09. 03. 2016, 21:40
(09. 03. 2016, 17:19)websurfer83 schrieb:(09. 03. 2016, 14:26)dt8.de schrieb:(09. 03. 2016, 10:49)websurfer83 schrieb: (*) Dagegen hilft nur die Verschlüsselung der HDD/SSD und das Aktivieren von Secure Boot. Eine Domänenmitgliedschaft erschwert den Angriff ebenfalls.
Eine Verschlüsselung hilft gegen Mitnehmen/Entwenden der Platte bzw. des Rechners, da sie nach Ausbau bzw. Neustart ohne Schlüssel nicht ausgelesen werden kann. Wenn der Rechner aber läuft und der Angriff auf den laufenden Rechner erfolgt, ist eine Verschlüsselung nutzlos. Der Dateisystemtreiber muß ja den Schlüssel zur Laufzeit haben, sonst könnte er ja nicht zugreifen.
Ich war letztes Jahr auf einer Security-Schulung bei einem sehr bekannten Sicherheitsdienstleister. Dort wurde ein Angriff gezeigt, der es mit einfachen Mitteln erlaubt, einen Windows-Rechner mit einem beliebigen Kennwort zu starten. Dagegen hilft die Verschlüsselung und das Aktivieren von Secure Boot sehr wohl. Auch bei einer Domänenmitgliedschaft ist dieser Angriff erschwert, da hier der DC die Authentifizierung vornimmt und physischer Zugang zum DC in aller Regel nicht besteht.
Wenn Du den Rechner so aufsetzt, daß er zum Starten eine Passworteingabe benötigt, wie willst Du so einen Rechner in einer Stadtbahn verbauen?
Außerdem sprechen wir hier nicht vom Hacken eines Rechners, auf den man physikalischen Zugriff hat - das war ja gerade der Fall, gegen den die Verschlüsselung unstrittig hilft.
Wir sprechen hier von einem Rechner, der läuft (nicht erst gestartet werden muß), irgendwo im Netz steht, und man den Angriff über das Netz macht. Da sucht und nutzt man Fehler in irgendwelchen bereits laufenden Anwendungen und braucht dann gar kein Passwort. Das ist eine ganz andere Art von Angriff.
Wenn der Sicherheitsdienstleister nicht auf den Unterschied eingegangen ist, dann war der entweder nicht gut, oder hat von vornherein gesagt, nur auf bestimmte Szenarien einzugehen.
Und um auf einen (unverschlüsselten) Windows-Rechner zu kommen, der vor mir steht, und dessen Platte auszulesen, brauche ich keinen Sicherheitsdienstleister. Habe ich schon mehrfach gemacht: Platte ausbauen, in anderen Rechner hängen, Datei mit den Logindaten bearbeiten (Passwort löschen), wieder in den ursprünglichen Rechner einbauen, booten, ohne Passwort anmelden.
Geht auch, wenn der Rechner vorher in einer Domäne war. Dagegen hilft nur eine verschlüsselte Platte. Darum geht es hier aber nicht.
Und genau ein solches "eine Domänenmitgliedschaft macht den Rechner sicherer" führt dazu, daß so viele Systeme eben doch unsicher sind.