Automatisierte BitLocker Ver- und Entschlüsselung?

Hi,

man könnte natürlich einem Skript das Passwort mitgeben. Aber wie @117643 schon schrieb, das wäre kontraproduktiv. In einem Skript wird ein mitgegebenes Passwort immer irgendwie im Klartext erscheinen (bzw. reproduzierbar sein).

Du müsstest schon ein "richtiges" kompiliertes Programm benutzen (C++, C#, Freepascal, Assembler etc.). Und selbst das könnte man dekompilieren.

Gruß

Ankh

Hi.

Darf ich fragen, in welchen Ländern Du das erlebt hast? (nicht nur davon gehört, sondern erlebt)
Ich habe zwar davon gehört, aber das könnte auch nur eins von vielen wilden Gerüchten sein, zumal es immer hieß "Bitlocker hat ja Hintertüren, damit könnt ihr ruhig einreisen, das stört schon keinen Geheimdienst".

Wenn Du es kurzzeitig suspendieren willst, richte dem Mitarbeiter einen Task ein, der mit hohen Rechten arbeitet und es suspendiert. Beim nächsten Start sieht der Laptop aus wie unverschlüsselt. Welche Nachteile das hat, liegt hoffentlich auf der Hand.

Bitte, per Webshop bestellen? Warum so kompliziert. Einfach ein Skript an einem geschützten Ort ablegen (c:\windows), dieses Skript nur für das Systemkonto lesbar machen und dort reinschreiben
Dann einen geplanten Task einrichten, der dies bei Bedarf mit Systemrechten startet und die ACL des Tasks so modifizieren, dass der/die User ihn starten (aber nicht ändern!) dürfen - fertig.

Wenn Du ein Notebook offen rumliegen lässt, entsperrt, dann musst Du Dir um Sicherheit keine Gedanken machen. Energieoptionen wie diese werden auf gesicherten Geräten per GPO unterbunden und eine automatische Sperrung etabliert.

Der Gedanke der bestellbaren Entschlüsselung wäre ein aufwendiger Prozess und so eine Entschlüsselung dauert zumindest bei HDDs lange und kann auch nicht mal eben wieder verschlüsselt werden - dies braucht auch wieder hohe Rechte. Und wenn entschlüsselt ist, kann der User mit der Platte offline machen, was er will - dies kann er nicht, wenn suspendiert ist.

Hallo Scuzzy,

Mal in's blaue geschossen...

Ihr habt ein Self Service Portal, über dies die User IT-Services und Hardware bestellen können (find ich supi).

Der User bestellt jetzt "Verschlüsselung HDD".
Ein (ASP/PHP/JS/Whatever) Service auf dem Webserver startet einen automatischen Workflow und verwendet Win32_EncryptableVolume via WMI um der Möhre zu sagen, dass sie Ver-/Entschlüsseln soll. Dies tut er vom Server aus mit sowieso gegen die Domäne authentifizierten, hohen Rechten.
Ihr berechnet 3,90€ für diesen Service.
Ende.

Das ist zwar eine sehr schöne Geschichte.
Aber ich halte es auch für bedenklich. Dazu kommt, dass ihr wahrscheinlich auch schon oder bald auf SSDs umspringt.
Und dazu kommt, dass das Self Service Portal ein hohes Maß an Sicherheitsanforderungen erfüllen muss.

Und das Szenario: Platte entschlüsselt, Notebook genau dann geklaut würde mir auch ein mulmiges Gefühl verleihen.


Beste Grüße
Dominique

P.S.:
Achja, genau. Was macht der Rechner während des Ver-/Entschlüsselungsvorgangs? Gibt er Feedback? muss der User warten? Kann er wissen, wie der aktuelle Status ist?

Ich habe einen Bekanntend er viel nach China reist:
- Hat ein unverschlüsseltes Auslands Notebook auf dem nur das nötigste an Dateien für den Einsatz liegt und ein VPN Client installiert ist
- Hat schon schlechte Erfahrungen mit dem Chineschen Zoll und der GreatFirewall gemacht (Geräte waren mehrere Wochen beschlagnahmt, VPN tut plötzlich nicht mehr etc).


Vielleicht wären solche Auslandsnotebooks das richtige: Nicht die Technik sondern der Prozess als solcher sorgt für die Sicherheit

Nun ja, die Lösung deiner Anforderung habe ich dir ja soeben quasi genannt.

Aber:
Wir haben einige User, die in allen Teilen der Erde unterwegs sind und hatten diese Anforderung noch nie. Es hat auch noch niemand gemeckert...

Und die Anforderung als solche ist nicht sonderlich sinnig, zumal sich Kosten/Nutzen-technisch kein so tiefer Spalt zwischen der Idee selbst und der Anschaffung 100 weiterer Notebooks auftut. Oder 50 weiterer Notebooks, wenn davon auszugehen ist, dass die 100 potenziellen User nicht gleichzeitig reisen. Lass das dann mal 150.000 - 200.000 €uronen kosten. Was soll denn die Implementierung in das Self Service Portal kosten?
Oder, wenn noch keins vorhanden, was soll die Anschaffung eines solchen Portals kosten? (Wenn nur aus diesem Grund)

Beste Grüße


EDIT:
Ich habe dann doch mal kurz Google angeworfen hättest du auch tun können

• Enabling BitLocker by Using a WMI Script
• Kennt man
• Komischer Kram, der Powershell um ein komfortables BDE und TPM CMDLet erweitern soll

Also, du baust so einen Kram kostenlos?
Recherchierst in Foren kostenlos?
Betreibst das System und dessen Pflege kostenlos?

Wow, willst du für mich arbeiten?

Aber nochmal zum Mitschreiben:

Wenn du es wirklich so machen möchtest, schau dir die Links an, die ich eingebracht habe und realisiere es.
Oder möchtest du eine andere Lösung?

Das wäre am effektivsten. Wobei man sich gerade bei unverschlüsselten Reisegeräten noch fragen sollte, wie die verwaltet werden, wohin sie sich per VPN verbinden und welche Datenträger daran angeschlossen werden. Idealerweise hat das Ausland seinen eigenen Laufstall.

Ein Kompromiss wäre, Notebooks mit wechselbaren Festplatten zu verwenden, die im Ausland verschlüsselten Festplatten dort in einem Schließfach zu hinterlegen und mit leeren Geräten zu reisen. Wenn keine neuen Laptops drin sind: dasselbe mit Linux/Windows To Go über USB3.

Grüße
Richard

Gute Idee. Die kann man auch bitlocken und kein Flughafenheini der Welt wird jeden USB-Stick in Augenschein nehmen.

Gut, das macht Sinn.
Ich würde trotzdem ein saftiges Angebot schreiben und es mit einer imensen Effizienzsteigerung anpreisen

Hat der Kunde denn schon ein Self Service Portal? Eventuell SharePoint?

Hi.

Ich wage noch einen Appell an die Vernunft:
Kunden stellen Forderungen - warum auch nicht. Doch sollte man sie soweit beraten können, dass die Forderungen nicht vollkommen blödsinning sind.
Wir haben beispielsweise SINA-Workstations, das sind Speziallaptops mit für Geheimdokumente zugelassener Verschlüsselung, wie sie auch von der Bundeswehr und Bundesregierung genutzt werden, die damit sicherlich auch mal woanders hin reisen. Deren Verschlüsselung kann man nicht entschlüsseln, es ist nicht vorgesehen.
Anfrage unsererseits an den Hersteller Secunet: wenn wir's doch mal brauchen, wie sollen wir zur Entschlüsselung vorgehen?
Secunet: Es gibt keinen Weg. Wurde auch noch nie gebraucht von unseren Kunden.

Was meinst Du dazu: Welcher Staat lässt Dich (oder Dein Gerät) denn nun nicht einreisen, wenn Du mit einem verschlüsselten Lap ankommst? Das ist doch hart an der Grenze zur Urban Legend.
--
Soviel mal zu dem, was Du vermutlich nicht lesen wolltest...zurück zum Thema:
Du kannst auch ohne Recovery-Key entschlüsseln, Du brauchst lediglich einen geplanten Task, der unter dem Systemkonto läuft.
Der von Dir angedachte Prozess des Bewilligens von außen, kann sicherlich abgebildet werden, wenn man nur geschickt vorgeht. Man könnte beispielsweise den Task einen Code oder ein Keyfile abfragen lassen, das vorher per Mail übersendet wird. Könnte ich basteln.

Dennoch würde ich es nicht tun. Denn gerade dort, wo man (warum auch immer) Leute hat, die was gegen Deine Verschlüsselung haben, will man nicht entschlüsseln.

Vorschlag zur Güte: lass Deinen Kunden seine Forderungen mal auf Realitätsbezug prüfen. Wo wurde jemals mal ein Laptop auf Verschlüsselung hin überprüft und warum (- und ist das dort weiterhin gängige Praxis?).

Gut, wir nähern uns.

Worauf basieren diese Portale?

@DerWoWusste:
ACK

Gut. Ein Sehr Gut hätte es gegeben, wenn du noch kundgetan hättest, worauf Matrix42 basiert

Hier ist die Rede von ASP.Net. Gilt das auch für deine Umgebung?
Ist die Software um eigene Module / Workflows erweiterbar?

Gut. Welche Fragen hast du denn noch oder sind diese alle beantwortet?

Würdest du dir denn zutrauen, das Portal um eine solche Funktion zu erweitern?

Ok, bist du denn dabei eine Scriptsprache zu lernen?
warum zeigst du uns diese denn nicht?
Ich denke, zu verstehen.
Wie sehen denn die ersten Entwürfe deines Konzepts aus?

Wir haben dir ja mittlerweile einige Möglichkeiten aufgezeigt. Und selbst, wenn das Portal nicht mitmacht - Du könntest dir ja ein Shortcut auf den Desktop legen, was nach Bestelleingang die gewünschte Aktion aus der Ferne heraus anstartet. Das wäre bereits ein großer Komfortgewinn und vielleicht nicht ganz so wage.

Beschreibe doch mal, wie du dir das im Moment vorstellst.

Entschuldige, mein Firefox hat sich gerade verabschiedet und ich war zu faul, den ganzen schönen Text erneut zu schreiben. Deswegen die Kurzfassung

Was meinst du denn mit "Verfahren"?
Das Durchsetzen der Änderung (Also Kollegen überzeugen) oder die technische Realisierung?

EDIT:
Jain, ich hatte ursprünglich sogar ein paar Beispielabläufe verfasst. Gleich, wenn ich mehr Zeit habe, mehr dazu.

Jut...

Szenario Nr. 1 - Leicht umzusetzen, mittelmäßig automatisch dafür nicht ganz so hohes Sicherheitsrisiko

• Anwender geht in den (bereits existenten) Webshop und bestellt einen (neu angelegten) Artikel - "BDE-Encrypt".
• Die Bestellung geht bei dir per Mail ein.
• Du hast ein Script auf deinem Computer, das in etwa so aussieht:

(Nicht für Copy&Paste, reine Demonstration)

• Du gehst in den Webshop und hakst den Auftrag ab. Eventuell wird der Anwender nun (automatisch) über die "Fertigstellung" informiert.

Auch schon mal PsExec angesehen?

Szenario Nr. 2:

• Auf jedem Client liegt bereits ein Script (vielleicht auch an gewisse Ausnahmen angepasst), welches durch einen Windows-Service gestartet wird (mit SYSTEM-Rechten) und auf dem Desktop agieren darf (z.B. User mit Balloontips benachrichtigen)
• Stellt ein großes Sicherheitsrisiko dar. Die Hürde ein bereits gestartetes Notebook zu entschlüsseln bestünde also nur noch darin, einen Dienst zu starten. (Darf auch nicht jeder, ist aber nicht ganz zu unterschätzen)

(Dienste können auch über die Ferne gestartet werden.)

Szenario Nr. 3: Das vollautomatische Szenario

• Dieses Szenario kann auch einiges an Sicherheitstechnischen Hürden bieten.
• Hängt sehr stark vom Aufbau des bestehenden Webshops ab (Man könnte natürlich einen eigenen Service dafür bauen)
• Die technische Umsetzung in Codezeilen oder Examples zu beschreiben ist nahezu unmöglich, da ich Matrix42 nicht kenne.

Der Ablauf könnte dieser sein:

• Anwender bestellt den beschriebenen Artikel
• Ein Workflow wird vom Webshop gestartet (oder eine eigens programmierte ASPx-Erweiterung...)
• Er fragt nach einer Genehmigung (vorgesetzte/IT)
• Der Workflow verwendet am besten ein eigenst eingerichtetes Dienstkonto und startet unter diesen Credentials ein Script, dem der Computername und der Laufwerksbuchstabe übergeben wird.
• Das Script ent-/verschlüsselt mittels Manage-BDE oder der direkten WMI-Calls das Laufwerk des Zielrechners. (Eventuell kann eine Funktion in den Webshop direkt eingebunden werden)
• Auf dem Zielrechner könnten Statusinfos ausgegen werden und die Energieoptionen angepasst werden (z.B. möglichst schnell automatisch sperren und bis Vorgang abgeschlossen ist, kein automatischer StandBy). Es wäre auch möglich zu warten, bis das Notebook im Ladebetrieb (Netzstrom angeschlossen) sitzt.
• Nice-to-have: Ein Timer / Termin wird erstellt, um das Notebook, welches soeben entschlüsselt wird, wieder zu verschlüsseln, bzw. euch daran zu erinnern, dass das gemacht werden muss. Eventuell fragt der Webshop ja nach der Dauer des Aufenthalts?

Also, ich hoffe dir veranschaulicht zu haben, dass es immer mehrere Wege an's Ziel gibt. Welcher für euch der richtige ist, kann ich nicht entscheiden.
Du siehst aber, es ist (theoretisch) mit ein- bis zweizeiligem Code machbar.

Daraus kann aber auch ein großes Projekt werden, welches den grundsätzlichen Ablauf einer Reiseplanung ändert.
Eventuell würde es dann vorgefertigte Templates geben, in die der User nur sein Zielland tippt. Der Webshop entscheidet dann eigenständig, ob eine Entschlüsselung empfehlenswert ist, lässt sich das genehmigen und beginnt zu walten...
Währenddessen bekommt der Anweder seine Reiseadapter und Ersatzhemden per Post geschickt.
Ein Flug wird auch noch gebucht, ein Hotelzimmer reserviert... So unrealistisch ist das gar nicht mal.
Ein bisschen Spinnerei muss auch mal sein

Nun, [Win]+R->notepad->Script reintippen->Speichern unter->Dateityp: "Alle Dateien(*.*)" -> Namen vergeben, speichern. Draufklicken -> Freuen :D


Vielleicht spielst du erstmal mit einem der verschlüsselten Notebooks. Tippst in die Eingabeaufforderung manage-bde mit den entsprechenden Parametern ein und schaust, was passiert. Ist kein Hexenwerk.
Die Powershell kann das auch ohne Einschränkungen. Plus die CmdLets, die ich bereits verlinkt habe (oder?)

Ich wollte ein Gist Snippet posten, leider habe ich von hieraus keinen Zugriff... :/

Um zu beantworten, wie das Script aussieht, müssen wir erst einmal herausfinden, wie der Prozess dahinter aussieht...
Also:

• Wer entscheidet wann und wie, dass ein NB entschlüsselt werden soll?
• Wer genehmigt das?
• Zeitrahmen?
• ...

Nachdem du dir diese Fragen beantwortet hast, weißt du, wie die Aktion am Ende ablaufen soll.

Dann kommen die technischen Fragen
z.B.:

• Wie genau sieht die aktuelle BitLocker Konfiguration überhaupt aus?
• Inwieweit kann man in dem Webshop solche Dinge eventuell direkt einbinden? Workflows an Artikel hängen? -> Eventuell mit Softwarefirma in Verbindung setztn oder selbst gucken.
• Wo sind die User gerade, wenn sie den Artikel kaufen? (VPN\LAN\Örtliche Gegebenheit)
• Wie lange machen meine SSDs das technisch überhaupt mit, ohne abzurauchen? Aktuelle Backupsituation prüfen!
• Wie viele Daten liegen auf den Geräten? Wie lange dauern die Vorgänge?

Es dauert immer mindestens drei mal so lange, soetwas zu bauen, als man sich vorher überlegt hat.
Wenn ich sage "Das dauert 8 Stunden" heißt das nicht, ein Arbeitstag und gut, sondern "Würde ich theoretisch komplett ungestört und ohne Pause daran arbeiten, könnte es vlt. in 8 Std. fertig werden." Auf Deutsch: Es dauert eine Woche. Weil was nicht geht, wie geplant und weil man ständig vom Daily Doing unterbrochen wird...
Wenn du das also deinen Kollegen vorstellst, sei nicht zu optimistisch.

Und dazu noch etwas:
Fehlerquoten... Du hast sicher schon ewig oft eine Platte verschlüsselt und entschlüsselt und wieder verschl....
Durch die Automatisierung und die Vereinfachung passieren einige Dinge...
Das wichtigste: Die User haben ihr Notebook in ihrer Hand, während der Vorgang läuft. Was passiert, wenn sie es währenddessen durch die Gegend schmeißen?
Dann: Die Anzahl der Vorgänge wird steigen, denn du machst es den Usern einfacher, "mal eben" ihre Laufwerke zu entschlüsseln.
Das ergibt zusammen: Ihr werdet wahrscheinlich öfter mal mit Fehlern konfrontiert, die ihr eventuell noch nicht kennt.

Hiermit erstmal viel Spaß beim Lesen. Nun bin ich von mir selbst erstaunt...
Dabei tun sich sicher nochmal genau so viele neue Fragen auf. Aber ich muss gestehen, mittlerweile finde ich die Idee recht interessant


Beste Grüße
Dominique

P.S.:
Wenn du jetzt etwas sagen würdest, wie:
Ich habe einen Windows Server zur freien Verfügung, möchte nicht auf die bestehenden Portale zurückgreifen, meine Laptops sind so und so verschlüsselt...
Dann kann man sich hier ganz kreativ etwas ausdenken. (PHP-Code?)