2 Faktor Authentifizierung mit Sophos Safeguard Bitlocker

Hallo Zusammen,

ich habe vor 2 Jahren bereits teilweise eine 2 Faktor Authentifizierung mit Safeguard eingeführt. War ein ziemlicher Aufwand und so eine richtig schicke Lösung war es auch nicht.

Diese Jahr steht wieder das Audit an und soll auch im größeren Umfang ausgerollt werden. Da diese Jahr auch nun der Umstieg auf Windows 10 bevorsteht, fällt das Safeguard mehr oder weniger weg und dient nur noch als Zusatz für Bitlocker. Dieser übernimmt nun die Hauptaufgabe der Verschlüsselung. Jetzt ist die Frage, ob jemand hier eine praktische Lösung mit Safeguard und Bitlocker umgesetzt hat auf Basis von USB-Sticks? Was ist hier im Einsatz und wie funktioniert die zentrale Verwaltung von den Dingern?

Danke!

Content-Key: 414813

Url: https://administrator.de/contentid/414813

Ausgedruckt am: 25.01.2022 um 15:01 Uhr

Mitglied: em-pie
em-pie 07.02.2019 um 10:26:59 Uhr
Goto Top
Moin,

die Frage ist, braucht ihr SafeGuard noch?

Schaue einmal unter nachfolgendem Link.
Der Kollege @DerWoWusste beschäftigt sich schon lange ausgiebig mit bitlocker und hat das mal (freundlicherweise und DANK an dieser Stelle) hier mal alles zusammengetragen.

https://administrator.de/wissen/wissenssammlung-bitlocker-387449.html

Vielleicht funktioniert das bei euch ja auch ohne Probleme :-) face-smile

Gruß
em-pie
Mitglied: westberliner
westberliner 07.02.2019 aktualisiert um 11:35:39 Uhr
Goto Top
Hallo em-pie,

die Frage habe ich mir auch schon gestellt. Theoretisch bräuchte man Safeguard dann nicht mehr. Hierdrüber würde ich mit Windows 10 dann lediglich die Recovery-Keys zentral verwalten (was an sich eine schicke Sache ist), aber hätte dann keinen weiteren Einsatz mehr.

Ich habe mir den Artikel durchgelesen, ist schon bemerkenswert, wie viel Wissen hier drin steckt. Bedeutet für mich im Umkehrschluss, dass ich mir dann eine Lösung suchen muss, die Bitlockergeräte zentral zu verwalten (MBAM?) und aber auch eine 2fA mit Tokens umsetzen kann, die auch zentral verwaltbar ist. Hier habe ich leider noch keinerlei Erfahrungen. Im Artikel ist hiervon jedoch nicht viel erwähnt.
Mitglied: DerWoWusste
DerWoWusste 07.02.2019 um 11:56:52 Uhr
Goto Top
Moin.

Beschreibe mal, was die 2FA leisten soll.
Bitlocker bietet, wie im Artikel steht, einige Kombis an, zum Beispiel:
TPM+PIN
TPM+PIN+USB

das sollte doch passen.
Mitglied: westberliner
westberliner 07.02.2019 um 12:20:23 Uhr
Goto Top
Hallo DerWoWusste,

die Anforderungen waren damals diese hier:

Referenz zu ISO 27002: Control 6.2.1 und 6.2.2

Authentifizierung beim Zugriff: 2 von 3
Faktoren (Besitz, Wissen, Eigenschaften), z. B.:
- Authentifikation anhand PKI Karte mit PIN
ohne zeitliche oder biometrische Komponente
- One-Time-Password Token (z. B. SecureID
Karte) mit PIN-Pad
- One-Time-Password Token (z. B. SecureID
Karte) ohne PIN-Pad mit PIN-Abfrage


Edit: Ich habe jetzt noch bisschen überlegt. Wenn ich sowieso das System übern Haufen werfe, warum dann nicht gleich RFID-Karten mit z.B. Mifare einsetzen?
Geplant ist eh eine neue Zeiterfassung, die diese Karten benutzen könnte. Ebenso ein elektronische Schließsystem. Follow-Me-Print wird mit den aktuellen Karten bereits genutzt. Zudem benutzen unsere Werker diese als Identifikation für die MDE-Geräte. Und dieser ist als Mitarbeiterausweiß bereits ebenfalls bedruckt. Wenn ich also hier noch zusätzlich das Zertifikat/Key/wasauchimmer für Bitlocker draufpacke, hätte ich eine schöne einheitliche Lösung?
Mitglied: DerWoWusste
DerWoWusste 07.02.2019 um 12:54:00 Uhr
Goto Top
Ich kann mir nicht vorstellen, wie das aussehen soll mittels mifare.
BL bietet ja nicht Schnittstellen zu RFID und auch beim Booten nicht zu Smartcards, sondern nur zu USB.
Wenn DU also den Bootvorgang mit 2FA sichern willst, dann nimm TPM+USB oder TPM+PIN+USB.

Man kann auch argumentieren, dass bereits TPM+PIN effektiv 2FA ist, aber auf den Gedanken lassen sich nur wenige ein - meist, weil sie nicht verstehen, wie das funktioniert und welchen Schutz ein TPM darstellt.

Doch zurück zu meiner Frage: deine ISO-Referenz soll unbedingt Anwendung finden? Keine ähnliche Möglichkeit erlaubt?
Mitglied: westberliner
westberliner 07.02.2019 um 13:06:12 Uhr
Goto Top
Hallo,

ok - habe verstanden. Wäre ein Nice2Have mit den RFID-Karten.

Ja - diese ISO Referenz bzw. die Angabe darunter ist zwingend notwendig und war so von den Auditoren zwingend vorgeschrieben, hier führt kein weg vorbei. TPM+PIN werden Sie mir nicht freigeben, auch wenn das vermutlich die einfachere Lösung wäre.
Heiß diskutierte Beiträge
question
Ist diese Hardware sinnvoll für privaten Haushalt?stonevVor 1 TagFrageRouter & Routing5 Kommentare

Hallo erstmal :) Meine alte Fritzbox 7490 spinnt seit gestern. Ich gehe von Alterschwäche aus, es wird also Ersatz fällig. Zufrieden war ich mit ihr ...

question
LTO-5 Bänder Löschen geht nichtkreuzbergerVor 1 TagFrageBackup23 Kommentare

Hallo ihr Helden, ich hab da ein blödes Problem: Ich habe einen Stapel gebrauchte LTO-5-Bänder bekommen, die soweit völlig i. O. sind. Mit welchem Programm ...

question
Teilenummer für weiße Esprimo Mini-PC?LochkartenstanzerVor 1 TagFrageHardware21 Kommentare

Moin, Ich habe eine eigenwillige Kundin, die einen weißen Fujitsu Esprimo Mini-PC haben will. Und der Kundin ist, wie sollte es anders sein, die Farbe ...

question
Ein Smartphone für privat und geschäftliche NutzungNebellichtVor 1 TagFragePeripheriegeräte5 Kommentare

Hallo, für die Firma werden aktuell Smartphone(s) gesucht, die da eine Dual Sim ermöglichen und zusätzlich trennende Sicherheit, d.h. ein Trennen von privaten Daten und ...

question
Tipp für Firewall mit mehreren DHCP-Instanzen für VLAN gesucht gelöst Holly484Vor 22 StundenFrageFirewall5 Kommentare

Hallo zusammen, hatte in einer Gemeinschaftspraxis bisher tolle Erfahrungen mit Netgear über die letzten vielen Jahre gesammelt. Jetzt ist Netgear aus dem Firewall-Business ausgestiegen. Bisher ...

question
Suche nach "Beschreibung"ThabeusVor 1 TagFrageVmware11 Kommentare

Moin, ich stehe gerade auf dem Schlauch bei der Suche nach einer Anleitung. Vielleicht kann mir jemand helfen die "Begrifflichkeit" zu finden. In meinem Netzwerk ...

question
User verschickt mit kryptischer Outlook.com Adresse aus on-prem Exchange 2016LauneBaerVor 1 TagFrageExchange Server10 Kommentare

Servus in die Runde, ich habe ein für mich nicht nachvollziehbares Problem bei einem User, das heute zum 2ten mal aufgetreten ist. Und zwar verschickte ...

question
Windows Admin Center - Zugriff verweigertsaschakpVor 1 TagFrageWindows Update3 Kommentare

Hallo ich habe das Windows Admin Center Installiert, leider bekomme ich beim öffnen die Meldung: Zugriff verweigert Sie sind leider nicht zum Senden dieser Anforderung ...