Schützen von BitLocker vor Angriffen vor dem Start
In diesem ausführlichen Handbuch erfahren Sie mehr über die Umstände, unter denen die Verwendung der Authentifizierung vor dem Start für Geräte unter Windows 10, Windows 8.1, Windows 8 oder Windows 7 empfohlen wird und wann sie in der Konfiguration eines Geräts sicher darauf verzichten werden kann.
BitLocker verwendet die Verschlüsselung zum Schützen von Daten auf Ihrem Datenträger. Die BitLocker-Sicherheit ist jedoch nur wirksam, wenn der Verschlüsselungsschlüssel geschützt ist. Viele Benutzer haben sich auf die Authentifizierung vor dem Start verlassen, um die Integrität des Betriebssystems, die Datenträgerverschlüsselungslösung (beispielsweise Verschlüsselungsschlüssel) und die Daten des PCs vor Offlineangriffen zu schützen. Beim Verwenden der Authentifizierung vor dem Start müssen Benutzer ihre Anmeldeinformationen angeben, bevor sie verschlüsselte Volumes entsperren und Windows starten. Für gewöhnlich authentifizieren sie sich selbst mithilfe eines PINs oder einem USB-Speichersticks, die bzw. der als Schlüssel dient.
Die vollständige Volumeverschlüsselung mithilfe der BitLocker-Laufwerkverschlüsselung ist entscheidend für das Schützen der Daten und Systemintegrität auf Geräten unter dem Betriebssystem Windows 10, Windows 8.1, Windows 8 oder Windows 7. Es ist gleichermaßen wichtig, den BitLocker-Verschlüsselungsschlüssel zu schützen. Auf Geräten unter Windows 7 war für oftmals die Authentifizierung vor dem Start erforderlich, um diesen Schlüssel erfolgreich zu schützen. Dies stellte für viele Benutzer eine unpraktische und komplizierte Geräteverwaltung dar.
Mithilfe der Authentifizierung vor dem Start erhalten Sie eine hervorragende Startsicherheit. Sie ist jedoch umständlich für die Benutzer und erhöht die IT-Verwaltungskosten. Sobald der PC nicht beaufsichtigt ist, muss das Gerät in den Ruhezustand (also heruntergefahren und ausgeschaltet werden) versetzt werden. Nach dem Neustart des Computers müssen sich die Benutzer authentifizieren, bevor die verschlüsselten Volumes entsperrt werden. Durch diese Anforderung werden die Neustartzeiten verlängert und Benutzer daran gehindert, auf Remote-PCs zuzugreifen, bis sie physisch auf den Computer zugreifen können, um sich zu authentifizieren. Dies macht die Authentifizierung vor dem Start in der modernen IT-Welt inakzeptabel, da Benutzer von ihren Geräten erwarten, dass sie sich sofort einschalten und die IT PCs benötigt, die dauerhaft mit dem Netzwerk verbunden sind.
Wenn Benutzer ihren USB-Stick verlieren oder ihre PIN vergessen, können sie ohne einen Wiederherstellungsschlüssel nicht mehr auf ihren PC zugreifen. In einer entsprechend konfigurierten Infrastruktur ist der Support der Organisation in der Lage, den Wiederherstellungsschlüssel bereitzustellen. Dadurch werden jedoch die Supportkosten erhöht, und die Benutzer verschwenden möglicherweise produktive Arbeitszeit.
Ab Windows 8 wird die Betriebssystemintegrität mithilfe von „Sicherer Start“ und des Windows-Startprozesses „Vertrauenswürdiger Start“ sichergestellt. Dadurch kann Windows automatisch gestartet werden. Gleichzeitig wird das Risiko böswilliger Starttools und Rootkits minimiert. Zusätzlich sind viele moderne Geräte grundlegend vor komplexen Angriffen gegen den Arbeitsspeicher des Computers physisch geschützt. Zudem wird der Benutzer nun durch Windows zunächst authentifiziert, bevor Geräte für die Verwendung verfügbar gemacht werden, die möglicherweise eine Bedrohung für das Gerät und die Verschlüsselungsschlüssel darstellen.
Inhalt dieses Themas
In den folgenden Abschnitten erfahren Sie, auf welchen PCs die Authentifizierung vor dem Start weiterhin erforderlich ist und welche Ihre Sicherheitsanforderungen ohne die zugehörigen Unannehmlichkeiten erfüllen können.