TPM- und Bitlocker-Sicherheit

Auf einem Computer, auf dem Windows mit einem Hardware-TPM ausgeführt wird, kann Bitlocker aktiviert werden, während der Computer das Laufwerk beim Start entsperrt, ohne nach dem Kennwort zu fragen. Wenn also ein Laufwerk gestohlen wird oder ein Hacker zusammen mit dem passenden TPM-Modul oder Motherboard auf es zugreift, kann der Dieb / Hacker dann alle Daten entwurfsgemäß entschlüsseln? Also schützt der Bitlocker + TPM nur, wenn nur das Laufwerk selbst gestohlen wird / darauf zugegriffen wird?

Solange die an das Mainboard angeschlossene Hardware identisch ist, dienen yes.TPM-Module dazu, ein verschlüsseltes Laufwerk gegen Ihre aktuelle Hardware (Mainboard, PCI-Karte, ...) und Low-Level-Software (UEFI / BIOS-Version und andere Firmware) und stellen so die Integrität des Systems sicher. Sie werden auch verwendet, um zu zählen, wie oft in einer Reihe Sie die PIN falsch eingegeben haben und zum Beispiel nach dem dritten Mal können Sie nicht mehr auf Ihre Schlüssel zugreifen und sie können auch speichern andere Schlüssel für Sie, die dann auch an eine Bedingung gebunden sein können. Sie können auch mehr oder weniger sichere Schlüsselerstellungsaufgaben für Sie ausführen, einen Hash verschlüsseln, zum Beispiel zum Erstellen einer Signatur, und viele andere Dinge.

Um Ihr TPM-Modul nützlicher zu machen, können Sie beispielsweise eine PIN und / oder ein Passwort festlegen.

Übersicht: https://technet.microsoft.com/library/cc732774.aspx

Hilfreiche Anleitungen: https://www.windowscentral.com/how-use-bitlocker-encryption-windows-10

https://www.howtogeek.com/262720/how-to-enable-a-pre-boot-bitlocker-pin-on-windows/

Weitere Optionen (z. B. Ändern der Sperrdauer):

https://technet.microsoft.com/en-us/library/dn466535(v=ws.11).aspx

https://technet.microsoft.com/en-us/library/dd851452(v=ws.11).aspx

Für fast alle vorhandenen Optionen: https://docs.microsoft.com/en-us/windows/device-security/bitlocker/bitlocker-group-policy-settings