6
2 Faktor Authentifizierung mit Sophos Safeguard Bitlocker
Hallo Zusammen,
ich habe vor 2 Jahren bereits teilweise eine 2 Faktor Authentifizierung mit Safeguard eingeführt. War ein ziemlicher Aufwand und so eine richtig schicke Lösung war es auch nicht.
Diese Jahr steht wieder das Audit an und soll auch im größeren Umfang ausgerollt werden. Da diese Jahr auch nun der Umstieg auf Windows 10 bevorsteht, fällt das Safeguard mehr oder weniger weg und dient nur noch als Zusatz für Bitlocker. Dieser übernimmt nun die Hauptaufgabe der Verschlüsselung. Jetzt ist die Frage, ob jemand hier eine praktische Lösung mit Safeguard und Bitlocker umgesetzt hat auf Basis von USB-Sticks? Was ist hier im Einsatz und wie funktioniert die zentrale Verwaltung von den Dingern?
Danke!
ich habe vor 2 Jahren bereits teilweise eine 2 Faktor Authentifizierung mit Safeguard eingeführt. War ein ziemlicher Aufwand und so eine richtig schicke Lösung war es auch nicht.
Diese Jahr steht wieder das Audit an und soll auch im größeren Umfang ausgerollt werden. Da diese Jahr auch nun der Umstieg auf Windows 10 bevorsteht, fällt das Safeguard mehr oder weniger weg und dient nur noch als Zusatz für Bitlocker. Dieser übernimmt nun die Hauptaufgabe der Verschlüsselung. Jetzt ist die Frage, ob jemand hier eine praktische Lösung mit Safeguard und Bitlocker umgesetzt hat auf Basis von USB-Sticks? Was ist hier im Einsatz und wie funktioniert die zentrale Verwaltung von den Dingern?
Danke!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 414813
Url: https://administrator.de/forum/2-faktor-authentifizierung-mit-sophos-safeguard-bitlocker-414813.html
Ausgedruckt am: 14.04.2025 um 17:04 Uhr
6 Kommentare
Neuester Kommentar
Moin,
die Frage ist, braucht ihr SafeGuard noch?
Schaue einmal unter nachfolgendem Link.
Der Kollege @DerWoWusste beschäftigt sich schon lange ausgiebig mit bitlocker und hat das mal (freundlicherweise und DANK an dieser Stelle) hier mal alles zusammengetragen.
Meine Wissenssammlung zu Bitlocker
Vielleicht funktioniert das bei euch ja auch ohne Probleme
Gruß
em-pie
die Frage ist, braucht ihr SafeGuard noch?
Schaue einmal unter nachfolgendem Link.
Der Kollege @DerWoWusste beschäftigt sich schon lange ausgiebig mit bitlocker und hat das mal (freundlicherweise und DANK an dieser Stelle) hier mal alles zusammengetragen.
Meine Wissenssammlung zu Bitlocker
Vielleicht funktioniert das bei euch ja auch ohne Probleme
Gruß
em-pie
Hallo em-pie,
die Frage habe ich mir auch schon gestellt. Theoretisch bräuchte man Safeguard dann nicht mehr. Hierdrüber würde ich mit Windows 10 dann lediglich die Recovery-Keys zentral verwalten (was an sich eine schicke Sache ist), aber hätte dann keinen weiteren Einsatz mehr.
Ich habe mir den Artikel durchgelesen, ist schon bemerkenswert, wie viel Wissen hier drin steckt. Bedeutet für mich im Umkehrschluss, dass ich mir dann eine Lösung suchen muss, die Bitlockergeräte zentral zu verwalten (MBAM?) und aber auch eine 2fA mit Tokens umsetzen kann, die auch zentral verwaltbar ist. Hier habe ich leider noch keinerlei Erfahrungen. Im Artikel ist hiervon jedoch nicht viel erwähnt.
die Frage habe ich mir auch schon gestellt. Theoretisch bräuchte man Safeguard dann nicht mehr. Hierdrüber würde ich mit Windows 10 dann lediglich die Recovery-Keys zentral verwalten (was an sich eine schicke Sache ist), aber hätte dann keinen weiteren Einsatz mehr.
Ich habe mir den Artikel durchgelesen, ist schon bemerkenswert, wie viel Wissen hier drin steckt. Bedeutet für mich im Umkehrschluss, dass ich mir dann eine Lösung suchen muss, die Bitlockergeräte zentral zu verwalten (MBAM?) und aber auch eine 2fA mit Tokens umsetzen kann, die auch zentral verwaltbar ist. Hier habe ich leider noch keinerlei Erfahrungen. Im Artikel ist hiervon jedoch nicht viel erwähnt.
Moin.
Beschreibe mal, was die 2FA leisten soll.
Bitlocker bietet, wie im Artikel steht, einige Kombis an, zum Beispiel:
TPM+PIN
TPM+PIN+USB
das sollte doch passen.
Beschreibe mal, was die 2FA leisten soll.
Bitlocker bietet, wie im Artikel steht, einige Kombis an, zum Beispiel:
TPM+PIN
TPM+PIN+USB
das sollte doch passen.
Hallo DerWoWusste,
die Anforderungen waren damals diese hier:
Referenz zu ISO 27002: Control 6.2.1 und 6.2.2
Authentifizierung beim Zugriff: 2 von 3
Faktoren (Besitz, Wissen, Eigenschaften), z. B.:
- Authentifikation anhand PKI Karte mit PIN
ohne zeitliche oder biometrische Komponente
- One-Time-Password Token (z. B. SecureID
Karte) mit PIN-Pad
- One-Time-Password Token (z. B. SecureID
Karte) ohne PIN-Pad mit PIN-Abfrage
Edit: Ich habe jetzt noch bisschen überlegt. Wenn ich sowieso das System übern Haufen werfe, warum dann nicht gleich RFID-Karten mit z.B. Mifare einsetzen?
Geplant ist eh eine neue Zeiterfassung, die diese Karten benutzen könnte. Ebenso ein elektronische Schließsystem. Follow-Me-Print wird mit den aktuellen Karten bereits genutzt. Zudem benutzen unsere Werker diese als Identifikation für die MDE-Geräte. Und dieser ist als Mitarbeiterausweiß bereits ebenfalls bedruckt. Wenn ich also hier noch zusätzlich das Zertifikat/Key/wasauchimmer für Bitlocker draufpacke, hätte ich eine schöne einheitliche Lösung?
die Anforderungen waren damals diese hier:
Referenz zu ISO 27002: Control 6.2.1 und 6.2.2
Authentifizierung beim Zugriff: 2 von 3
Faktoren (Besitz, Wissen, Eigenschaften), z. B.:
- Authentifikation anhand PKI Karte mit PIN
ohne zeitliche oder biometrische Komponente
- One-Time-Password Token (z. B. SecureID
Karte) mit PIN-Pad
- One-Time-Password Token (z. B. SecureID
Karte) ohne PIN-Pad mit PIN-Abfrage
Edit: Ich habe jetzt noch bisschen überlegt. Wenn ich sowieso das System übern Haufen werfe, warum dann nicht gleich RFID-Karten mit z.B. Mifare einsetzen?
Geplant ist eh eine neue Zeiterfassung, die diese Karten benutzen könnte. Ebenso ein elektronische Schließsystem. Follow-Me-Print wird mit den aktuellen Karten bereits genutzt. Zudem benutzen unsere Werker diese als Identifikation für die MDE-Geräte. Und dieser ist als Mitarbeiterausweiß bereits ebenfalls bedruckt. Wenn ich also hier noch zusätzlich das Zertifikat/Key/wasauchimmer für Bitlocker draufpacke, hätte ich eine schöne einheitliche Lösung?
Ich kann mir nicht vorstellen, wie das aussehen soll mittels mifare.
BL bietet ja nicht Schnittstellen zu RFID und auch beim Booten nicht zu Smartcards, sondern nur zu USB.
Wenn DU also den Bootvorgang mit 2FA sichern willst, dann nimm TPM+USB oder TPM+PIN+USB.
Man kann auch argumentieren, dass bereits TPM+PIN effektiv 2FA ist, aber auf den Gedanken lassen sich nur wenige ein - meist, weil sie nicht verstehen, wie das funktioniert und welchen Schutz ein TPM darstellt.
Doch zurück zu meiner Frage: deine ISO-Referenz soll unbedingt Anwendung finden? Keine ähnliche Möglichkeit erlaubt?
BL bietet ja nicht Schnittstellen zu RFID und auch beim Booten nicht zu Smartcards, sondern nur zu USB.
Wenn DU also den Bootvorgang mit 2FA sichern willst, dann nimm TPM+USB oder TPM+PIN+USB.
Man kann auch argumentieren, dass bereits TPM+PIN effektiv 2FA ist, aber auf den Gedanken lassen sich nur wenige ein - meist, weil sie nicht verstehen, wie das funktioniert und welchen Schutz ein TPM darstellt.
Doch zurück zu meiner Frage: deine ISO-Referenz soll unbedingt Anwendung finden? Keine ähnliche Möglichkeit erlaubt?
Hallo,
ok - habe verstanden. Wäre ein Nice2Have mit den RFID-Karten.
Ja - diese ISO Referenz bzw. die Angabe darunter ist zwingend notwendig und war so von den Auditoren zwingend vorgeschrieben, hier führt kein weg vorbei. TPM+PIN werden Sie mir nicht freigeben, auch wenn das vermutlich die einfachere Lösung wäre.
ok - habe verstanden. Wäre ein Nice2Have mit den RFID-Karten.
Ja - diese ISO Referenz bzw. die Angabe darunter ist zwingend notwendig und war so von den Auditoren zwingend vorgeschrieben, hier führt kein weg vorbei. TPM+PIN werden Sie mir nicht freigeben, auch wenn das vermutlich die einfachere Lösung wäre.
