Bitlocker für AD unter Server 2008
Habe bereits ein Handbuch zur Hilfe genommen (Windows Server 2008 - Serveradministration) und bin die Schritte durchgegangen, wie ich ein einen Windows 2008 Enterprise Server mit Bitlocker ohne TPM Chip verschlüssel.
Der Server dient als DC und stellt die Dienste DHCP, DNS und ADS bereit. Habe bereits einen Clientcomputer mit Windows 7 Ent installiert eine Partition verschlüsselt und bei der Frage ob ich die Textdatei mit dem Wiederherstellungsschlüssel speicher will habe ich diese bestätigt und auf dem Server ein Verzeichnis für diesen Schlüssel in einem Ordner mit Computernamen gespeichert.
Da das Microsoft Training Handbuch nichts weiter als die Verschlüsselung des Server selber bescheibt und im Internet auf verschiedenste Artikel gestoßen bin woltle ich meine Problematik direkt hier schilder.
Ist es möglich das Active Directory dort mit ins Spiel zu bringen. Z.B. durch Gruppenrichtlinien oder den Computerkonten welche sich im AD befinden. Was ich mir darunter vorstellen könnte, ist das Verschlüsselungsinformation oder die Bitlocker Systemstartdateien für einen USB stick direkt im AD hitnerlegt werden sobald eine Verschlüsselung des Clients gestartet wird?
Habe unter den lokalen Gruppenrichtlinien unter Computerkonfiguration-->Administrative Vorlagen --> Windowskomponenten --> Bitlocker-Laufwerkverschlüsselung einige Punkte wie:
Bitlocker-Sicherung in Active Directory-Domänendienste aktivieren
Systemsteuerungssetup: Wiederherstellungsordner konfigurieren
welche mich noch interessieren, ich aber nicht genau weiß wie diese Richtlinien Arbeiten bzw ob diese überhaupt was mit den Clientcomputern zu tun haben.
Bin für sämtliche Hinweise, Tipps und auch Anleitungen wie man so etwas in einem Netzwerk mit Domäne einbinden kann dankbar.
MfG
Philipp
Der Server dient als DC und stellt die Dienste DHCP, DNS und ADS bereit. Habe bereits einen Clientcomputer mit Windows 7 Ent installiert eine Partition verschlüsselt und bei der Frage ob ich die Textdatei mit dem Wiederherstellungsschlüssel speicher will habe ich diese bestätigt und auf dem Server ein Verzeichnis für diesen Schlüssel in einem Ordner mit Computernamen gespeichert.
Da das Microsoft Training Handbuch nichts weiter als die Verschlüsselung des Server selber bescheibt und im Internet auf verschiedenste Artikel gestoßen bin woltle ich meine Problematik direkt hier schilder.
Ist es möglich das Active Directory dort mit ins Spiel zu bringen. Z.B. durch Gruppenrichtlinien oder den Computerkonten welche sich im AD befinden. Was ich mir darunter vorstellen könnte, ist das Verschlüsselungsinformation oder die Bitlocker Systemstartdateien für einen USB stick direkt im AD hitnerlegt werden sobald eine Verschlüsselung des Clients gestartet wird?
Habe unter den lokalen Gruppenrichtlinien unter Computerkonfiguration-->Administrative Vorlagen --> Windowskomponenten --> Bitlocker-Laufwerkverschlüsselung einige Punkte wie:
Bitlocker-Sicherung in Active Directory-Domänendienste aktivieren
Systemsteuerungssetup: Wiederherstellungsordner konfigurieren
welche mich noch interessieren, ich aber nicht genau weiß wie diese Richtlinien Arbeiten bzw ob diese überhaupt was mit den Clientcomputern zu tun haben.
Bin für sämtliche Hinweise, Tipps und auch Anleitungen wie man so etwas in einem Netzwerk mit Domäne einbinden kann dankbar.
MfG
Philipp
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 147330
Url: https://administrator.de/forum/bitlocker-fuer-ad-unter-server-2008-147330.html
Ausgedruckt am: 23.12.2024 um 07:12 Uhr
4 Kommentare
Neuester Kommentar
Hi Philipp.
Schreib doch nebenbei auch deutlich auf, was Du erreichen willst und wobei Du nicht weiterkommst oder Verständnisprobleme hast.
Du möchtest Clients verschlüsseln (ohne TPM) und dabei Schlüssel zentral speichern, um was zu erreichen?
Nebenbei: es gibt bei MS ausführliche Anleitungen zum Rollout von Bitlocker - hast Du diese gefunden und gelesen?
Nebenbeinebenbei:
-ohne TPM->USB Stick erforderlich->sehr unkomfortabel, wenn es dennoch sicher sein soll
-schon nachgedacht über Kennwortwechsel?
-schon nachgedacht über Sicherheit gegen Cold boot attacks? Dagegen braucht Bitlocker nämlich zusätzlich eine PIN - und die gibt's nicht ohne TPM. Somit ist ohne TPM evtl. gar nicht die Sicherheit zu erreichen, die Ihr benötigt, ohne auf andere Software auszuweichen.
-wollt Ihr überhaupt Enterprise lizenzieren? Das ist teuer und eine Überlegung wäre somit, Pro zu nehmen und eine andere Verschlüsselung zu kaufen. mein Tipp: PGP Wholedisk 10.
Schreib doch nebenbei auch deutlich auf, was Du erreichen willst und wobei Du nicht weiterkommst oder Verständnisprobleme hast.
Du möchtest Clients verschlüsseln (ohne TPM) und dabei Schlüssel zentral speichern, um was zu erreichen?
Nebenbei: es gibt bei MS ausführliche Anleitungen zum Rollout von Bitlocker - hast Du diese gefunden und gelesen?
Nebenbeinebenbei:
-ohne TPM->USB Stick erforderlich->sehr unkomfortabel, wenn es dennoch sicher sein soll
-schon nachgedacht über Kennwortwechsel?
-schon nachgedacht über Sicherheit gegen Cold boot attacks? Dagegen braucht Bitlocker nämlich zusätzlich eine PIN - und die gibt's nicht ohne TPM. Somit ist ohne TPM evtl. gar nicht die Sicherheit zu erreichen, die Ihr benötigt, ohne auf andere Software auszuweichen.
-wollt Ihr überhaupt Enterprise lizenzieren? Das ist teuer und eine Überlegung wäre somit, Pro zu nehmen und eine andere Verschlüsselung zu kaufen. mein Tipp: PGP Wholedisk 10.
Ich rate Dir, erstmal zu hinterfragen, was für eine Sicherheitsanforderung Du hast. USB-Schlüssel finde ich sehr unschön. Die sind doch immer beim PC - ein Dieb wird diese oft genug mit vorfinden.
Über die Links stolperst Du, wenn Du nach bitlocker deployment googelst.
http://technet.microsoft.com/en-us/library/cc766015(WS.10).aspx
http://www.microsoft.com/downloads/details.aspx?familyid=41BA0CF0-57D6- ...
Über die Links stolperst Du, wenn Du nach bitlocker deployment googelst.
http://technet.microsoft.com/en-us/library/cc766015(WS.10).aspx
http://www.microsoft.com/downloads/details.aspx?familyid=41BA0CF0-57D6- ...