PIN für BitLocker einrichten

    , 07.07.2023, zuletzt aktualisiert am 13.08.2023
    Tags: ,

    BitLocker mit PIN entsperrenAuf modernen Rechnern ist BitLocker standardmäßig so konfiguriert, dass das TPM alleine den Volume Master Key (VMK) freigibt. Fällt ein Notebook jedoch in die falschen Hände, dann ist der VMK damit nicht ausreichend geschützt. Daher empfiehlt Microsoft eine Zwei-Faktor-Authenti­fizierung durch eine zusätzliche PIN oder einen Startup-Key.

    Wenn BitLocker das TPM als einzigen Protektor beim Systemstart verwendet, dann ist das die komfortabelste Variante für die Benutzer. Sie erhalten dabei automatisch Zugang zu verschlüsselten Laufwerken.

    Eine zusätzliche PIN erhöht aber die Sicherheit der Verschlüsselung. Sie gewährt Schutz vor:

    Bei der Einrichtung der PIN-Authentifizierung ist zu unterscheiden, ob

    oder

    Volume Master Key angreifbar

    Das TPM enthält den Storage Root Key und entschlüsselt damit den VMK. Diesen gibt es allerdings nur dann frei, wenn die Prüfung des Validierungsprofils erweist, dass sich die System­konfiguration nicht geändert hat.

    Das von BitLocker entsperrte Laufwerk ist dann bereits zugänglich, bevor der Benutzer den Anmelde­bildschirm zu sehen bekommt. Der VMK befindet sich mithin zu diesem Zeitpunkt unverschlüsselt im RAM des Rechners, von wo ihn ein Angreifer über einen Speicher-Dump auslesen könnte.

    Weitere Angriffsvektoren ergeben sich durch Schwachstellen wie CVE-2022-41099, bei der sich die BitLocker-Verschlüsselung des Betriebs­systemlaufwerks über WinRE aushebeln lässt.

    Zweiter Faktor als Schutz gegen VMK-Diebstahl

    In solchen Fällen bieten eine PIN oder ein Systemstart­schlüssel einen zusätzlichen Schutz, weil sie eine Authentifizierung noch vor dem Booten des Betriebs­systems erfordern. Erhält ein Angreifer physischen Zugang zum Rechner, dann scheitert der Angriff mittels Speicher-Dump, weil der VMK ohne Eingabe der PIN oder den Start-Key erst gar nicht entschlüsselt wird.

    PIN und Startup-Schlüssel lassen sich entweder einzeln oder zusammen mit dem TPM-Protector kombinieren. Nachdem der Key eine Hardware in Form eines USB-Sticks erfordert, bevorzugen die meisten Anwender den komfortableren Einsatz einer PIN.

    PIN-Sperre nach Fehlversuchen

    Das TPM schützt die PIN gegen Brute-Force-Angriffe, indem es nach mehreren (in der Regel 32) Fehleingaben den Zugang sperrt und dann nur alle 10 Minuten einen weiteren Versuch zulässt. Microsoft hat zudem die Hürde für solche Attacken höher gelegt, indem die Mindestlänge der PIN nun standardmäßig 6 und nicht mehr wie früher 4 Zeichen beträgt.

    Der Versuch, einen Protector mit einer vierstelligen PIN einzurichten, scheitert auf neueren Windows-Versionen.

    Darüber hinaus kann man mit der Gruppenrichtlinie Erweitere PINs für Systemstart zulassen ("Allow enhanced PINs at startup") dafür sorgen, das Benutzer auch komplexere PINs verwenden dürfen, die neben Ziffern auch Buchstaben und andere Zeichen enthalten.

    Komplexe PINs mittels Gruppenrichtlinie erlauben

    Allerdings sollte man beachten, dass es dabei zu Problemen der Tastaturbelegung kommen kann. Während beim Festlegen der PIN noch das deutsche Layout gilt, erfolgt die Abfrage der PIN mit der englischen Belegung. Enthält die erweiterte PIN etwa ein 'z', dann muss der Benutzer ein 'y' eingeben.

    Authentifizierungsmethoden vor BitLocker-Aktivierung festlegen

    Wenn man die Verfahren zur Authentifizierung oder zur Wiederherstellung von verschlüsselten Laufwerken mittels Gruppenrichtlinien konfigurieren möchte, dann sollte man dies vor der Aktivierung von BitLocker tun.

    Zuständig ist dafür die Einstellung Zusätzliche Authentifizierung beim Start anfordern ("Require additional authentication at startup"). Sie findet sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => BitLocker-Laufwerks­verschlüsselung => Betriebs­systemlaufwerke.

    Nur eine der zusätzlichen Methoden darf vorgegeben werden

    Hier ist zu beachten, dass man unter Einstellungen für Computer mit einem TPM nur eine Option als erforderlich festlegen darf. Alle anderen muss man auf nicht zulassen setzen, darunter auch TPM-Start konfigurieren, wenn man eine PIN verwenden will. Andernfalls gibt der Assistent zum Aktivieren von BitLocker folgende Fehlermeldung aus:

    Die Gruppenrichtlinien für die BitLocker-Startoptionen stehen in Konflikt und können nicht angewendet werden.

    Fehlermeldung im BitLocker-Assistenten, wenn per GPO mehrere Startoptionen konfiguriert sind.

    Wenn berechtigte Benutzer nach der korrekten Konfiguration dieser Gruppenrichtlinie BitLocker einschalten, dann fordert der Assistent aus der Systemsteuerung die Daten für die im GPO definierten Protektoren an. Das ist im Fall von TPM und PIN ein mindestens sechsstelliger numerischer Code.

    Wenn man über Gruppenrichtlinien eine Start-PIN konfiguriert hat, dann muss man diese beim Aktivieren von BitLocker festlegen.

    Hat man sich alternativ oder zusätzlich für den Einsatz eines Startschlüssels entschieden, dann verlangt der Assistent die Bereitstellung bzw. die Auswahl eines USB-Sticks.

    Verlangt die Gruppenrichtlinie einen Startup-Key, dann muss man bei der BitLocker-Aktivierung einen USB-Stick bereitstellen.

    BitLocker mittels PowerShell oder manage-bde aktivieren

    Möchte man BitLocker stattdessen über die Kommandozeile, also mit PowerShell oder manage-bde.exe aktivieren, dann kann man nur jene Protektoren angeben, die im GPO konfiguriert sind. Andernfalls läuft man in eine Fehlermeldung.

    Beim Aktivieren von BitLocker über die Kommandozeile muss man sich an die Vorgaben durch das GPO halten.

    PIN nachträglich hinzufügen

    Hat man BitLocker auf dem Betriebs­system­laufwerk bereits einschaltet und mit dem standardmäßigen TPM-Protektor versehen, dann bewirkt eine Änderung in der oben beschriebenen GPO-Einstellung per se kein Anlegen des TPMAndPIN-Protektors.

    In diesem Fall kann man aber einen weiteren Protektor mittels PowerShell oder manage-bde hinzufügen:

    manage-bde -protectors -add c: -TPMAndPIN

    Mit PowerShell würde man so vorgehen:

    $pin = Read-Host -Prompt "PIN eingeben" -AsSecureString

    Add-BitLockerKeyProtector -MountPoint "c:" -TpmAndPinProtector -Pin $pin

    Aber auch hier ist beachten, dass man auf diesem Weg nur Protektoren anlegen kann, die nicht im Widerspruch zur zugewiesenen Gruppen­richtlinie stehen.

    BitLocker-Protektor für TPM und PIN mit PowerShell erzeugen

    Zusammenfassung

    Es ist eine gute und von Microsoft empfohlene Praxis, die implizite Authentifizierung mittels TPM um eine PIN zu ergänzen, die bereits vor dem Booten des Betriebs­systems abgefragt wird.

    Allerdings ist das Zusammenspiel von Gruppenrichtlinien und BitLocker nicht auf Anhieb klar. Das Problem liegt nämlich darin, dass der Assistent die PIN-Authentifizierung nur dann einrichtet, wenn man dem Rechner ein entsprechendes GPO vor dem Aktivieren von BitLocker zugewiesen hat.

    Auf der Kommandozeile kann man indes jederzeit einen neuen Protektor hinzufügen. Dieser sollte aber nicht durch die Gruppenrichtlinien blockiert werden, ansonsten scheitert die Operation.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links