Marcel Zehner Windows Vista Security ISBN-10: 3-446-41356-1 ISBN-13: 978-3-446-41356-6 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/978-3-446-41356-6 sowie im Buchhandel
4 Schützen von Daten und Betriebssystemdateien Für Windows Vista Service Pack 1 und Windows Server 2008 ist angekündigt, dass ein noch höherer VMK-Schutz mit der Key Protector-Kombination TPN, PIN und USB möglich sein wird. Was ist TPM ganz genau? Stellen Sie sich das am einfachsten wie eine SmartCard vor, die sich auf dem Motherboard Ihres Rechners befindet. Darin können Informationen abgespeichert und bei Bedarf abgerufen werden. Damit die Informationen im TPM-Chip zusätzlich geschützt sind, können sie mit einem PIN (Stufe3) oder einer Information auf einem USB- Stick (Stufe 4) gesichert werden. Damit ein TPM-Chip für BitLocker eingesetzt werden kann, muss es sich mindestens um einen Chip der Version 1.2 handeln. 4.3.1 BitLocker einrichten Es gibt zwei Möglichkeiten, BitLocker einzurichten: wenn Windows Vista neu installiert wird oder nachträglich, falls Windows Vista schon komplett installiert ist. Bei einer Neuinstallation kann die notwendige Partitionierung von zwei Partitionen direkt im Setup-Prozess vorgenommen werden. Dazu wechseln Sie beim Setup zu den Wiederherstellungsoptionen und starten die Eingabeaufforderung. Erstellen Sie mit dem Tool Diskpart.exe zwei neue Partitionen: Partition 1, 1500 MB, Laufwerk S:\, aktiv setzen (auf diese Partition werden die Startdateien platziert) Partition 2, beliebige Größe, z.b.: 20000 MB, Laufwerk C:\ Nach dieser Konfiguration kann Windows Vista normal installiert werden. Wählen Sie als Installationspartition die größere der beiden Partitionen aus. Den Rest erledigt die Setup-Routine. Falls bereits eine Installation vorliegt, ist das Vorgehen ein bisschen mühsamer. Vermutlich wird Windows Vista auf einer einzigen Partition installiert und daher nicht für den BitLocker-Einsatz geeignet sein. Für dieses Szenario stellt Microsoft das Tool BitLocker Drive Preparation Tool zur Verfügung, das die korrekte Partitionierung nachträglich vornimmt. Natürlich können diese Schritte auch manuell ausgeführt werden. Dazu muss zuerst die aktive Partition verkleinert werden (was mit Windows Vista neu möglich ist), dann eine neue Partition von 1500 MB Größe erstellt und formatiert werden. Zuletzt muss die Partition aktiviert und die entsprechenden Startdateien müssen darauf kopiert werden. Damit es zu keinen Fehlern kommt, würde ich Ihnen aber die Nutzung des BitLocker Drive Preparation Tools empfehlen. Dieses Tool wird über Windows Update zur Verfügung gestellt und muss vor der Nutzung explizit heruntergeladen und installiert werden. Starten Sie das Tool, das sich im Ordner Startmenü\Alle Programme\Zubehör\ Systemprogramme\BitLocker befindet. Das Tool wird die notwendigen Änderungen an 120
4.3 Partitionsverschlüsselung mit BitLocker der Partitionierung vornehmen. Nach Abschluss der Änderung muss Windows Vista neu gestartet werden, diesmal bereits ab der neuen aktiven Partition. Abbildung 4.46 BitLocker-Laufwerkverschlüsselung: Partitionierung vorbereiten Abbildung 4.47 Neue Partitionierung mit aktiver Partition 121
4 Schützen von Daten und Betriebssystemdateien Nach dem Neustart wird automatisch die BitLocker-Konfigurtionskonsole gestartet, die auch über Systemsteuerung\Sicherheit\BitLocker-Laufwerkverschlüsselung angezeigt werden kann. Da die Partitionierung jetzt BitLocker-konform ist, kann BitLocker für die Partition, auf der Windows Vista installiert ist, aktiviert werden. Abbildung 4.48 BitLocker aktivieren Nach dem Anwählen des Menüpunkts BitLocker aktivieren wird festgelegt, welche Systemstartoptionen verwendet werden sollen. Dazu stehen wie bereits erwähnt verschiedene Methoden zur Verfügung, die je nach eingesetztem Gerät genutzt werden können. Geräte ohne TPM-Chip verfügen lediglich über eine Option, wohingegen Geräte mit einem TPM- Chip die Wahl zwischen drei verschiedenen Methoden haben. Je nach getroffener Auswahl variiert die Speicherung der Startschlüssel (im folgenden Screenshot wird ein USB- Laufwerk für die Speicherung des Startschlüssels genutzt). Nach dem Festlegen der Starteinstellungen müssen die Wiederherstellungsmechanismen aktiviert werden. Diese können einzeln oder in Kombination genutzt werden. Sicherheitshalber sollten immer mindestens zwei Speicherorte für das Wiederherstellungskennwort genutzt werden. Je nach ausgewählter Methode muss ein USB-Laufwerk, ein Pfad zu einem Ordner oder ein Drucker angegeben werden. 122
4.3 Partitionsverschlüsselung mit BitLocker Abbildung 4.49 Systemstarteinstellungen festlegen Falls Sie sich für die Speicherung in einer Datei entscheiden, darf sich der Ordner, in den die Speicherung erfolgt, nicht auf der mit BitLocker verschlüsselten Partition befinden. Das würde natürlich auch keinen Sinn machen, weil es bei einem Problem mit der Entschlüsselung der Partition nicht zur Verfügung stehen würde. Sinnvoller wäre die Speicherung auf einem Medium, das nicht an das lokale Gerät gebunden ist, also beispielsweise ein Netzlaufwerk, auf das (z.b. mit einem anderen Gerät) einfach zugegriffen werden kann, sobald das Wiederherstellungskennwort benötigt wird. Wenn die Speicherung der Wiederherstellungskennwörter abgeschlossen ist, kann Windows Vista mit der Verschlüsselung der Festplatte beginnen. Optional haben Sie noch die Möglichkeit, überprüfen zu lassen, ob die Speicherung des Startschlüssels erfolgreich war und ob Ihr System diese Information bei Gerätestart auch tatsächlich auslesen kann. Für diese Prüfung ist ein Neustart erforderlich, und wenn der Startschlüssel tatsächlich gelesen werden konnte, startet Windows Vista anschließend mit der Verschlüsselung der gesamten Partition. Konnte der Startschlüssel nicht gelesen werden, wird die Verschlüsselung nicht gestartet. 123
4 Schützen von Daten und Betriebssystemdateien Abbildung 4.50 Wiederherstellung konfigurieren Abbildung 4.51 Systemprüfung vor der BitLocker-Aktivierung 124
4.3 Partitionsverschlüsselung mit BitLocker Die Verschlüsselung kann je nach Größe der Partition recht lange dauern, allerdings kann während dieses Vorgangs (mit entsprechenden Leistungseinbußen) mit dem System weitergearbeitet werden. Ist die Verschlüsselung abgeschlossen, ist dies über die BitLocker- Konfigurationskonsole in der Systemsteuerung sichtbar. Zudem lassen sich dort jederzeit wieder Systemstart- und Wiederherstellungsschlüssel erstellen. Abbildung 4.52 BitLocker verwalten BitLocker kann jederzeit wieder deaktiviert werden, wenn die erhöhte Sicherheit nicht mehr benötigt wird. Die Funktion lässt sich auch temporär ausschalten, was beispielsweise dann Sinn macht, wenn das BIOS des Rechners aktualisiert werden muss. Wenn BitLocker während dieser Phase aktiviert ist, wird auf einem Gerät, das einen TPM-Chip nutzt, die Integritätsprüfung fehlschlagen, weil TPM denkt, dass unautorisierte Updates des BIOS vorgenommen worden sind. In diesem Fall müsste eine Wiederherstellung mit den erwähnten Methoden erfolgen, was im Firmenumfeld recht mühsam sein kann. Um das zu realisieren, verwendet Windows Vista einen neuen Schlüssel, der im Klartext abgespeichert wird. Die Daten bleiben im verschlüsselten Zustand, sind allerdings wegen des ungeschützten Schlüssels während dieser Zeit nicht wirklich sicher. Erst nach einer erneuten Aktivierung von BitLocker wird das Kennwort im Klartext wieder erneuert und in verschlüsselter Form abgelegt. Bei einer Entschlüsselung hingegen wird die gesamte Partition entschlüsselt, was wiederum viel Zeit in Anspruch nehmen kann. Diese Methode sollte demnach nur dann eingesetzt werden, wenn BitLocker anschließend nicht mehr verwendet wird. 125