blakedarko
Goto Top

Server Bitlocker Verschlüsseln (Kein TPM Modul)

Hallo liebe Community,

ich habe ein paar Fragen zu Bitlocker Verschlüsselung auf zwei Servern.

Szenario:

2 Server, beide Windows Server 2016 -> Aktueller Patch Stand.

Einer der beiden Server ist ein DC. Hier soll eine andere Partition als die System Partition verschlüsselt werden (Laufwerk Dface-smile

und ein SQL Server, auf dem auch eine andere Partition Verschlüsselt werden soll als die System Partition (Laufwerk Dface-smile

meine Fragen:

1. Da beide Geräte kein TPM Modul haben, müsste bei jedem Neustart ein PIN eingegeben werden um die Laufwerke zu entschlüsseln, ist das so korrekt?
2. Entschlüssele ich die Partitionen beim Systemstart dann oder müsste dies nachträglich passieren, wenn Windows gebooted wurde?
3. Bei dem SQL Server soll das Volumen mit der DB verschlüsselt werden. Kann es hier zu Problemen kommen mit der Datenbank?


Über evtl. Erfahrungsberichte würde ich mich freuen!

Blake

Content-Key: 499973

Url: https://administrator.de/contentid/499973

Ausgedruckt am: 28.03.2024 um 10:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 30.09.2019 um 12:48:52 Uhr
Goto Top
Moin.

Es ist sehr fragwürdig, nur d: zu verschlüsseln, da der Schutz für d: auf diese Weise nur oberflächlich, quasi "gut gemeint" sein kann.
Nenn mir mal die Mainboardtypen der Server - vielleicht erlauben diese die Verwendung von Intel PTT (TPM-Emulation als Teil der Management Engine). In jedem Fall wirst Du, falls es Serverhardware ist, ein TPM nachbestellen können.

Ohne TPM ist das nahezu Unsinn bei Servern.
Mitglied: ipzipzap
Lösung ipzipzap 30.09.2019 um 12:59:50 Uhr
Goto Top
Zitat von @DerWoWusste:
Ohne TPM ist das nahezu Unsinn bei Servern.

Warum? Ich habe Server (gewünscht) so laufen, das nur die Datenpartition verschlüsselt ist und man die nach einem Reboot erst manuell entsperren muß. Wenn jemand den Server rausträgt, sind die wichtigen Dinge also doch dann verschlüsselt. Wenn die per TPM automatisch entsperrt würden, könnte der neue Besitzer doch direkt überall ran.

cu,
ipzipzap
Mitglied: BlakeDarko
BlakeDarko 30.09.2019 um 13:01:56 Uhr
Goto Top
HI,

danke, das beantwortet ja schon einmal die Frage mit dem manuellen Entschlüsseln. Danke dafür!
Mitglied: ipzipzap
ipzipzap 30.09.2019 um 13:06:38 Uhr
Goto Top
Zitat von @BlakeDarko:
danke, das beantwortet ja schon einmal die Frage mit dem manuellen Entschlüsseln. Danke dafür!

Man kann den Key auch auf einem USB-Stick abspeichern anstatt in einem TPM. Also so lange der Stick dann dransteckt, fährt der Server automatisch hoch ohne PIN-Abfrage.

cu,
ipzipzap
Mitglied: DerWoWusste
DerWoWusste 30.09.2019 aktualisiert um 13:11:39 Uhr
Goto Top
@ipzipzap
Ich schrieb "nahezu", da ich nicht davon ausgehe, dass jemand einen ernsthaften Server betreibt, der immer manuellen Eingriff erfordert. Denk bitte mal an Abstürze, die sich ereignen könnten, wenn Du nicht da bist.
Wenn die per TPM automatisch entsperrt würden, könnte der neue Besitzer doch direkt überall ran.
Wie kommst Du darauf? Der Serverlogon ist doch notwendig zum Zugriff und da kommt der Dieb nicht weit.
Man kann den Key auch auf einem USB-Stick abspeichern anstatt in einem TPM. Also so lange der Stick dann dransteckt, fährt der Server automatisch hoch ohne PIN-Abfrage.
Bitte? Wann würdest Du diesen Schlüssel denn überhaupt abziehen, jeden Feierabend?

@blake
mein Angebot steht.
Mitglied: ipzipzap
ipzipzap 30.09.2019 aktualisiert um 13:18:06 Uhr
Goto Top
Zitat von @DerWoWusste:

@ipzipzap
Ich schrieb "nahezu", da ich nicht davon ausgehe, dass jemand einen ernsthaften Server betreibt, der immer manuellen Eingriff erfordert. Denk bitte mal an Abstürze, die sich ereignen könnten, wenn Du nicht da bist.

Sicher, aber das war so explizite Vorgabe, da immer jemand zum entsperren verfügbar bzw. vor Ort wäre. Falls nach Murphy dann aber wirklich doch niemand da ist, dann kommt man noch Remote drauf, da der Server ja noch bootet, weil ja nur die Datenpartition verschlüsselt ist. Läuft jetzt so schon seit über fünf Jahren und noch keine Beschwerden gehört.


Wenn die per TPM automatisch entsperrt würden, könnte der neue Besitzer doch direkt überall ran.
Wie kommst Du darauf? Der Serverlogon ist doch notwendig zum Zugriff und da kommt der Dieb nicht weit.

Aber das stellt doch dann schon kein ernsthaftes Hindernis mehr da, wenn man schon so weit kommt.


Man kann den Key auch auf einem USB-Stick abspeichern anstatt in einem TPM. Also so lange der Stick dann dransteckt, fährt der Server automatisch hoch ohne PIN-Abfrage.
Bitte? Wann würdest Du diesen Schlüssel denn überhaupt abziehen, jeden Feierabend?

Ich habe nur beschrieben, das es geht. Bitlocker läßt das ja so offiziell zu. ICH würde diesen Schlüssel dann aber an einer langen USB-Verlängerung in der Wand einmauern *g*

cu,
ipzipzap
Mitglied: DerWoWusste
DerWoWusste 30.09.2019 aktualisiert um 13:29:54 Uhr
Goto Top
Du kannst das gerne so machen mit der Passworteingabe. Sonderlich sicher ist es nicht, da jeder c: manipulieren kann, so dass er Admin ist und von da aus ist der Weg zu D: ein kurzer, sei es, dass man einfach einen weiteren Recoverykey für d: per Skript setzt.

Von wegen "ernsthaftes Hindernis" - natürlich ist das ein ernsthaftes Hindernis. Beispiel: wenn Du keinen Weg findest, an der Anmeldemaske einzudringen (brute force ist hier nicht möglich), dann bleibt nur, den Schlüssel aus dem RAM zu extrahieren ("Cold-Boot-Attack") - das muss man erst einmal können. Ebenso könnte man eine DMA-Attacke fahren (welche aber mit geeigneten GPOs schon unmöglich gemacht wird) oder den TPM selbst angreifen. Letzteres ist auch ein ernsthaftes Hindernis, um mal den Aufwand einzuschätzen, siehe https://pulsesecurity.co.nz/articles/TPM-sniffing

ICH würde diesen Schlüssel dann aber an einer langen USB-Verlängerung in der Wand einmauern *g*
Echt? Dann kommt der Angreifer mit seinem Laptop und steckt das freie Ende bei sich ein und kopiert den Schlüssel.
Mitglied: ipzipzap
ipzipzap 30.09.2019 um 13:42:24 Uhr
Goto Top
Zitat von @DerWoWusste:

Du kannst das gerne so machen mit der Passworteingabe. Sonderlich sicher ist es nicht, da jeder c: manipulieren kann, so dass er Admin ist und von da aus ist der Weg zu D: ein kurzer, sei es, dass man einfach einen weiteren Recoverykey für d: per Skript setzt.

Wie willst Du einen RecoveryKey setzen, wenn das Laufwerk gesperrt ist?

ICH würde diesen Schlüssel dann aber an einer langen USB-Verlängerung in der Wand einmauern *g*
Echt? Dann kommt der Angreifer mit seinem Laptop und steckt das freie Ende bei sich ein und kopiert den Schlüssel.

Ok, das war jetzt nicht so ganz ernst gemeint face-big-smile

cu,
ipzipzap
Mitglied: DerWoWusste
DerWoWusste 30.09.2019 aktualisiert um 13:54:52 Uhr
Goto Top
Wie willst Du einen RecoveryKey setzen, wenn das Laufwerk gesperrt ist?
Es artet aus. Diese Fragen sind Standard seit Jahr und Tag, die Antworten sind bekannt und die Schlussfolgerungen sind bekannt.
Ja, du kannst einen Key nur auf eine gemountete Partition setzen, das ist klar. Aber deine Herangehensweise begünstigt Evil-Maid-Angriffe, die lediglich 2x Zugang zum Serverraum erfordern: Server resetten, in c: eindringen, Skript platzieren, abhauen. Du kommst, entsperrst d:, Skript setzt Recoverykey auf d: und beim nächsten Zugang zum Serverraum bin ich drin.
Für das Szenario "Einbrecher", der gewaltsam den Serverraum öffnet und natürlich bemerkt wird (Schloss kaputt, Server weg) ist deine Methode gut.

Ich habe hier im Einsatz beide Methoden kombiniert:
c: mittels TPM geschützt
d: wird erst nach dem Start automatisch per Skript, welches im Netzwerk auf einem Server liegt, der physikalisch perfekt gesichert ist, entsperrt

Das bietet meiner Meinung nach den besten Schutz und gleichzeitig erfordert es keinen manuellen Eingriff.
Mitglied: ipzipzap
ipzipzap 30.09.2019 aktualisiert um 14:01:17 Uhr
Goto Top
Zitat von @DerWoWusste:
Aber deine Herangehensweise begünstigt Evil-Maid-Angriffe, die lediglich 2x Zugang zum Serverraum erfordern: Server resetten, in c: eindringen, Skript platzieren, abhauen. Du kommst, entsperrst d:, Skript setzt Recoverykey auf d: und beim nächsten Zugang zum Serverraum bin ich drin.

Das ist klar, aber darum ging es ja nicht.

Für das Szenario "Einbrecher", der gewaltsam den Serverraum öffnet und natürlich bemerkt wird (Schloss kaputt, Server weg) ist deine Methode gut.

Eben.

c: mittels TPM geschützt
d: wird erst nach dem Start automatisch per Skript, welches im Netzwerk auf einem Server liegt, der physikalisch perfekt gesichert ist, entsperrt

Gut, so mache ich das anderswo nämlich teilweise auch, nur halt gänzlich ohne TPM. Somit erübrigt sich dann auch das lange USB-Kabel ;-P

cu,
ipzipzap
Mitglied: BlakeDarko
BlakeDarko 30.09.2019 aktualisiert um 15:38:07 Uhr
Goto Top
@blake
mein Angebot steht.

Es handelt sich um 2 Virtuelle Maschinen (habe ich vergessen zu erwähnen). Der Host ist ein Dell PowerEdge R740.
Mitglied: DerWoWusste
DerWoWusste 30.09.2019 um 16:57:27 Uhr
Goto Top
Virtuelle Maschinen auf welchem Hypervisor und welche Version des Hypervisors?
Mitglied: DerWoWusste
DerWoWusste 30.09.2019 aktualisiert um 20:13:32 Uhr
Goto Top
Dein Server hat laut https://www.dell.com/en-us/work/shop/povw/poweredge-r740 TPM 1.2/2.0, TCM 2.0 optional
Als erstes solltest Du dich entscheiden, ob Du den Host nicht auch gleich verschlüsselst - das würde ich tun. Da er einen TPM hat, ist das alles ganz simpel, wenn man davon ausgeht, dass Du Hyper-V benutzt. Wenn nicht, sieht das anders aus.
Mitglied: UweGri
UweGri 30.09.2019 um 22:26:32 Uhr
Goto Top
A Sicherheit ist nie Bequem B Sicherheit muss geschachtelt sein

BL auf allen Partitionen, bei den Daten noch EFS

Ein TPM ist heutzutage nicht mehr zu empfehlen, da es zu unsicher ist, blockiert werden könnte.

Chiffrierung bei einem Server, der immer läuft, ist fast ohne Sinn. OK, bei aktivem EFS würde ein PW größer 20 Stellen ein gewaltiges Hindernis sein.