derophan
Goto Top

Bitlocker als normaler Benutzer Win 7 64 Bit

Bitlocker als normaler Benutzer Win 7 64 Bit

Schönen guten Tag,

folgendes: Wir haben hier ein Notebook mit dem OS WIN7 64 Bit Ultimate.
Wir würden nun gerne Bitlocker auf einem Laufwerk verwenden, da der Benutzer mit dem Notebook auch auf Reisen ist. Es soll hierbei eine Partition verschlüsselt werden auf der lediglich Dokumente liegen. Jedoch ist nun folgendes "Problem" Beim Einstellen des Laufwerks und beim Entsperren verlangt Bitlocker immer unseren Domänen Admin.
Geht das nicht als normaler Domänen Benutzer?

Content-ID: 171003

Url: https://administrator.de/forum/bitlocker-als-normaler-benutzer-win-7-64-bit-171003.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

cardisch
cardisch 05.08.2011 um 12:40:14 Uhr
Goto Top
Gottlob nicht...
Stelle dir mal vor JEDER würde das machen (geht ja auch an PC´s)....
Da könnte man noch einen einstellen, der Daten wieder entschlüsselt, wiederherstellt, wieder verschlüsselt, etc pp...

Gruß

Carsten
Lochkartenstanzer
Lochkartenstanzer 05.08.2011 um 13:03:20 Uhr
Goto Top
Ich würde ja für so etwas truecrypt nehmen.

Aber du könntest es mit einem lokalen Admin versuchen. Das sollte üblicherweise auch gehen.
derophan
derophan 05.08.2011 um 13:23:18 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Ich würde ja für so etwas truecrypt nehmen.

Aber du könntest es mit einem lokalen Admin versuchen. Das sollte üblicherweise auch gehen.

Die User sollen keine lokalen Adminrechte erhalten. Wir hatten uns Ultimate deswegen Testweise besorgt, dass die Benutzer die halt wie oben erwähnt unterwegs sind, Ihre Daten in das Laufwerk verschieben können.
Also geht es leider nur mit lokalen Adminrechten?
derophan
derophan 05.08.2011 um 13:24:36 Uhr
Goto Top
Zitat von @cardisch:
Gottlob nicht...
Stelle dir mal vor JEDER würde das machen (geht ja auch an PC´s)....
Da könnte man noch einen einstellen, der Daten wieder entschlüsselt, wiederherstellt, wieder verschlüsselt, etc
pp...

Gruß

Carsten

Es würde dann halt nur für die Laptops gelten. Bei den Fat Clients im Betrieb ist kein Ultimate installiert.
Pjordorf
Pjordorf 05.08.2011 um 16:17:58 Uhr
Goto Top
Hallo,

Zitat von @derophan:
Die User sollen keine lokalen Adminrechte erhalten.
Ist auch richtig so.

Also geht es leider nur mit lokalen Adminrechten?
Das Benutzen von Bitlocker erfordert keine Adminrechte. Bitlocker Ein- Ausschalten oder Ändern schon. Bitlocker auf Laptop als Admin eingerichtet und die Benutzer merken davon nichts. So habe ich es auf einige Laptops am laufen. Sie auch Auszug aus http://technet.microsoft.com/en-us/library/ee449438(WS.10).aspx#BKMK_pr ...
What credentials are required to use BitLocker?
To turn on, turn off, or change configurations of BitLocker on operating system and fixed data drives, membership in the local Administrators group is required. Standard users can turn on, turn off, or change configurations of BitLocker on removable data drives. Disable the Control use of BitLocker on removable drives policy setting (located in Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives) to restrict standard users from turning on or turning off BitLocker on removable data drives.

Gruß,
Peter
DerWoWusste
DerWoWusste 05.08.2011 um 16:21:22 Uhr
Goto Top
Kollegen,... etwas mehr Fantasie face-smile ! Es geht auch ohne Adminrechte - gewusst wie.

Bitlocker kann man über die Kommandozeile steuern. Erstellt einen Task "Unlock", der mit Systemrechten läuft (Kein Kennwort eingeben, ausführender Nutzer ist "system").
Kommandozeile:
manage-bde -unlock f: -RecoveryPassword 022759-034210-619410-534754-613052-358468-115588-284493
f: ist hierbei die verschlüsselte Partition, 022... ist der Recoverykey (NICHT das Kennwort, damit geht es nicht in der Kommandozeile ,vermutlich ein Bug ). Den Recoverykey findet man in der Textdatei, die bei der Verschlüsselung gezwungenermaßen angelegt wurde.

Nun vergibt man für den gewünschten User Ausführrechte auf c:\windows\system32\tasks\unlock und erstellt ihm eine Batch mit dem Inhalt
schtasks /run /tn unlock 
fertig!

Achtung: das Laufwerk wird nun gemountet und ist systemweit verfügbar bis zum Neustart. Will man es wieder abschließen, wird ein weiterer Task "Lock" fällig mit
manage-bde -lock f:
Demnach auch eine weitere ACL-Anpassung und schtasks-Batch:
schtasks /run /tn lock

NÖTIGER Edit:
Noch was zu diesem Vorgehen... was wäre, wenn das Notebook jetzt von einem findigen Menschen gefunden würde, der die Tasks anschaut? Er würde das Recoverykennwort im Klartext finden... Schutz ade. Somit müsste man, wenn man diesen dollen Workaround für non-Admins nutzen möchte, das Kennwort auch verschlüsselt übergeben. Also eine Batch schreiben, die es aus einer Textdatei einliest, die Ihrerseits verschlüsselt ist (verschlüsselt mit dem EFS-Zertifikat des Systemkontos, welches den Task ausführt). Am Ende von der Batch wird diese natürlich gelöscht - so ist es sicher, hat aber den Nachteil, dass der User mal eben ein Kennwort "022759-034210-619410-534754-613052-358468-115588-284493" lernen muss... das ist unmöglich. Leider buggt Bitlocker auf Win7 bei der Option -Password zumindest bei mir... er erklärt es für falsch.
DerWoWusste
DerWoWusste 05.08.2011 um 16:24:22 Uhr
Goto Top
@Pjordorf
Das Benutzen von Bitlocker erfordert keine Adminrechte
Sicher? Das drückt MS missverständlich aus. Natürlich kann ich eine vollverschlüsselte Platte Usern ohne Adminrechte starten lassen, da macht das ein Systemdienst. Ein lokales (non-removable) Volume hingegen interaktiv zu mounten können nur Admins (oder mein Umweg unten).
Edit - Beweis... als User ausgeführt:
manage-bde -unlock f: -RecoveryPassword 022759-034210-619410-534754-613052-358468-115588-284493
liefert
ERROR: An attempt to access a required resource was denied.

Check that you have administrative rights on the computer.
DerWoWusste
DerWoWusste 05.08.2011 um 16:31:07 Uhr
Goto Top
Noch was @Pjordorf
Bitlocker auf Laptop als Admin eingerichtet und die Benutzer merken davon nichts
Nichts? Heißt das, eine PIN müssen sie auch nicht eingeben, sondern TPM-only? Falls ja: das ist unsicher da anfällig gegen Coldboot-Attacken. Nutzt lieber nebem TPM noch die 4-stelligen PINs.
Pjordorf
Pjordorf 05.08.2011 um 16:38:26 Uhr
Goto Top
Hallo,

Zitat von @DerWoWusste:
sondern TPM-only?
Ja, war so gefordet.

Falls ja: das ist unsicher da anfällig gegen Coldboot-Attacken. Nutzt lieber nebem TPM noch die 4-stelligen PINs.
Und wie immer ein ist auch hier ein GF der es absolut nicht mit einer PIN will.... Leider.

Gruß,
Peter
Lochkartenstanzer
Lochkartenstanzer 05.08.2011 um 16:42:40 Uhr
Goto Top
Zitat von @Pjordorf:
Und wie immer ein ist auch hier ein GF der es absolut nicht mit einer PIN will.... Leider.

Dann solltest Du ihm klarmachen, er dann kein Bitlocker braucht.
DerWoWusste
DerWoWusste 05.08.2011 um 16:44:23 Uhr
Goto Top
Und wie immer ein ist auch hier ein GF der es absolut nicht mit einer PIN will.... Leider
http://www.youtube.com/watch?v=JDaicPIgn9U (Autor: Princeton University!) soll sich Dein Chef mal anschauen. Zitat "typically taking only a few minutes" sollte ihn nervös machen.
Selbst eine 4-stellige PIN macht diese Attacke unmöglich.
Pjordorf
Pjordorf 05.08.2011 um 16:51:37 Uhr
Goto Top
Hallo,

Zitat von @Lochkartenstanzer:
Dann solltest Du ihm klarmachen, er dann kein Bitlocker braucht.
Er behauptet fest und steif das sein Bruder ihm sonst die Festplatte ausbaut und dann in einen anderen PC...... Er ist hier auch auch keine verhandlungsbasis gegeben da er auf Stur schaltet (ich bin der der bezahlt also....)

Gruß,
Peter
Pjordorf
Pjordorf 05.08.2011 um 16:58:05 Uhr
Goto Top
Hallo,

Zitat von @DerWoWusste:
soll sich Dein Chef mal anschauen.
Nene. Ist nicht mein Chef. ich bin Selbstständig. Ist ein Kunde, der ist allerdings ein alter freund und sehr sehr stur. Wir kennen uns jetzt schon 20 jahre und ich will ihn schon nicht mehr ändernface-smile das neue Laptop habe ich schon ohne Bitlocker für ihn gemacht, wobei er das nicht weiss und er ist happy. Sein Sohn hat irgendwann mal angefangen ihm diesen Floh ins ohr zu setzen wobei er selbst von EDV keine Ahnung hat aber genauso stur ist. Hat schon zig Handys verloren, besteht aber darauf keinen PIN usw zu brauchen. Auch I-Phones am Exchange sind schon weg, aber es SOLL nichts geändert werden....

Egal, ist halt ein besonderer Kunde, der schon viel Lehrgeld wegen Datenklau bezahlt hat und immer noch nichts ändern will.

Das Video werde ich ihm allerdings wöchentlich vorführenface-smile

Gruß,
Peter

(Ist aber trotzdem mein Kunde und auch mein Freundface-smile
DerWoWusste
DerWoWusste 05.08.2011, aktualisiert am 18.10.2012 um 18:47:46 Uhr
Goto Top
Und noch ein Kommentar...
Truecrypt ist hier von Vorteil, L.K.Stanzer hat Recht. Man kann es, nachdem ein Admin es installiert hat, auch als User nutzen, um Cryptocontainer als Laufwerke zu mounten - kein Adminkennwort erforderlich. Allerdings geben wir als Admins hiermit die Verantwortung für die Sicherheit des Truecrypt-Kennwortes auf, der User kennt es und kann es jederzeit ändern, zudem kann er weitere Daten in neue Container verfrachten und potentiell unwiederbringlich verlieren.

Ich habe meinen langen Beitrag zu Bitlocker nun mal zu Ende gedacht und unten editiert: Bitlocker als normaler Benutzer Win 7 64 Bit
So wird tatsächlich ein Schuh draus und der User kennt das Kennwort nicht einmal geschweige denn, dass er es ändern kann.
FinalEDIT: ABER... so lange das Systemlaufwerk nicht verschlüsselt ist, kann ein Dieb weiterhin Boot-CDs nutzen, um lokaler Admin zu werden und dann natürlich auch den Task betätigen, um zu mounten... da sieht man erneut, dass dies kein vernünftiger Weg ist, falls man keine Adminrechte hat.
Lochkartenstanzer
Lochkartenstanzer 05.08.2011 um 19:32:17 Uhr
Goto Top
Wenn es nur das ist: Setz ein HDD-Paßwort im BIOS.
DerWoWusste
DerWoWusste 05.08.2011 um 19:43:19 Uhr
Goto Top
Stimmt, das durfte hier nicht fehlen ;)
Dann aber "zur Sicherheit" auch gleich folgende Software mitliefern: http://www.hddunlock.com/
C.R.S.
C.R.S. 06.08.2011 um 21:20:53 Uhr
Goto Top
Hallo Peter,

bei aller Sturheit will dein Freund doch irgendeinen Vorteil gegenüber dem unverschlüsselten System haben. Den erkenne ich hier nicht.

Schon nur die Datenpartition zu verschlüsseln ist unter Windows 7 unsinnig. Unter XP konnte man die Systempartition als potenzielles Datenleck noch durch entsprechende Konfiguration und EFS einigermaßen abdichten. Hier sind die Gelegenheiten, zu denen Daten auf der Systemplatte landen (vom Nutzerzverhalten ganz abgesehen), nicht mehr überschaubar und ist die Friemelei nicht mehr praktikabel. Es gibt außerdem kaum einen Grund mehr für die unvollständige Verschlüsselung, wenn das System schon eine gegenüber Imaging transparente Verschlüselung mitbringt.
Zudem gibt es gegen TPM-only komfortablere Alternativen zu Cold Boot.

Wenn er etwas gegen PINs hat, schlage doch eine Vollverschlüsselung wenigstens mit TPM+USB-Schlüssel vor.

Grüße
Richard