Wählen der richtigen BitLocker-Gegenmaßnahme
In diesem Abschnitt sind die besten Gegenmaßnahmen beschrieben, die Sie verwenden können, um Ihre Organisation vor Bootkits und Rootkits, Brute-Force-Anmeldeangriffen, DMA-Angriffen (Direct Memory Access), Hyberfil.sys-Angriffen und Angriffen auf den remanenten Speicher zu schützen.
Mit BitLocker können Sie Ihre Windows 10-Computer schützen. Ganz gleich, welches Betriebssystem Sie verwenden, Microsoft und Windows-zertifizierte Geräte liefern Gegenmaßnahmen, um Angriffe zu vermeiden und die Sicherheit Ihrer Daten zu verbessern. In den meisten Fällen kann dieser Schutz ohne Authentifizierung vor dem Start implementiert werden.
In den Abbildung 2, 3 und 4 sind die empfohlenen Maßnahmen für unterschiedliche Arten von Angriffen auf Computern mit aktuellen Versionen von Windows zusammengefasst. Die orangefarbenen Blöcke geben an, dass für das System neben den Standardeinstellungen eine zusätzliche Konfiguration erforderlich ist.
.jpg "Auswählen der besten Gegenmaßnahmen für Windows 7")
Abbildung 2. Auswählen der besten Gegenmaßnahmen für Windows 7
.jpg "Auswählen von Gegenmaßnahmen für Windows 8")
Abbildung 3. Auswählen der besten Gegenmaßnahmen für Windows 8
.jpg "Auswählen von Gegenmaßnahmen für Windows 8.1")
Abbildung 4. Auswählen der besten Gegenmaßnahmen für Windows 8.1
Die neuesten InstantGo-Geräte, in erster Linie Tablets, sind so konzipiert, dass sie standardmäßig gegen alle Angriffe geschützt sind, die den BitLocker-Verschlüsselungsschlüssel beeinträchtigen könnten. Auch andere Windows-Geräte können geschützt sein. Angriffe auf den DMA-Anschluss, ein bevorzugtes Angriffsziel, sind auf InstantGo-Geräten nicht möglich, da diese Anschlusstypen nicht zulässig sind. Die Einbindung von DMA-Anschlüssen auch auf Nicht-InstantGo-Geräten ist auf aktuellen Geräten sehr selten, insbesondere auf mobilen. Dies könnte sich mit einer stärkeren Verbreitung von Thunderbolt ändern, die IT-Abteilung sollte dies daher beim Kauf neuer Geräte berücksichtigen. DMA-Anschlüssen können auf jeden Fall komplett deaktiviert werden, was eine zunehmend beliebte Option darstellt, da DMA-Anschlüsse unter Nicht-Entwicklern selten verwendet werden.
Bei ordnungsgemäßer Konfiguration können Angriffe auf den remanenten Speicher reduziert werden; in Fällen mit festem Systemspeicher (kein Wechselspeichergerät), sind diese Angriffe mit veröffentlichten Techniken nicht möglich. Auch in Fällen, in denen der Systemspeicher entfernt und in einem anderen Gerät geladen werden kann, hat sich dieses Angriffsziel als sehr unzuverlässig herausgestellt, was laut Analyse der DRDC Valcartier Group nachgewiesen wurde (siehe Detaillierte Analyse des Kaltstartangriffs).
Windows 7-Computer weisen die gleichen Sicherheitsrisiken wie neuere Geräte auf, sind aber gegenüber DMA-Angriffen und Angriffen auf den remanenten Speicher weitaus anfälliger, da Windows 7-Geräte mit größerer Wahrscheinlichkeit DMA-Anschlüsse aufweisen, keine Unterstützung für einen sicheren UEFI-basierten Start bieten und selten über einen festen Arbeitsspeicher verfügen. Damit auf Windows 7-Geräten vor dem Start keine Authentifizierung erforderlich ist, deaktivieren Sie die Möglichkeit zum Starten von externen Medien, schützten Sie die BIOS-Konfiguration mit einem Kennwort, und deaktivieren Sie die DMA-Anschlüsse. Wenn Sie der Meinung sind, dass Ihre Geräte möglicherweise Ziel eines Angriffs auf den remanenten Speicher sein könnten, bei dem der Systemspeicher entfernt und in einen anderen Computer eingesetzt wird, um Zugriff auf dessen Inhalt zu erlangen, sollten Sie Ihre Geräte testen, um zu ermitteln, ob diese für diese Art von Angriff anfällig sind.
Am Ende werden viele Kunden feststellen, dass durch die Authentifizierung vor dem Start die Sicherheit nur für eine immer geringe Anzahl von Geräten in ihrer Organisation verbessert wird. Microsoft empfiehlt, dass Sie die in diesem Dokument aufgeführten Angriffsziele und Gegenmaßnahmen sowie Ihre Geräte sorgfältig überprüfen, bevor Sie sich entscheiden, die Authentifizierung vor dem Start zu implementieren, wodurch möglicherweise die Sicherheit Ihrer Geräte nicht verbessert, sondern stattdessen die Benutzeroberfläche beeinträchtigt wird und höhere Supportkosten entstehen.