Windows 11 offiziell vorgestellt

Zitat von kues

Der wichtigste Unterschied dürfte Bitlocker sein. Wer will seinen Windows Laptop schon unverschlüsselt mitnehmen.

https://www.microsoft.com/de-d…s-11-home-vs-pro-versions

https://www.heise.de/newsticke…en-Editionen-2734248.html

Verstehe ich nicht.

Geräteverschlüsselung (in Home und Pro) und Bitlocker-Geräteverschlüsselung (nur Pro), ist das auf den ersten Blick nicht irgendwie dasselbe?

Abgesehen davon, Geräte kann man nicht verschlüsseln, nur Daten. Und diese sind entweder verschlüsselt, oder eben nicht.

Lt. Microsoft Marketinggeblubber greift Bitlocker nur bei Diebstahl und Verlust.

Die Geräteverschlüsselung (Die ohne Bitlocker) schützt aber schon vor unautorisiertem Zugriff auf Gerät und Daten.

Bitlocker "sperrt" nur, müsste dafür aber den Verlust oder Diebstahl erkennen, wie immer das auch gehen soll. (Meiner Meinung nach in wirksamer Weise unmöglich.)

Worauf ich hinaus will, wenn die "einfache" Geräteverschlüsselung (schon in Home mit dabei) hält was sie verspricht, dann ist Bitlocker doch komplett überflüssig.

Zitat von tobmobile

Die Geräteverschlüsselung (Die ohne Bitlocker) schützt aber schon vor unautorisiertem Zugriff auf Gerät und Daten.

Welche Geräteverschlüsselung soll das sein? Neu in Win 11?

Zitat von tobmobile

Verstehe ich nicht.

...

Worauf ich hinaus will, wenn die "einfache" Geräteverschlüsselung (schon in Home mit dabei) hält was sie verspricht, dann ist Bitlocker doch komplett überflüssig.

Home kann meines Wissens nur mitBitlocker verschlüsselte USB-Laufwerke entschlüsseln. Die Verschlüsselung der Systempartition etc. geht nur ab Pro aufwärts. Im Falle eines Diebstahls kann der Dieb nicht die Daten auslesen, insofern ein Bitlocker-Passwort gesetzt werden und nicht nur das TPM (und ohne Windows-Kennwort) verwendet wird.

/Edit: Ich habe eben nochmal nachgelesen und die Geräteverschlüsselung verschlüsselt ebenfalls die Systempartition. Im Gegensatz zu Bitlocker ist TPM 2.0 und ein MS-Konto notwendig. Klingt wie ein abgespecktes Bitlocker.

Zitat von Mozart40

/Edit: Ich habe eben nochmal nachgelesen und die Geräteverschlüsselung verschlüsselt ebenfalls die Systempartition. Im Gegensatz zu Bitlocker ist TPM 2.0 und ein MS-Konto notwendig. Klingt wie ein abgespecktes Bitlocker.

Wärst Du bitte so nett, eine Quelle (wenn allgemein verfügbar) anzugeben?

TPM verschlüsselt im Übrigen tatsächlich die Systempartition. Das hat aber nur zur Folge, dass die Platte nicht in fremden Geräten ausgelesen werden kann. Auf dem Gerät, in dem der zugehörige TPM-Chip verbaut ist, bietet diese Form der Verchlüsselung natürlich keinen Schutz.

Edit:

Ohne Bitlocker ist m.W. aber auch diese Funktion nicht nutzbar. Zudem ist ein gewisses Maß an Sicherheit nur zu erreichen, wenn das System eine Pre-Boot-Authentication bietet. Bitlocker kann das.

Wenn die Aussage zu finden ist, dass Bitlocker nur für den Fall eines Diebstahls nützlich ist, mag vielleicht folgendes dahinterstehen:

Ist das System aktiv oder nur im Energiesparmodus, kann Bitlocker aufgrund erfolgter Entsperrung natürlich keinen Schutz bieten. Geht man davon aus, dass Geräte gestohlen werden, die heruntergefahren sind, besteht der Schutz.

Zitat von frank_aus_wedau

Ich hoffe, dass mittel- bis langfristig "Workarounds" existieren, die derartiges dauerhaft entbehrlich machen.

Die Anmeldung an einem eigenen Domain-Controller sollte das bewirken.

Allerdings: Es ist zwar ärgerlich, dass auch Microsoft demnächst auf eine Anmeldung an einem MS-Konto besteht, aber bei Android (Google) und iOS (Apple) ist das bereits seit Jahrzehnten notwendig.

Zitat von frank_aus_wedau

Wärst Du bitte so nett, eine Quelle (wenn allgemein verfügbar) anzugeben?

...

Gern, das steht direkt bei Microsoft. Leider etwas verklausuliert, was gern bei maschinell übersetzen Texten bei denen passiert.

Zitat

...

Im Gegensatz zu einer standardmäßigen BitLocker-Implementierung wird die BitLocker-Geräteverschlüsselung automatisch aktiviert, sodass das Gerät immer geschützt ist.

...

• Im Rahmen dieser Vorbereitung wird die BitLocker-Geräteverschlüsselung auf dem Betriebssystemlaufwerk und den Festplattenlaufwerken auf dem Computer mit einem unverschlüsselten Schlüssel initialisiert (dies entspricht dem Standardmäßigen BitLocker-Angehalten-Zustand). In diesem Zustand wird das Laufwerk mit einem Warnsymbol im Windows Explorer angezeigt. Das gelbe Warnsymbol wird entfernt, nachdem die TPM-Schutzkomponente erstellt wurde und der Wiederherstellungsschlüssel gesichert wird, wie in den folgenden Aufzählungspunkten erläutert.
• Wenn das Gerät keiner Domäne angehört, ist ein Microsoft-Konto erforderlich, das über Administratorrechte auf dem Gerät verfügt. ...

Das es explizit TPM2.0 sein muss finde ich gerade nicht wieder, passt aber zu den Systemanforderungen von Windows 11, wo das dann ohne TPM2.0 voraussichtlich nicht funktionieren wird.

Man hat also nicht die Möglichkeit, wir bei Bitlocker, selbst den Schlüssel zu sichern. Das geht nur im Konto.

Zitat von frank_aus_wedau

...

TPM verschlüsselt im Übrigen tatsächlich die Systempartition. ...

Ähm, nein. TPM verschlüsselt nichts.

Zitat von Mozart40

Ich stecke so ein bisschen in der Thematik. Aber wo soll das Problem sein?

Funktioniert im Zweifel schon, Microsoft ist ja nicht blöd. Aber es soll da große Konzerne geben, wo die Admins nach Jahren der Windowsmonokultur Probleme haben MacOS Rechner nahtlos (sprich ohne dass es auffällt) in die MS365/Teams/Domänen etc pp Umgebung einzubinden. Ich selbst kenne mich mit dem modernen Microsoft Enterprise Spaß nicht mehr wirklich aus.

Zitat von frank_aus_wedau

Wenn die Aussage zu finden ist, dass Bitlocker nur für den Fall eines Diebstahls nützlich ist, mag vielleicht folgendes dahinterstehen:

Ist das System aktiv oder nur im Energiesparmodus, kann Bitlocker aufgrund erfolgter Entsperrung natürlich keinen Schutz bieten. Geht man davon aus, dass Geräte gestohlen werden, die heruntergefahren sind, besteht der Schutz.

Das "nur" sagt Microsoft nicht.

Siehe selbst: https://www.microsoft.com/de-d…s-11-home-vs-pro-versions

Aber aktive Geräte werden nicht geklaut? Wäre illusorisch sowas anzunehmen. Z.B. im Cafe seinen Namen gehört und kurz umgedreht, und wenn man sich zurückdreht steht der eingeschaltete Laptop nicht mehr auf dem Tisch.

Zitat

Geht man davon aus, dass Geräte gestohlen werden, die heruntergefahren sind, besteht der Schutz.

Hat die Geräteverschlüsselung im heruntergefahrenen Zustand nicht auch diesen Schutz? Ansonsten wäre diese Aussage von MS eine glatte Lüge:

Zitat

Geräteverschlüsselung
Wenn Sie die Geräteverschlüsselung aktivieren, können nur autorisierte Personen auf Ihr Gerät und Ihre Daten zugreifen.⁴

Windows 11 22H2

Kommen morgen ab 17 Uhr Infos zur Version 22H2/Sun Valley 2?

Schließen Sie sich dem Vorsitzenden und CEO Satya Nadella und dem Windows Executive VP und Chief Product Officer Panos Panay an und tauchen Sie ein in die aufregende Zukunft der hybriden Arbeit. Finden Sie heraus, wie Windows das Geschäft unserer Kunden vom Kunden in die Cloud weiterleitet.

Außerdem demonstrieren drei Breakout-Sitzungen Windows-Tools für Produktivität und Zusammenarbeit, Verwaltung und Sicherheit.

https://www.microsoft.com/en-u…siness/event?ranMID=46131

Zitat von tobmobile

Das "nur" sagt Microsoft nicht.

Siehe selbst: https://www.microsoft.com/de-d…s-11-home-vs-pro-versions

Aber aktive Geräte werden nicht geklaut? Wäre illusorisch sowas anzunehmen. Z.B. im Cafe seinen Namen gehört und kurz umgedreht, und wenn man sich zurückdreht steht der eingeschaltete Laptop nicht mehr auf dem Tisch.

Auf das konkrete Problem geht MS nicht explizit ein. Aus meiner Sicht ist es jedoch schon ein Gebot der Logik, dass Dateien auf einem entsperrten Gerät entsprechend dem aktiven Benutzerkonto einsehbar sind.

Ein minimaler Schutz besteht, wenn sich der Bildschirmschoner aktiviert hat oder sich das Gerät im Standby (unabhängig von welchem) befindet. In diesem Fall müsste (nur) das allgemeine Windows-Passwort umgangen werden.

Ein voller Schutz kann m.E. überhaupt nur bestehen, wenn das Gerät ausgeschaltet ist oder sich im Ruhemodus befindet. Und auch nur dann, wenn Bitlocker richtig konfiguriert und die Preboot-Authentication (PIN) aktiviert ist. Das gilt m.W. auch für jede andere Form einer Geräteverschlüsselung.