Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

2 Faktor Authentifizierung mit Sophos Safeguard Bitlocker

Mitglied: westberliner

westberliner (Level 1) - Jetzt verbinden

07.02.2019 um 10:22 Uhr, 829 Aufrufe, 6 Kommentare

Hallo Zusammen,

ich habe vor 2 Jahren bereits teilweise eine 2 Faktor Authentifizierung mit Safeguard eingeführt. War ein ziemlicher Aufwand und so eine richtig schicke Lösung war es auch nicht.

Diese Jahr steht wieder das Audit an und soll auch im größeren Umfang ausgerollt werden. Da diese Jahr auch nun der Umstieg auf Windows 10 bevorsteht, fällt das Safeguard mehr oder weniger weg und dient nur noch als Zusatz für Bitlocker. Dieser übernimmt nun die Hauptaufgabe der Verschlüsselung. Jetzt ist die Frage, ob jemand hier eine praktische Lösung mit Safeguard und Bitlocker umgesetzt hat auf Basis von USB-Sticks? Was ist hier im Einsatz und wie funktioniert die zentrale Verwaltung von den Dingern?

Danke!
Mitglied: em-pie
07.02.2019 um 10:26 Uhr
Moin,

die Frage ist, braucht ihr SafeGuard noch?

Schaue einmal unter nachfolgendem Link.
Der Kollege @DerWoWusste beschäftigt sich schon lange ausgiebig mit bitlocker und hat das mal (freundlicherweise und DANK an dieser Stelle) hier mal alles zusammengetragen.

https://administrator.de/wissen/wissenssammlung-bitlocker-387449.html

Vielleicht funktioniert das bei euch ja auch ohne Probleme

Gruß
em-pie
Bitte warten ..
Mitglied: westberliner
07.02.2019, aktualisiert um 11:35 Uhr
Hallo em-pie,

die Frage habe ich mir auch schon gestellt. Theoretisch bräuchte man Safeguard dann nicht mehr. Hierdrüber würde ich mit Windows 10 dann lediglich die Recovery-Keys zentral verwalten (was an sich eine schicke Sache ist), aber hätte dann keinen weiteren Einsatz mehr.

Ich habe mir den Artikel durchgelesen, ist schon bemerkenswert, wie viel Wissen hier drin steckt. Bedeutet für mich im Umkehrschluss, dass ich mir dann eine Lösung suchen muss, die Bitlockergeräte zentral zu verwalten (MBAM?) und aber auch eine 2fA mit Tokens umsetzen kann, die auch zentral verwaltbar ist. Hier habe ich leider noch keinerlei Erfahrungen. Im Artikel ist hiervon jedoch nicht viel erwähnt.
Bitte warten ..
Mitglied: DerWoWusste
07.02.2019 um 11:56 Uhr
Moin.

Beschreibe mal, was die 2FA leisten soll.
Bitlocker bietet, wie im Artikel steht, einige Kombis an, zum Beispiel:
TPM+PIN
TPM+PIN+USB

das sollte doch passen.
Bitte warten ..
Mitglied: westberliner
07.02.2019 um 12:20 Uhr
Hallo DerWoWusste,

die Anforderungen waren damals diese hier:

Referenz zu ISO 27002: Control 6.2.1 und 6.2.2

Authentifizierung beim Zugriff: 2 von 3
Faktoren (Besitz, Wissen, Eigenschaften), z. B.:
- Authentifikation anhand PKI Karte mit PIN
ohne zeitliche oder biometrische Komponente
- One-Time-Password Token (z. B. SecureID
Karte) mit PIN-Pad
- One-Time-Password Token (z. B. SecureID
Karte) ohne PIN-Pad mit PIN-Abfrage


Edit: Ich habe jetzt noch bisschen überlegt. Wenn ich sowieso das System übern Haufen werfe, warum dann nicht gleich RFID-Karten mit z.B. Mifare einsetzen?
Geplant ist eh eine neue Zeiterfassung, die diese Karten benutzen könnte. Ebenso ein elektronische Schließsystem. Follow-Me-Print wird mit den aktuellen Karten bereits genutzt. Zudem benutzen unsere Werker diese als Identifikation für die MDE-Geräte. Und dieser ist als Mitarbeiterausweiß bereits ebenfalls bedruckt. Wenn ich also hier noch zusätzlich das Zertifikat/Key/wasauchimmer für Bitlocker draufpacke, hätte ich eine schöne einheitliche Lösung?
Bitte warten ..
Mitglied: DerWoWusste
07.02.2019 um 12:54 Uhr
Ich kann mir nicht vorstellen, wie das aussehen soll mittels mifare.
BL bietet ja nicht Schnittstellen zu RFID und auch beim Booten nicht zu Smartcards, sondern nur zu USB.
Wenn DU also den Bootvorgang mit 2FA sichern willst, dann nimm TPM+USB oder TPM+PIN+USB.

Man kann auch argumentieren, dass bereits TPM+PIN effektiv 2FA ist, aber auf den Gedanken lassen sich nur wenige ein - meist, weil sie nicht verstehen, wie das funktioniert und welchen Schutz ein TPM darstellt.

Doch zurück zu meiner Frage: deine ISO-Referenz soll unbedingt Anwendung finden? Keine ähnliche Möglichkeit erlaubt?
Bitte warten ..
Mitglied: westberliner
07.02.2019 um 13:06 Uhr
Hallo,

ok - habe verstanden. Wäre ein Nice2Have mit den RFID-Karten.

Ja - diese ISO Referenz bzw. die Angabe darunter ist zwingend notwendig und war so von den Auditoren zwingend vorgeschrieben, hier führt kein weg vorbei. TPM+PIN werden Sie mir nicht freigeben, auch wenn das vermutlich die einfachere Lösung wäre.
Bitte warten ..
Ähnliche Inhalte
Microsoft Office

Microsoft Teams mit 2 Faktor Authentifizierung

gelöst Frage von merkelMicrosoft Office13 Kommentare

TEAMS lässt sich ohne VPN starten und nutzen. Welche Möglichkeiten gibt es, hier eine Sicherheitsstufe einzuschalten (z.B. 2-Factor Authentication)? ...

Sicherheits-Tools

2 faktor authentifizierung windows domäne nur bestimmte benutzer

gelöst Frage von kal10bachSicherheits-Tools7 Kommentare

hallo, ein kunde von uns hat von seinen auftraggebern die 2 faktor authentifizierung als must-have vorgeschrieben bekommen. da das ...

Windows Server

Windows Server 2012R2 2-Faktor-Authentifizierung mit BitLocker?

gelöst Frage von alex-anderWindows Server4 Kommentare

Hallo zusammen, aufgrund verschiedener Kundenanforderungen müssen wir im Unternehmen für den Zugriff auf bestimmte (geheime) Daten eine 2-Faktor-Authentifizierung einsetzen. ...

Verschlüsselung & Zertifikate

2 Faktor FDE

Frage von Fr33l4nc3rVerschlüsselung & Zertifikate3 Kommentare

Hallo Freunde des Computers, seit einiger Zeit suche ich (nach Möglichkeit Opensource) eine verschlüsselungs Software die das ganze Betriebssystem ...

Neue Wissensbeiträge
E-Books

Ausgewählte Rheinwerk-Bücher jetzt online lesen! Kostenfrei

Information von Maxima2005 vor 5 StundenE-Books1 Kommentar

Vielleicht hat ja jemand Interesse sein Wissen zu erweitern. Ausgewählte Rheinwerk-Bücher jetzt online lesen! Grüße Max

Instant Messaging
Jitsi Meet - April Update verfügbar
Information von Frank vor 6 StundenInstant Messaging2 Kommentare

Im Rahmen des April-Updates erhält Jitsi Meet mehrere interessante Features. Anwender können nun nicht mehr nur ihren Bildschirm, sondern ...

Rechtliche Fragen

Rechtliche Grundlagen: Datenschutz und Datensicherheit im Homeoffice

Information von AnkhMorpork vor 1 TagRechtliche Fragen

Sollte bekannt sein, aber

Router & Routing
"Upgrade" Fritte 7520 zu Fritte 7530 :-)
Information von Lochkartenstanzer vor 1 TagRouter & Routing6 Kommentare

Moin, wie sich herausgestellt hat, ist die 7520 eine per Software kastrierte Version der 7530. Per "Chiptuning", um es ...

Heiß diskutierte Inhalte
Rechtliche Fragen
Nachweispflicht für Status-Emails?
Frage von VincentGdGRechtliche Fragen36 Kommentare

Moin. Mein Kollege und Datenschutzbeauftragter erfreut mich täglich mit neuen Auslegungen. Heute erklärt er mir, wir müssen die Status-Emails, ...

Server-Hardware
Wie viel Speicher braucht eine Wissensdatenbank für bis zu 50 User?
Frage von Mrhallo19981Server-Hardware31 Kommentare

Hallo, könnt ihr mir sagen wieviel Speicherplatz eine Wissensdatenbank braucht (die physikalisch speichert, also nicht mit einer Datenbank zusammen) ...

Festplatten, SSD, Raid
Festplatten Datenvernichtung Server
Frage von survial555Festplatten, SSD, Raid29 Kommentare

Hallo, ich habe noch ein paar alte Server, wo ich die verbauten Festplatten gerne datentechnisch "sicher" löschen möchte. Leider ...

Linux
Internetprobleme mit Wine für Linux um .exe Dateien auszuführen
Frage von WinLiCLILinux22 Kommentare

Hallo zusammen, ich möchte auf meinem debian 10 einen client für cloud-telefonie (cloud pbx) installieren, den es nur für ...