essiess
Goto Top

Bitlocker auf Microsoft Servern - Best Practices

Ich habe mich umgesehen, aber keine klare Linie gefunden. Welche Best Practices kennt ihr, wenn es darum geht, Laufwerke unter Windows Server (2019 und 2022) mit Bitlocker zu verschlüsseln? Die Frage gilt für physische und virtuelle Maschinen gleichermaßen.

Das Systemlaufwerk bekommt seine Informationen beim Neustart aus dem TPM.
Wie geht man idealerweise mit weiteren (Datenlaufwerken, z.B. für SQL-Datenbanken) um, damit bei Neustarts die Laufwerke sofort zur Verfügung stehen und kein Password eingegeben werden muss?
Was ist hier bei Servern eigentlich State of the Art?
Seht ihr Bitlocker bei Servern als obligatorisch oder reicht dem einem oder anderem Unternehmen auch ein angemessener Diebstalschutz (Panzertüren, Fenstergitter etc.).

Viele Dank für eure Gedanken / Lösungen.

Content-ID: 8351023316

Url: https://administrator.de/forum/bitlocker-auf-microsoft-servern-best-practices-8351023316.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

Tezzla
Tezzla 30.04.2024 aktualisiert um 15:13:22 Uhr
Goto Top
Moin.

Die Frage ist ja erstmal, wovor du dich genau schützen möchtest. Dann kann man schauen, was hier am Sinnvollsten ist.
Man kann Bitlocker für verschiedene Szenarien konfigurieren. Steht deine Kiste eh in einem Tresorraum unter der Wasseroberfläche mit Selbstschussanlage würde ich sagen, dass das Absichern der physikalischen Hardware damit schon einen recht guten Stand hat face-wink

Man kann per se alle möglichen Key Protectors einschalten und die Kiste verrammeln (und sich damit das Leben vergleichsweise unkomfortabel machen). Oder man setzt es zielorientiert für ein bestimmtes Szenario ein.

VG
DerWoWusste
DerWoWusste 30.04.2024 aktualisiert um 15:19:15 Uhr
Goto Top
Serverdatenmassen sollte man physikalisch schützen. Wenn man zusätzlich noch Bitlocker einsetzen möchte, dann reicht den meisten Admins das Simpelste: TPM für c: und weitere Laufwerke entsperren sich automatisch ("Auto-Unlock") - somit ist der Komfort höchstmöglich. Wenn du es noch etwas sicherer machen möchtest, versuchst Du network unlock einzurichten: das OS startet nur, wenn in der bekannten Netzwerkumgebung. Andernfalls bleibt alles verriegelt.

Zuguterletzt noch eine Variante, die etwas besser schützt als Auto-Unlock: c: per TPM schützen und d: und Konsorten per Skript entriegeln (geplanter Task, der beim Systemstart anläuft) - wobei das Skript auf einem Netzwerkpfad liegt und somit nicht startet, wenn der Server aus dem Netzwerk entfernt (gestohlen) wird. Das ist network unlock für Arme, einzurichten in Minuten, während network unlock sogar Hardware requirements erfüllt sehen will.
Essiess
Essiess 30.04.2024 um 15:22:02 Uhr
Goto Top
Die Frage ist ja erstmal, wovor du dich genau schützen möchtest.

Servus,

es geht um die Umsetzung von Zielvorstellungen nach NIS-2, 27001 oder Versicherungen wo es heißt: "Serverdatenträger sollen verschlüsselt sein".

Das Szenario wäre also Schutz für den Fall, dass jemand unbefugt in den Beitz eines Serverdatenträgers oder einer VXDX-Datei eines virtuellen Servers gelangt (z.B. durch Diebstahl).

Meine Frage ist auch: Was macht der überwiegende Teil der KMU?
StefanKittel
StefanKittel 30.04.2024 um 15:26:17 Uhr
Goto Top
Moin,
bitte bedenken, dass viele Server kein TPM haben.
Stefan
Essiess
Essiess 30.04.2024 um 15:29:14 Uhr
Goto Top
Serverdatenmassen sollte man physikalisch schützen. Wenn man zusätzlich noch Bitlocker einsetzen möchte, dann reicht den meisten Admins das Simpelste: TPM für c: und weitere Laufwerke entsperren sich automatisch ("Auto-Unlock")

Ja, das ist auch meine Meinung. Man hört allerdings oft, dass vor dem Verschlüsseln von Serverdatenträgern abgeraten wird. Daher interessiert mich tätsächlich, wie es die meisten Unternehmen handhaben.

Habt ihr eure virtuellen Server (betriebssystemseitig gebitlocked)?
Würdet ihr auch den Hyper-V Host noch zusätzlich bitlocken (halte ich für übertrieben)?

in unserem Fall steht das Blech in einem gesicherten Serverraum.
pebcak7123
pebcak7123 30.04.2024 um 15:37:34 Uhr
Goto Top
Zitat von @Essiess:

Serverdatenmassen sollte man physikalisch schützen. Wenn man zusätzlich noch Bitlocker einsetzen möchte, dann reicht den meisten Admins das Simpelste: TPM für c: und weitere Laufwerke entsperren sich automatisch ("Auto-Unlock")

Ja, das ist auch meine Meinung. Man hört allerdings oft, dass vor dem Verschlüsseln von Serverdatenträgern abgeraten wird. Daher interessiert mich tätsächlich, wie es die meisten Unternehmen handhaben.

Habt ihr eure virtuellen Server (betriebssystemseitig gebitlocked)?
Würdet ihr auch den Hyper-V Host noch zusätzlich bitlocken (halte ich für übertrieben)?

in unserem Fall steht das Blech in einem gesicherten Serverraum.
Hyper-V
VMs : Ja
Hosts: Ja auch, physischen zugriff auf die hosts seh ich zwar als unwahrscheinlich an, aber nicht das doch noch wer an das iLO / iDRAC / IPMI rankommt und so zugriff bekommt
Essiess
Essiess 30.04.2024 um 15:52:15 Uhr
Goto Top
("Auto-Unlock")

Reicht einmal "manage-bde –autounlock -enable D:" mit Adminrechten um daurerhat Laufwerk D: nach dem Reboot allen Diensten (ohne Userlogin) zugänglich zu machen?
DerWoWusste
DerWoWusste 30.04.2024 um 16:25:29 Uhr
Goto Top
Man hört allerdings oft, dass vor dem Verschlüsseln von Serverdatenträgern abgeraten wird. Daher interessiert mich tätsächlich, wie es die meisten Unternehmen handhaben.
Keine Ahnung, wie es die meisten machen - Statistiken stehen nicht zur Verfügung und raten werde ich nicht. Jeder, der glaubt zu wissen, "wie es die meisten machen" extrapoliert das nur von relativ geringen Erfahrungen.

Nein, abzuraten ist davon auf keinen Fall. Wenn es physikalisch sicher ist, kann man argumentieren, dass man es nicht braucht; dass es nur Performance frisst, ja.

Habt ihr eure virtuellen Server (betriebssystemseitig gebitlocked)?
Wenn nicht räumlich ausreichend gesichert, dann ja.
...Hyper-V...
Ob nun Host oder Gast, eins davon ist auf jeden Fall verschlüsselt. Es gibt Schutzszenarien, wo es sinnvoll ist, die Gäste zusätzlich zu verschlüsseln; ich würde in jedem Fall das Storage des Hosts verschlüsseln.

Reicht einmal "manage-bde –autounlock -enable D:" mit Adminrechten um daurerhat Laufwerk D: nach dem Reboot allen Diensten (ohne Userlogin) zugänglich zu machen?
Ja. Es gab jedoch in seltenen Fällen einen Bug, so dass es erst nach Logon verfügbar wurde. Da half (allen ernstes) oft, das Autounlock aus und wieder einzuschalten. Auf jeden Fall austesten.
C.R.S.
C.R.S. 30.04.2024 um 17:44:03 Uhr
Goto Top
Hallo,

Physikalische Sicherheit als Alternative zur Verschlüsselung greift zu kurz.

Wie alle technischen Maßnahmen errichtet die Verschlüsselung eine organisatorische Barriere, die man erstens sehr vielfältig nutzen kann und sich daher im Regelfall auzahlt.
Zweitens wird leicht übersehen, dass man im Rahmen der eigenen Prozesse eigentlich bereits auf sie angewiesen wäre. Beispiel: Enthält die Gruppe derjenigen, die im Normalbetrieb physischen Zugang zum Server (also nach dem Modell ohne Verschlüsselung: zu den Daten) haben, tatsächlich auch vollständig die Gruppe derjenigen, welche die Festplatte am Lebensende zum Schredder begleiten? Wenn nicht, sind tatsächlich beide Gruppen richtlinienmäßig mit diesem Zugang erfasst?
Je geringer die Zahl der technischen Barrieren, desto häufiger kommt es vor, dass mit Daten auf nicht dokumentierte Weise (die in dem Moment subjektiv vertrauenswürdig und angemessen erscheinen mag) umgegangen wird.

Der Aufwand, solche Aspekte zu handhaben, in der Richtlinie und Durchsetzung, wird durch die Verschlüsselung wesentlich verringert.

Bei Servern würde ich niemals allein ein TPM verwenden, da alle Angriffe die für Laptops gelten, auf Server-Hardware sehr viel einfacher sind. Andererseits gilt dies nicht nur für die TPM-spezifischen Angriffe, sodass man auch der Auffassung sein kann, die Ausräumung dieser lohne sich nicht.

Grüße
Richard
opnsense
opnsense 30.04.2024 aktualisiert um 17:56:43 Uhr
Goto Top
Zitat von @Essiess:

es geht um die Umsetzung von Zielvorstellungen nach NIS-2, 27001 oder Versicherungen wo es heißt: "Serverdatenträger sollen verschlüsselt sein".

Da steht sollen! Es ist immer die Frage ob das nicht auch etwas verschlimmert, als es nützt. Was machst du bei einem Servercrash?
Unabhängig davon, ist der Angreifer er einmal im Serverraum, dann hat schon vorher nicht viel von deinem ISMS gegriffen.
Backup, ja verschlüssel ich auch, gerade wenn die HDDs mal wandern gehen und dann doch verloren gehen, aber wenn der Angreifer physisch an deinem Server sitzt, dann ist Holland eh gefallen. Und so viel wie ich weiß, nützt Bitlocker auch nichts, wenn die Kiste einer hackt von außen.

Mein Server steht in einem angeschlossenen Raum, in einem abgeschlossen Schrank, ohne Fenster mit einer Alarmanlage. Mehr geht nicht. Jetzt kann ich noch Olga dort mit der AK hinein stellen, aber auch die kann jemand bestechen. 100% wird es nie geben
StefanKittel
StefanKittel 30.04.2024 um 19:48:20 Uhr
Goto Top
Hallo,

die meisten Server im KMU-Bereich sind nicht verschlüsselt (mein Erfahrungsstand).
Das ist eine Mischung aus Performance-Verlust-Angst, Handlingprobleme und Störungshindernissen.

Das gilt auch auch für die meisten Web-Server in Rechenzentren.
Da ist die Motivation sehr ähnlich. Die Server bei Hetzner z.B. haben kein TPM und man kann es auch nicht nachrüsten.
Sonst könnten die im Störungsfall ja nicht schnell mal die Hardware tauschen. Bei virtuellen Servern wird das noch fummeliger. Das gilt auch für andere große Anbieter. Wie das bei Azure ist weiß ich nicht.

Stefan
MysticFoxDE
MysticFoxDE 01.05.2024 aktualisiert um 09:07:32 Uhr
Goto Top
Moin @Essiess,

Welche Best Practices kennt ihr, wenn es darum geht, Laufwerke unter Windows Server (2019 und 2022) mit Bitlocker zu verschlüsseln? Die Frage gilt für physische und virtuelle Maschinen gleichermaßen.

it-fuchs flieht vor bitlocker
(Von Bing-AI gezeichnet)

Das Systemlaufwerk bekommt seine Informationen beim Neustart aus dem TPM.
Wie geht man idealerweise mit weiteren (Datenlaufwerken, z.B. für SQL-Datenbanken) um, damit bei Neustarts die Laufwerke sofort zur Verfügung stehen und kein Password eingegeben werden muss?

Dir ist aber schon klar, dass dieser Schutz (Laufwerksverschlüsselung) nur bei einem ausgeschalteten Server sinnvoll schützt und bei einem eingeschalteten, eigentlich nur Ärger mit sich bring?

Was ist hier bei Servern eigentlich State of the Art?

Wir verschlüsseln wenn dann punktuell, aber ganz sicher keine ganzen Server, da schlichtweg keiner unserer Kunden diese durch die Gegend spazieren trägt.
Ausserdem betten die Meisten heutzutage eher, dass deren Server eben nicht verschlüsselt werden. 🙃

Seht ihr Bitlocker bei Servern als obligatorisch oder reicht dem einem oder anderem Unternehmen auch ein angemessener Diebstalschutz (Panzertüren, Fenstergitter etc.).

Panzertür, Wachhund, Selbstschussanlage ... was auch immer, aber bitte nicht Vollverschlüsselung und schon gar nicht Bitlocker, denn das werden dir mindestens die User, wahrscheinlich niemals wieder verzeihen.

Gruss Alex
MysticFoxDE
MysticFoxDE 01.05.2024 um 10:45:18 Uhr
Goto Top
Moin @Essiess,

es geht um die Umsetzung von Zielvorstellungen nach NIS-2, 27001 oder Versicherungen wo es heißt: "Serverdatenträger sollen verschlüsselt sein".

wenn bei solchen Dingen "soll" dran steht, dann kannst du diese, im Sinne von "machen muss", auch einfach ignorieren. 😉

Das Szenario wäre also Schutz für den Fall, dass jemand unbefugt in den Beitz eines Serverdatenträgers oder einer VXDX-Datei eines virtuellen Servers gelangt (z.B. durch Diebstahl).

Und die Lösung dafür sollte z.B. folgend aussehen.

https://datacenter-group.com/de/leistungen/products/dc-itsafe/dc-it-safe ...

- Einbruchschutz und Schutz vor unerlaubtem Fremdzugriff nach EN1627
+
- Brandschutz nach ECB*S und EN 1047-2
(opt. mit interner Brandschutz und Löschanlage)
+
- Explosionsschutz nach EN 13123-2 / 13124-2
+
- Wasser- und Staubschutz nach EN 60529
+
- Schutz vor Strahlung
+
- Redundante Klimatisierung
+
- Schutz vor schädlichen Gasen

🤪

Und das Ganze für gerade mal einen mittleren fünfstelligen Betrag. 😉


Meine Frage ist auch: Was macht der überwiegende Teil der KMU?

Die die ich kenne, machen zwischen nicht viel und der oberen Variante.
Vollverschlüsselte Serverplatten, habe ich in der freien Wildbahn (zum Glück) jedoch noch keine gesehen.

Gruss Alex
MysticFoxDE
MysticFoxDE 01.05.2024 um 11:06:52 Uhr
Goto Top
Moin @c.r.s.,

Physikalische Sicherheit als Alternative zur Verschlüsselung greift zu kurz.

jain, wenn die physikalische Sicherheit ordentlich umgesetzt ist und auch die Entsorgung nach Lebensende ordentlich organisiert ist, dann kann man sehr wohl auf die Vollverschlüsselung, vor allem bei Servern, pfeifen.

Wie alle technischen Maßnahmen errichtet die Verschlüsselung eine organisatorische Barriere, die man erstens sehr vielfältig nutzen kann und sich daher im Regelfall auzahlt.

Eben nicht, weil einer Verschlüsselung niemals nur mit Vorteilen verbunden ist, sondern sehr oft auch massive Nachteile mit sich bringt, wie z.B. massiven Performanceverlust.

Der Aufwand, solche Aspekte zu handhaben, in der Richtlinie und Durchsetzung, wird durch die Verschlüsselung wesentlich verringert.

Bei dem einen Aspekt schon, aber spätestens bei Thema Backup, sieht das Ganze wieder komplett umgekehrt aus.

Bei Servern würde ich niemals allein ein TPM verwenden, da alle Angriffe die für Laptops gelten, auf Server-Hardware sehr viel einfacher sind.

Sorry, aber das ist weder Vorne noch Hinten korrekt.
Denn zum einen lassen sich bei weitem nicht alle Notebooks mit dem vor ein paar Monaten durch die Medien gegangenen Trick entsperren, sondern nur eine handvoll meist sehr veralteter Geräte und zum anderen klappt dieser Angriff nur bei einem Hardware-TPM, aber nicht bei einem "Software-TPM", welches üblicherweise bei VM's verwendet wird.

Gruss Alex
Dani
Dani 01.05.2024 um 11:38:48 Uhr
Goto Top
Moin,
Wie geht man idealerweise mit weiteren (Datenlaufwerken, z.B. für SQL-Datenbanken) um, damit bei Neustarts die Laufwerke sofort zur Verfügung stehen und kein Password eingegeben werden muss?
Für die Windows Welt hat Kollege @DerWoWusste bereits das Verfahren und Technik beschrieben. Alternativ fällt mir noch im Bereich Windows Trellix ein. Im Linux Bereich hat jeder Hersteller meistens eine eigene Lösung (bei Suses ist es cryptctl Server, RedHat Tang Server).

Was ist hier bei Servern eigentlich State of the Art?
Frage 10 Leute, hast du 11 Meinungen. Es hängt doch immer vom Schutzbedarf des Unternehmens, Anforderungen durch lokale Gesetzgebungen in den verschiedenen Ländern, Anforderungen von Kunden, etc. Da gibt es kein schwarz-weiß.

Seht ihr Bitlocker bei Servern als obligatorisch oder reicht dem einem oder anderem Unternehmen auch ein angemessener Diebstalschutz (Panzertüren, Fenstergitter etc.).
Mein AG verschlüsselt seit 2-3 Jahren alle neuen VMs/Server ohne Ausnahme. Davor wurden nur auf Wunsch und Anforderung dies getan. Zudem kam auch lokale Gesetzgebungen in einigen Ländern, die die Komplexität erhöht haben. Irgendwann hat man auf Grund der Vielzahl an VMs den Überblick verloren, bis es 2-3 zu einem Lockout kam, weil der Application Admin, der Entwickler, etc. nicht über die notwendige Information verfügt hat. Da wurde eine Menge Zeit und Geld verbrannt, um wieder an die Daten zu kommen.


Gruß,
Dani
ThePinky777
ThePinky777 01.05.2024 aktualisiert um 16:37:39 Uhr
Goto Top
Also meine Erfahrungen:

Ist ein Laufwerk mit Bitlocker geschützt kannst du z.B. bei Veeam keine einzeldateien rücksichern, sondern eben nur FULL das Virtuelle Hard Disk File. wenn das also im sinne des Erfinders ist >> dann nein danke.

Stattdessen haben wir eben die Tapes welche das Haus verlassen also Encrypted schreiben lassen mit Passwort gesichert. Und bitte nicht Firmenname1234 sondern es waren wirkliche super kryptischen passwörter 20 stellig.

Weiterer nachteil war das beim Server reboot man als Admin dann immer die Festplatte entsperren musste und dauerhaft per RDP drin war (RDP abmelden bedeutete auch das die Hardisk sich sperrt und keine Datenfreigaben mehr gehen), total sinnvoll?

also ich würde sowas NIE MEHR benutzen. und technisch gesehen bringt es auch keine sicherheit, ja bei server diebstahl aus dem server raum, wenn das aber so passiert dann muss man sich schon fragen wie das laufen konnte. Besser investieren in ne alarmanlage welche automatisch die polizei alarmiert und in richtige stahltüren vom serverraum mit panzer schloss dran face-smile
Starmanager
Starmanager 02.05.2024 um 07:40:05 Uhr
Goto Top
Was soll die Verschluesselung eines Servers bringen? Er muss ja nach dem Start alle Daten wieder im Netzwerk zur Verfuegung stellen. Zudem braucht es Performance und nach einem Update kann mal alles gewaltig in die Hose gehen. Also ein Server braucht nur eine sichere Umgebung und immer genug Strom.
WoitschekBF3
WoitschekBF3 05.05.2024 um 21:54:23 Uhr
Goto Top
Wenn mich nicht alles täuscht macht es Sinn, Bitlocker zu aktivieren wenn ein Mobiles Gerät im Einsatz ist. Serverraum Geschichten wurden ja schon erwähnt.
Dani
Dani 09.05.2024 aktualisiert um 09:38:05 Uhr
Goto Top
Moin,
Was soll die Verschluesselung eines Servers bringen?
wir stellen damit sicher, dass
  • entwendete VMs/MVDKs nicht nutzbar bzw. nur in bestimmten Umgebungen nutzbar sind. Da den Überblick zu behalten und sowas zu merken ist ab einer gewissen Stückzahl von VMs, Plattformen und Personal nahe zu unmöglich.
  • kritische VMs wie öffentliche PKIs, Lohnabrechnungen, Personaldaten, etc. nochmals zu schützen
  • VMs laufen auch außerhalb von Deutschland (Spanien, Finnland, USA, Indien, Japan, China, etc.). Da möchte man im Worst Case einen Rückzugsplan haben.


Gruß,
Dani