{"id":211456,"date":"2018-11-07T00:54:39","date_gmt":"2018-11-06T23:54:39","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=211456"},"modified":"2022-11-23T07:14:20","modified_gmt":"2022-11-23T06:14:20","slug":"microsoft-security-advisory-notification-zu-bitlocker-auf-ssds-6-nov-2018","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/11\/07\/microsoft-security-advisory-notification-zu-bitlocker-auf-ssds-6-nov-2018\/","title":{"rendered":"Microsoft Security Advisory Notification ADV180028 zu Bitlocker auf SSDs (6. Nov. 2018)"},"content":{"rendered":"

[English<\/a>]Microsoft hat zum 6. November 2018 einen neuen Sicherheitshinweis (Security Advisory ADV180028) mit Hinweisen zur Hardware- bzw. Software-Verschl\u00fcsselung durch Bitlocker bei SSDs ver\u00f6ffentlicht. Das passt zu einem Thema, was ich vor wenigen Stunden in einem separaten Blog-Beitrag angesprochen habe.<\/p>\n

<\/p>\n

Hintergrundinformationen zum Sicherheitshinweis<\/h2>\n

\"\"Es geht um das Thema Bitlocker und softwarebasierende Verschl\u00fcsselung. Zu diesem Thema hatte ich vor wenigen Stunden den Blog-Beitrag SSD-Schwachstelle hebelt (Bitlocker) Verschl\u00fcsselung aus<\/a> ver\u00f6ffentlicht. Hier der Text des Security Advisory:<\/p>\n

* Microsoft Security Advisory ADV180028<\/p>\n

– Title: Guidance for configuring BitLocker to enforce software
\nencryption
\n– https:\/\/portal.msrc.microsoft.com\/en-us\/security-guidance\/advisory\/ADV180028<\/a>
\n– Reason for Revision: Information published.
\n– Originally posted: November 6, 2018
\n– Updated: November 6, 2018
\n– Version: 1.0<\/p>\n

Im Sicherheitshinweis reagiert Microsoft auf genau den von mir in obigem Beitrag angesprochenen Sachverhalt, dass Bitlocker-Verschl\u00fcsselung von SSD-Laufwerken unsicher ist, wenn die hardwaregest\u00fctzte Variante verwendet wird.<\/p>\n

Was besagt Security Advisory ADV180028?<\/h2>\n

Im Sicherheitshinweis ADV180028<\/a> best\u00e4tigt Microsoft, dass es Berichte zu einer Schwachstelle bei der Bitlocker-Verschl\u00fcsselung von SSD-Laufwerken gibt und gibt konkrete Hinweise.<\/p>\n

Microsoft is aware of reports of vulnerabilities in the hardware encryption of certain self-encrypting drives (SEDs). Customers concerned about this issue should consider using the software only encryption provided by BitLocker Drive Encryption\u2122. On Windows computers with self-encrypting drives, BitLocker Drive Encryption\u2122 manages encryption and will use hardware encryption by default. Administrators who want to force software encryption on computers with self-encrypting drives can accomplish this by deploying a Group Policy to override the default behavior. Windows will consult Group Policy to enforce software encryption only at the time of enabling BitLocker.<\/p><\/blockquote>\n

Die deutschsprachige Kurzfassung: Microsoft ist bekannt, dass es Schwachstellen bei der Hardwareverschl\u00fcsselung bestimmter selbstverschl\u00fcsselnder Laufwerke (SEDs, self encrypting devices) gibt. Kunden, die \u00fcber dieses Problem besorgt sind, sollten die Verwendung der softwarem\u00e4\u00dfigen Verschl\u00fcsselung durch BitLocker Drive Encryption\u2122 in Betracht ziehen.<\/p>\n

Auf Windows-Computern mit selbstverschl\u00fcsselnden Laufwerken verwaltet BitLocker Drive Encryption\u2122 die Verschl\u00fcsselung und verwendet standardm\u00e4\u00dfig die Hardwareverschl\u00fcsselung. Administratoren, die die Softwareverschl\u00fcsselung auf Computern mit selbstverschl\u00fcsselnden Laufwerken erzwingen m\u00f6chten, k\u00f6nnen dies durch die Bereitstellung einer Gruppenrichtlinie erreichen, die das Standardverhalten \u00fcberschreibt. Windows wird die Gruppenrichtlinie zur Durchsetzung der Softwareverschl\u00fcsselung nur zum Zeitpunkt der Aktivierung von BitLocker konsultieren.<\/p>\n

Wie pr\u00fcft man den Verschl\u00fcsselungsmodus?<\/h3>\n

Sofern eine SSD im System eingebaut ist, schl\u00e4gt Microsoft die Verwendung des Befehls manage-bde.exe \u2013status<\/em> in einer administrativen Eingabeaufforderung vor. Diesen Hinweis gab es gestern im Kommentar von Blog-Leser Bernhard Diener<\/a> bereits. Hier die Anweisungen von Microsoft.<\/p>\n

1. \u00d6ffnen Sie eine administrative Eingabeaufforderung (z.B. cmd <\/em>in der Suche eingeben und den Treffer \u00fcber den Kontextmen\u00fcbefehl Als Administrator ausf\u00fchren<\/em> aufrufen).<\/p>\n

2. In der Eingabeaufforderung den Befehl manage-bde.exe -status<\/em> ausf\u00fchren lassen und die Statusmeldungen durchgehen.<\/p>\n

Das K\u00fcrzel bde steht mutma\u00dflich f\u00fcr Bitlocker Device Encryption. Ich habe das Ganze mal unter Windows 7 SP1 und Windows 10 V1809 probiert, wohl wissend, dass dort keine Bitlocker-Verschl\u00fcsselung im Einsatz ist. Hier ist die Statusausgabe des Befehls:<\/p>\n

<\/p>\n

Wenn keiner der aufgef\u00fchrten Laufwerke \"Hardwareverschl\u00fcsselung\" im Feld Verschl\u00fcsselungsmethode meldet, dann verwendet dieses Ger\u00e4t Softwareverschl\u00fcsselung oder es gibt keine Bitlocker-Verschl\u00fcsselung. Dann ist die Maschine mit ihrem Laufwerken nicht von Schwachstellen betroffen, die bei selbstverschl\u00fcsselnden SSDs gerade bekannt geworden sind.<\/p>\n

Bei administrator.de<\/a> findet sich ein Post von DerWoWusste mit einem weiteren Hinweis auf manage-bde.exe.<\/p><\/blockquote>\n

Ich bin betroffen, was muss ich tun?<\/h2>\n

Falls mit Bitlocker verschl\u00fcsselte Laufwerke gemeldet werden, die eine Hardwareverschl\u00fcsselung verwenden, k\u00f6nnen Administratoren die Schwachstelle beheben, indem Sie in Bitlocker per Gruppenrichtlinie auf Softwareverschl\u00fcsselung umsteigen. Dazu schreibt Microsoft:<\/p>\n

Nachdem ein Laufwerk mit Hardwareverschl\u00fcsselung verschl\u00fcsselt wurde, erfordert der Wechsel zur Softwareverschl\u00fcsselung auf diesem Laufwerk, dass das Laufwerk zuerst unverschl\u00fcsselt und dann mit Softwareverschl\u00fcsselung wiederverschl\u00fcsselt wird.<\/p>\n

Wenn Sie BitLocker Drive Encryption verwenden, reicht es nicht aus, den Wert der Gruppenrichtlinie zu \u00e4ndern, um die Softwareverschl\u00fcsselung allein durchzusetzen, um bestehende Daten erneut zu verschl\u00fcsseln.<\/p><\/blockquote>\n

Um die durch die hardwarebasierende Verschl\u00fcsselung bedingte Schwachstelle zu beheben, sind folgende Schritte durchzuf\u00fchren:<\/p>\n

    \n
  1. Konfigurieren sie eine Gruppenrichtlinie zur Aktivierung der erzwungenen Softwareverschl\u00fcsselung und stellen Sie diese auf den betroffenen Laufwerken bereit.<\/li>\n
  2. Schalten Sie Bitlocker vollst\u00e4ndig aus, um die Entschl\u00fcsselung des Laufwerk zu erzwingen.<\/li>\n
  3. Nach der Entschl\u00fcsselung ist das Laufwerk wieder durch die Aktivierung von Bitlocker neu zu verschl\u00fcsseln.<\/li>\n<\/ol>\n

    An dieser Stelle r\u00e4umt Microsoft auch gleich ein Missverst\u00e4ndnis ab, welches ich im Blog-Beitrag SSD-Schwachstelle hebelt (Bitlocker) Verschl\u00fcsselung aus<\/a> angerissen habe \u2013 und was von Blog-Leser riedenthied in einem Kommentar<\/a> aufgegriffen wurde. Denn Microsoft schreibt:<\/p>\n

    WICHTIG: Sie m\u00fcssen das Laufwerk NICHT neu formatieren oder Anwendungen neu installieren, nachdem Sie die BitLocker-Einstellungen ge\u00e4ndert haben.<\/p><\/blockquote>\n

    Die Formatierung des SSD-Laufwerks, wie in meinem Artikel angegeben, ist also nicht erforderlich. Die Gruppenrichtlinien f\u00fcr Bitlocker sind in diesem Microsoft-Dokument<\/a> zu finden. Bei zus\u00e4tzlichen Fragen oder Unklarheiten ist ADV180028<\/a> von Microsoft zu Rate zu ziehen. Insgesamt muss man feststellen, dass Microsoft flugs reagiert hat.<\/p>\n

    Erg\u00e4nzung: Noch einige Gedanken<\/h3>\n

    Ich wurde gefragt, welche GPO die hardwaregest\u00fctzte Verschl\u00fcsselung regelt. Das m\u00fcsste diese\u00a0GPO<\/a>\u00a0sein, die sich auf die Verschl\u00fcsselungsmethode auswirkt. Martin Brinkmann hat auf ghacks.net eine detailliertere\u00a0Beschreibung zur GPO<\/a>\u00a0verfasst und nachfolgenden Screenshot gepostet.<\/p>\n

    \"force(Quelle: ghacks.net)<\/p>\n

    Aber die Geschichte wird noch mysteri\u00f6ser (imho).\u00a0Microsoft schreibt ja, dass die hardware basierende Verschl\u00fcsselung standardm\u00e4\u00dfig zur Anwendung kommt, sobald eine SSD diese unterst\u00fctzt. Die Optionen der Gruppenrichtlinie aus obigem Screenshot deuten auch in diese Richtung.<\/p>\n

    Jetzt gibt es aber\u00a0den Kommentar von @riedenthied<\/a>\u00a0– und ich habe einen gleichlautenden Hinweis von einem Consultant auf Facebook erhalten – dass auf den untersuchten Maschinen keine die hardwarebasierende Verschl\u00fcsselung nutzt.\u00a0Irgend eine Information fehlt uns da noch, oder keine Windows-Maschine kann die hardwarebasierende Verschl\u00fcsselung nutzen? Erg\u00e4nzung: Es gibt jetzt schon einige Theorien, warum die hardwarebasierende Verschl\u00fcsselung nicht aktiviert ist (obwohl doch Standard laut Microsoft). Eine schl\u00fcssige Antwort fehlt noch. Und noch ein Nachtrag – auch fefe hat sich des Thema angenommen<\/a> – Erkenntnisgewinn imho aber eher marginal (danke an Andreas E. f\u00fcr den Link).<\/p>\n

    \u00c4hnliche Artikel:<\/strong>
    \n    SSD-Schwachstelle hebelt (Bitlocker) Verschl\u00fcsselung aus<\/a>
    \n    Windows 10 V1803: Fix f\u00fcr Bitlocker-Bug im November 2018?<\/a>
    \n    Windows 10 V1803: Kein Backup f\u00fcr BitLocker-Wiederherstellungsinformationen in AD<\/a>
    \n    Neues Surface Book 2 Firmware-Update bringt ggf. Bitlocker-Problem<\/a>
    \n    Per Intel AMT am BIOS-\/Bitlocker-Passwort umgehen<\/a>
    \n    Windows 10 Version 1511: Clean Install blockt Bitlocker<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

    [English]Microsoft hat zum 6. November 2018 einen neuen Sicherheitshinweis (Security Advisory ADV180028) mit Hinweisen zur Hardware- bzw. Software-Verschl\u00fcsselung durch Bitlocker bei SSDs ver\u00f6ffentlicht. Das passt zu einem Thema, was ich vor wenigen Stunden in einem separaten Blog-Beitrag angesprochen habe.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[62,4328],"class_list":["post-211456","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-bitlocker","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/211456","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=211456"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/211456\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=211456"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=211456"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=211456"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}