniert den Standby-Modus mit dem Ruhezustand. Analog dem Standby-Modus ist der hybride Energiesparmodus durch den Angriffsvektor gegen BitLocker-Schlüssel im RAM gefährdet. Der hybride Energiesparmodus sollte deshalb nicht eingesetzt werden, wenn hohe Anforderungen an den Schutz der Vertraulichkeit durch BitLocker gestellt werden und der Windows Vista Rechner unbeaufsichtigt ist.
In jedem Fall sollte die Rückkehr aus dem Standby-Modus, dem Ruhezustand oder dem hybriden Energiesparmodus nur nach erneuter Kennworteingabe erfolgen können. Hierzu ist im entsprechenden Gruppenrichtlinienobjekt unter Benutzerkonfiguration \ Administrative Vorlagen \ System \ Energieverwaltung die Richtlinie Kennworteingabe bei der Wiederaufnahme aus dem Ruhezustand bzw. Energiesparmodus zu aktivieren.
BitLocker-Werkzeuge
Microsoft stellte Werkzeuge zur Verfügung, um BitLocker vorbereiten, konfigurieren, administrieren und in Notfällen behandeln zu können.
- Das TCG BIOS DOS Test Tool (tcgbios.exe) dient der Prüfung einer BIOS-Funktion, die BitLocker benötigt (siehe Microsoft Developer Network - MSDN).
- Das BitLocker-Laufwerkvorbereitungstool(Drive Preparation Tool) dient der Vorbereitung der Festplatte auf den Einsatz von BitLocker, welcher zwei Volumes voraussetzt (siehe Knowledge-Base-Artikel 930063).
- Die graphische Benutzeroberfläche BitLocker Control Panel GUI dient der Verwaltung von BitLocker. Voraussetzung ist ein TPM.
- Das Kommandozeilentool manage-bde.wsf dient der Verwaltung von BitLocker. Ein TPM ist nicht notwendig.
- Der Recovery Password Viewer dient zur Verwaltung von Wieder-herstellungsschlüsseln im Active Directory (siehe Knowledge-Base-Artikel 928202).
- Das Repair Tool dient der Datensicherung aus beschädigten Volumes, die durch BitLocker verschlüsselt worden sind (siehe Knowledge-Base-Artikel 928201).
Abgrenzung der Eignung von BitLocker
BDE ist für Multiboot-Systeme in der Praxis ungeeignet. Soll neben Windows Vista ein anderes Betriebssystem gestartet werden können (Multiboot-System), dann empfiehlt sich der Einsatz eines Programms zur Festplattenverschlüsselung, das mögliche Verletzungen der Vertraulichkeit durch ein anderes Betriebssystem unterbindet. Es sollte ein, für Multiboot-Systeme geeignetes, Produkt eines Drittherstellers eingesetzt werden. Alternativ zur Festplattenverschlüsselung kann unter Windows 2000/XP/Vista auch EFS (Encrypting File System - verschlüsselndes Dateisystem) eingesetzt werden. EFS unterstützt die Verschlüsselung einzelner Dateien (siehe M 4.147 Sichere Nutzung von EFS unter Windows).
Der Einsatz des EFS empfiehlt sich auch, wenn die zu schützenden Daten auf einem mobilen Rechner auch dann verschlüsselt sein sollen, wenn der mobile Rechner unter Windows Vista eingeschaltet ist. Im eingeschalteten Zustand bietet die BitLocker-Verschlüsselung keinen wirksamen Schutz.
Weiterführende Informationen zu BitLocker
Weiterführende Informationen zu BitLocker sind im Anwenderleitfaden "BitLocker Drive Encryption im mobilen und stationären Unternehmenseinsatz" auf den Webseiten des BSI zu finden. Der Leitfaden ist das Ergebnis einer gemeinsamen Sicherheitsanalyse des BSI und des Fraunhofer-Instituts für sichere Informationstechnologie unter Einbeziehung der für die Entwicklung von BDE verantwortlichen Produktgruppe von Microsoft.
Prüffragen:
- Verfügt der Windows Vista Rechner über ein TPM (Trusted Platform Module)?
- Ist eine geeignete Form der Authentisierung des Benutzers gegenüber BitLocker ausgewählt worden?
- Ist ein Wiederherstellungskennwort oder ein Wiederherstellungsschlüssel gesetzt?
- Ist sicher gestellt, dass nur Befugte Zugang zum Wiederherstellungskennwort oder -schlüssel haben?
- Kann auf die Kopien von USB-Sticks bzw. PIN und Wiederherstellungskennwort im Bedarfsfall schnell zugegriffen werden?
- Ist den Benutzern bekannt, auf welchen Partitionen keine Verschlüsselung der Daten durch BitLocker erfolgt?
- Ist ein Schreibzugriff der Standardbenutzer auf die Systempartition unterbunden?
- Kann der Vista Client nur nach einer Kennworteingabe aus dem Standby-Modus, dem Ruhezustand oder dem hybriden Energiesparmodus aktiviert werden?