Microsoft macht wiederholt und unmissverständlich klar, dass nur eine Vorabauthentifizierung von BitLocker auch ausreichend sicher ist und dem heutigen Anspruch an eine notwendige IT Sicherheit gerecht wird. Weitere Aussagen und Details finden Sie unter dem unten stehenden LINK.

Quelle: BitLocker-Gegenmaßnahmen – Windows Security | Microsoft Learn

Windows verwendet Hardwarelösungen und Sicherheitsfeatures, die BitLocker-Verschlüsselungsschlüssel vor Angriffen schützen. Zu diesen Technologien gehören Trusted Platform Module (TPM). Damit eine Festplattenverschlüsselung mit BitLocker sicher ist, muss eine Vorabauthentifizierung (PreBoot Authentication) erfolgen.

Vorabstartauthentifizierung

Die Vorabstartauthentifizierung mit BitLocker kann die Verwendung von Benutzereingaben wie einer PIN, einem Startschlüssel oder beidem erfordern, um sich zu authentifizieren, bevor der Inhalt des Systemlaufwerks zugänglich gemacht wird.

BitLocker greift erst nach Abschluss der Vorabstartauthentifizierung auf die Verschlüsselungsschlüssel im Arbeitsspeicher zu und speichert sie. Wenn Windows nicht auf die Verschlüsselungsschlüssel zugreifen kann, kann das Gerät die Dateien auf dem Systemlaufwerk nicht lesen oder bearbeiten. Die einzige Möglichkeit zum Umgehen der Vorabstartauthentifizierung ist die Eingabe des Wiederherstellungsschlüssels (BitLocker Recovery Key).
Die Vorabstartauthentifizierung soll verhindern, dass die Verschlüsselungsschlüssel in den Systemspeicher geladen werden, ohne dass der vertrauenswürdige Benutzer einen anderen Authentifizierungsfaktor angibt. Dieses Feature hilft, DMA- und Speicher-Remanenz-Angriffe zu minimieren.

 Nachteile der Microsoft Vorabstartauthentifizierung:

Andererseits können Preboot-Authentifizierungsaufforderungen für Benutzer unpraktisch sein. Darüber hinaus wird Benutzern, die ihre PIN vergessen oder ihren Startschlüssel verlieren, der Zugriff auf ihre Daten verweigert, bis sie sich an das Supportteam ihrer Organisation wenden können, um einen Wiederherstellungsschlüssel zu erhalten. Die Vorabstartauthentifizierung kann auch das Aktualisieren unbeaufsichtigter oder remote verwalteter Geräte erschweren, da eine PIN eingegeben werden muss, wenn ein Gerät neu gestartet oder aus dem Ruhezustand fortgesetzt wird.

 Vorteile mit Secure Disk Vorabstartauthentifizierung (PBA):

Secure Disk sorgt dafür, dass sich der Benutzer mit seinen bekannten Windows Anmeldedaten bereits in der PreBoot Phase anmelden kann und mittels integrierter Single SignOn-Funktion automatisch am Windows Betriebssystem angemeldet wird. Darüber hinaus kann die Sicherheit noch durch eine 2-Faktor Authentisierung oder eine OTP (One Time Password) erhöht werden, dies stellt einen weiteren Schritt in Richtung passwordless Authentication da.

Nachteile der Microsoft Netzwerkentsperrung:

Um die o.g. Nachteile der Microsoft Vorabauthentisierung zu beheben, kann die BitLocker-Netzwerkentsperrung bereitgestellt werden. Die Netzwerkentsperrung ermöglicht es Systemen, die die Hardwareanforderungen erfüllen und BitLocker mit TPM+PIN aktiviert haben, ohne Benutzereingriff in Windows zu starten. Es ist eine direkte physikalische Ethernet-Verbindung am Client mit einem Windows Deployment Services-Server (WDS) erforderlich.

Vorteile mit Secure Disk for BitLocker PreBoot Authentisierung:

Secure Disk unterstützt mit seiner integrierten Netzwerkentsperrung die notwendige sichere NAC-Authentisierung durch die Integration des Standards IEEE 802.1X. Somit wird die Netzwerkauthentifizierung erst stattfinden, wenn Secure Disk ein gültiges Zertifikat präsentiert hat. Ebenso ist es unnötig den TPM+PIN Protektor zu aktivieren, da Secure Disk über eine eigene PBA verfügt und sich der Benutzer immer mit seinen bekannten Windows credentials anmelden kann.