Dual Boot mit Windows Vista, Windows Server 2003 oder Linux und BitLocker Drive Encryption - Teil 1
Meine tägliche Arbeit erledige ich bei Microsoft primär mit meinem Notebook. Ich mag die Mobilität durch den tragbaren Rechner und die Möglichkeit, über drahtlose Netzwerke in den verschiedenen Microsoft-Gebäuden problemlos arbeiten zu können. Microsoft betreibt dafür ein eigenes Netzwerk mit ein und derselben SSID weltweit, so dass ich mittels portbasierender Authentifizierung mit meinem Computer- und meinem Benutzer-Zertifikat automatisch am WLAN teilnehmen kann. Wenn ich also in Redmond oder Barcelona bin, funktioniert die gleiche Konfiguration, die ich in München, Hamburg oder Berlin benutzen kann: Einfach Laptop anschalten und loslegen.
Wer will jetzt wissen, wie einfach das mit Windows-Boardmitteln geht? In der Session SEC323 auf dem Microsoft Tech·Ed IT Forum zeigen mein Kollege Michael Kalbe und ich live (!), wie man das mit Hilfe von Active Directory, Zertifikatsdiensten, Gruppenrichtlinien, RADIUS-Authentifizierung und WPA-Verschlüsselung konfigurieren kann und wie sicher diese Technologie im Einsatz ist.
Um damit auf den vielen Veranstaltungen, bei denen ich als Sprecher auftrete, alle neuen Funktionen von Microsoft Exchange Server 2007 zeigen zu können, hatte ich schon frühzeitig die Idee aufgegeben, die Demoumgebung durch Virtualisierung abzubilden. Gerade die Demonstration der neuen Unified Messaging Funktionen lässt sich schlecht virtualisieren. Stattdessen entschied ich mich für ein Dual Boot System, bei dem ich neben meinem Arbeitssystem mit Windows Vista zusätzlich einen Windows Server 2003 betreibe. Dadurch muss ich nicht soviel Hardware durch die Gegend schleppen, was sich unter anderem auch durch drastisch kürzere Check in- und Check out-Zeiten durch die alleinige Verwendung von Handgepäck an allen Flughäfen positiv in meiner Work Life Balance bemerkbar macht :-)
Windows Vista verhindert Dual Boot Systeme?
Im Internet ist nun häufig der Vorwurf zu lesen, Windows Vista würde Dual Boot Systeme unmöglich machen. Ursächlich ist vermutlich die Falschmeldung von Spiegel Online, in der folgendes behauptet wurde: Dank der Hardware gestützten Verschlüsselung, genannt BitLocker Drive Encryption, werden zwar sensible Daten bei einem Verlust des Rechners geschützt - aber auch der Datenverkehr, der bei einem Dual-Boot-System notwendig ist, unterbunden.
Grundlage für diese Meldung war ein Kommentar von Bruce Schneier auf der Infosec Konferenz im April in London. Er kritisierte BitLocker als Anti-Linux-Maßnahme, da es die klassische Dual-Boot-Konstellation Windows und Linux verhindert. Die Aussage stammt zwar von einem ausgewiesenen Sicherheitsexperten, trotzdem kann auch dieser sich einmal irren. Die Aussage ist jedenfalls falsch.
Richtig ist hingegen, dass Windows Vista eine neue Bootloader-Technologie mitbringt, die zum Beispiel für die Festplattenverschlüsselung mittels BitLocker Drive Encryption notwendig ist. Dabei wird mit Hilfe eines kompatiblen TPMs (Version 1.2) und ein Trusted Computing Group (TCG)-kompatibles BIOS ein sicherer Startprozess ermöglicht. Da ein TPM Software-neutral ist, enthält er auch keine Blockierfunktion für bestimmte Bootfolgen (wie zum Beispiel am Projekt TrustedGRUB unter Linux zusehen ist). Diese Technologien erlauben zusammen mit dem TPM-fähigen Bootloader das Erkennen von nachträglichen Modifikationen an der Bootsequenz, wenn durch BitLocker die Festplattenverschlüsselung mit Hilfe eines Volume Encryption Keys eingesetzt wird.
Der Bootloader von Windows Vista ist nun in der Lage, die Register des TPM-Chips in jedem Schritt des Bootprozesses richtig zu setzen, so dass der TPM den Volume Encryption Key herausgibt, der für die Entschlüsselung der Festplatte benötigt wird. Deshalb ersetzt Windows Vista bei der Installation auch einen eventuell vorhandenen MBR mit seinem eigenen. Natürlich wäre auch der Einsatz eines anderen, TPM-fähigen Bootloaders theoretisch denkbar - der Einfachheit halber arbeite ich aber mit dem Master Boot Record (MBR) von Windows Vista.
Weiter geht es im nächsten Teil mit der tatsächlichen Konfiguration.eines Dual Boot Systems Wer alle Artikel hintereinander lesen möchte, kann den Links folgen: