2
Bitlocker in ESXi Windows VMs ohne TPM, ohne Kennwort Eingabe oder USB Stick mit o365 Domain und Azure Files
Hallo,
mal eine Idee für ein Home-Lab mit mehreren Windows 10 VMs und einer 2022 VM.
Das steht hin und wieder an ungesicherter Plätzen.
Es sind keine wilde Daten darauf. Es ist eher eine Prinzip-Frage.
Die Hardware hat kein TPM.
Also kann ich nicht einfach Hyper-V nehmen (was ich eh nicht will).
Unter ESX ist die Installation von VCenter und VTPMs fummelig und die Sicherheit ohne Hardware TPM unklar.
Promox speichert die Keys auch nur in einer unverschlüsselten Datei.
Es ist ein Grund-Problem.
Man benötigt das Kennwort zum entschlüsseln ja irgendwo her.
Hardware-TPM (nicht vorhanden), USB-Stick (kopierbar), Eingabe durch Benutzer (keiner vor Ort), Datei auf einem Netzwerklaufwerk (Henne-Ei-Problem).
Jetzt zur Idee
Statt die 2022 VM als AD zu nutzten, verwende ich o365 als AD.
Dazu Azure Files um per SMB die Schlüssel zu laden.
Damit nutze ich dann Bitlocker für alle VMs.
Siehe Nutzung von Bitlocker in virtuellen Maschinen
Wenn das mit einem lokalen File-Server geht, sollte es auch mit Azure Files gehen.
Damit wären die Schlüssel in einer gesicherten Umgebung (o365) und von den virtuellen Festplatten getrennt.
Jemand müsste beides Hacken um an die Daten zu kommen.
Meinungen?
Stefan
mal eine Idee für ein Home-Lab mit mehreren Windows 10 VMs und einer 2022 VM.
Das steht hin und wieder an ungesicherter Plätzen.
Es sind keine wilde Daten darauf. Es ist eher eine Prinzip-Frage.
Die Hardware hat kein TPM.
Also kann ich nicht einfach Hyper-V nehmen (was ich eh nicht will).
Unter ESX ist die Installation von VCenter und VTPMs fummelig und die Sicherheit ohne Hardware TPM unklar.
Promox speichert die Keys auch nur in einer unverschlüsselten Datei.
Es ist ein Grund-Problem.
Man benötigt das Kennwort zum entschlüsseln ja irgendwo her.
Hardware-TPM (nicht vorhanden), USB-Stick (kopierbar), Eingabe durch Benutzer (keiner vor Ort), Datei auf einem Netzwerklaufwerk (Henne-Ei-Problem).
Jetzt zur Idee
Statt die 2022 VM als AD zu nutzten, verwende ich o365 als AD.
Dazu Azure Files um per SMB die Schlüssel zu laden.
Damit nutze ich dann Bitlocker für alle VMs.
Siehe Nutzung von Bitlocker in virtuellen Maschinen
Wenn das mit einem lokalen File-Server geht, sollte es auch mit Azure Files gehen.
Damit wären die Schlüssel in einer gesicherten Umgebung (o365) und von den virtuellen Festplatten getrennt.
Jemand müsste beides Hacken um an die Daten zu kommen.
Meinungen?
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3600254300
Url: https://administrator.de/contentid/3600254300
Printed on: April 29, 2024 at 11:04 o'clock
2 Comments
Latest comment
Hi,
vielleicht verstehe ich auch falsch. Aber wodurch soll das Verfahren sicherer werden, wenn der Schlüssel in einer Cloud liegt?
Wenn ich Dich richtig verstanden habe, dann kommt es Dir doch darauf an, dass die VMs jederzeit ohne (weiteren) Admineingriff gestartet werden können? Also nach dem Einschalten der VM soll diese automatisch das OS hochfahren und die Datenlaufwerke entsperren. Oder?
Falls ja, dann laufen die VM's also dann und sind ab da über das laufende OS theoretisch angreifbar. Dieser Umstand ändert sich nicht dadurch, wie die mit Bitlocker verschlüsselten Laufwerke entsperrt wurden.
Wenn die VM's nicht laufen, dann sind die verschlüsselten Laufwerke auch nicht entsperrt. Die theoretische Angreifbarkeit z.B. über Brute Force Attack ist auch hier unabhängig davon, wie das Laufwerk entsperrt werden könnte.
Oder was sehe ich nicht?
E.
vielleicht verstehe ich auch falsch. Aber wodurch soll das Verfahren sicherer werden, wenn der Schlüssel in einer Cloud liegt?
Wenn ich Dich richtig verstanden habe, dann kommt es Dir doch darauf an, dass die VMs jederzeit ohne (weiteren) Admineingriff gestartet werden können? Also nach dem Einschalten der VM soll diese automatisch das OS hochfahren und die Datenlaufwerke entsperren. Oder?
Falls ja, dann laufen die VM's also dann und sind ab da über das laufende OS theoretisch angreifbar. Dieser Umstand ändert sich nicht dadurch, wie die mit Bitlocker verschlüsselten Laufwerke entsperrt wurden.
Wenn die VM's nicht laufen, dann sind die verschlüsselten Laufwerke auch nicht entsperrt. Die theoretische Angreifbarkeit z.B. über Brute Force Attack ist auch hier unabhängig davon, wie das Laufwerk entsperrt werden könnte.
Oder was sehe ich nicht?
E.
Hallo E,
es geht um einen Server der nicht in einem abgeschlossenem Raum steht.
Also könnte Jemand Zugriff auf die Hardware nehmen.
Jemand könnte ihn ausschalten, das BIOS-Kennwort zurücksetzen, von einem USB Stick booten, die VHDs und ggf. den USB Stick kopieren. Damit hätte derjenige Zugriff auf alle Daten.
Eine Kennwort Eingabe beim booten wäre sicher, aber unpraktisch.
Aktuell aber noch die beste Möglichkeit, weil das nicht so häufig passiert.
Ein TPM würde schützen. Solange der Angreifer nicht den ganzen Server mitnimmt.
Die Schlüssel auf den USB Stick speichern hilft nicht (siehe Oben).
Die Schlüsseldatei in der Cloud wäre quasi ein 2. Faktor.
Diesen 2. Faktor könnte ich jederzeit abschalten wenn der Server kompromitiert wäre.
Wobei ich noch nicht weiß ob das funktioniert.
Wenn derjenige Zugriff auf die OS hat, braucht er das alles nicht, weil er die Daten so kopieren kann.
Das spielt also keine Rolle.
Stefan
es geht um einen Server der nicht in einem abgeschlossenem Raum steht.
Also könnte Jemand Zugriff auf die Hardware nehmen.
Jemand könnte ihn ausschalten, das BIOS-Kennwort zurücksetzen, von einem USB Stick booten, die VHDs und ggf. den USB Stick kopieren. Damit hätte derjenige Zugriff auf alle Daten.
Eine Kennwort Eingabe beim booten wäre sicher, aber unpraktisch.
Aktuell aber noch die beste Möglichkeit, weil das nicht so häufig passiert.
Ein TPM würde schützen. Solange der Angreifer nicht den ganzen Server mitnimmt.
Die Schlüssel auf den USB Stick speichern hilft nicht (siehe Oben).
Die Schlüsseldatei in der Cloud wäre quasi ein 2. Faktor.
Diesen 2. Faktor könnte ich jederzeit abschalten wenn der Server kompromitiert wäre.
Wobei ich noch nicht weiß ob das funktioniert.
Wenn derjenige Zugriff auf die OS hat, braucht er das alles nicht, weil er die Daten so kopieren kann.
Das spielt also keine Rolle.
Stefan
