28
Bitlocker im Unternehmen einrichten
Hallo an alle,
ich weiß, die Frage wird viel Kritik bringen
Wir haben in unserem Unternehmen einige Außendienstmitarbeiter mit Notebooks.
Hier würden wir gerne Bitlocker nutzen, um das komplette Laufwerk zu verschlüsseln.
Leider habe ich 0 Praxiserfahrung.
Könnt ihr mir Seiten nennen, auf denen die Einrichtung beschrieben wird?
Alle Notebooks gehören einer 2012 R2 AD Domäne an.
Muss man in der Domäne irgendwelche Einstellungen vornehmen oder macht man das alles am Gerät?
Wenn ich es richtig verstehe, sollte das Notebook einen TPM Chip besitzen?
Dann kann man TPM+PIN einstellen, welchen man bei jedem Start eingeben muss.
Windows 7 Enterprise oder Win 8 Pro/Enterprise wird benötigt.
Habt ihr positive Erfahrungen mit Bitlocker? Da wird Notebooks von Dell einsetzen, wurde uns die Dell Data Protection angeboten.
Hat jmd dazu auch Erfahrungen?
Vielen Dank im Voraus!!
ich weiß, die Frage wird viel Kritik bringen
Wir haben in unserem Unternehmen einige Außendienstmitarbeiter mit Notebooks.
Hier würden wir gerne Bitlocker nutzen, um das komplette Laufwerk zu verschlüsseln.
Leider habe ich 0 Praxiserfahrung.
Könnt ihr mir Seiten nennen, auf denen die Einrichtung beschrieben wird?
Alle Notebooks gehören einer 2012 R2 AD Domäne an.
Muss man in der Domäne irgendwelche Einstellungen vornehmen oder macht man das alles am Gerät?
Wenn ich es richtig verstehe, sollte das Notebook einen TPM Chip besitzen?
Dann kann man TPM+PIN einstellen, welchen man bei jedem Start eingeben muss.
Windows 7 Enterprise oder Win 8 Pro/Enterprise wird benötigt.
Habt ihr positive Erfahrungen mit Bitlocker? Da wird Notebooks von Dell einsetzen, wurde uns die Dell Data Protection angeboten.
Hat jmd dazu auch Erfahrungen?
Vielen Dank im Voraus!!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 277846
Url: https://administrator.de/contentid/277846
Printed on: April 27, 2024 at 22:04 o'clock
28 Comments
Latest comment
Hi.
Ich würde dich wegen der Frage nicht kritisieren, warum auch? Wegen der Bitlocker-Wahl etwa? HIntertüren Microsofts? Lass mal gut sein
TPM ist sehr ratsam. Prüfe zunächst, ob die Books das haben, dann sehen wir weiter.
Ich würde dich wegen der Frage nicht kritisieren, warum auch? Wegen der Bitlocker-Wahl etwa? HIntertüren Microsofts? Lass mal gut sein
TPM ist sehr ratsam. Prüfe zunächst, ob die Books das haben, dann sehen wir weiter.
Hi,
nein, ich meinte eher, weil ich vollkommen unvorbereitet eine Frage stelle und eine Lösung verlange)
Wir wollen die jetzigen Notebooks aus Altersgründen sowieso ersetzen.
Wir stehen jetzt also kurz bevor, zwei neue Notebooks zu kaufen, und diese als die Ersten mit Bitlocker einzurichten.
Das heißt für uns, auf jeden Fall mit TPM Chip.
nein, ich meinte eher, weil ich vollkommen unvorbereitet eine Frage stelle und eine Lösung verlange
)Wir wollen die jetzigen Notebooks aus Altersgründen sowieso ersetzen.
Wir stehen jetzt also kurz bevor, zwei neue Notebooks zu kaufen, und diese als die Ersten mit Bitlocker einzurichten.
Das heißt für uns, auf jeden Fall mit TPM Chip.
Gut. Wenn Ihr neue kauft, dann sicherlich mindestens mit Win8.1, das unterstützt schon netunlock.
Ich skizziere mal in Kürze:
Deployment via GPOs: AD-Backup einschalten (verpflichtend vor dem Start der Verschlüsselung), AES 256 einschalten, evtl. advanced PIN einschalten.
Wenn Ihr Enterprise-Kunde seid, schau Dir auch optional mal MBAM an.
Aktivierung der Verschlüsselung via MBAM oder Skript (oder manuell).
Wenn Ihr netunlock nutzen wollt (das ist automatisches Aufschließen im Domänennetzwerk), dann schau Dir die Hardware-Requirements auch dafür an.
Insgesamt ist Bitlocker eine sehr runde und ausgereifte Sache.
Ich skizziere mal in Kürze:
Deployment via GPOs: AD-Backup einschalten (verpflichtend vor dem Start der Verschlüsselung), AES 256 einschalten, evtl. advanced PIN einschalten.
Wenn Ihr Enterprise-Kunde seid, schau Dir auch optional mal MBAM an.
Aktivierung der Verschlüsselung via MBAM oder Skript (oder manuell).
Wenn Ihr netunlock nutzen wollt (das ist automatisches Aufschließen im Domänennetzwerk), dann schau Dir die Hardware-Requirements auch dafür an.
Insgesamt ist Bitlocker eine sehr runde und ausgereifte Sache.
1
Hallo,
Sonst kann das auch voll nach hinten losgehen. Und so hast Du dann wenigstens
Übung in der Sache.
Gruß
Dobby
Leider habe ich 0 Praxiserfahrung.
Dann schnappe Dir mal zuerst ein neues Notebook und übe damit alles durch!Sonst kann das auch voll nach hinten losgehen. Und so hast Du dann wenigstens
Übung in der Sache.
Gruß
Dobby
ich habe diese Anleitung gefunden:
http://www.pc-magazin.de/ratgeber/bitlocker-festplatte-daten-verschlues ...
Kann man das so machen?
Schritt 1 mit gpedit.msc fällt ja weg, da TPM Chip verfügbar ist.
http://www.pc-magazin.de/ratgeber/bitlocker-festplatte-daten-verschlues ...
Kann man das so machen?
Schritt 1 mit gpedit.msc fällt ja weg, da TPM Chip verfügbar ist.
Natürlich geht das, das ist der manuelle Weg. Willst Du jedoch AD-Schlüsselbackup haben, musst Du das per GPO festlegen. Willst Du netunlock, musst Du auch noch Vorarbeiten treffen.
Sorry, ich muss nachfragen...
Mit Schlüsselbackup meinst du vermutlich den Wiederherstellungsschlüssel?
Also den Schlüssel, mit dem ich das NB trotzdem entschlüsseln kann, falls ich das Passwort vergessen habe?
Mit Schlüsselbackup meinst du vermutlich den Wiederherstellungsschlüssel?
Also den Schlüssel, mit dem ich das NB trotzdem entschlüsseln kann, falls ich das Passwort vergessen habe?
Genau
Hälst du die AD Methode für am sinnvollsten?
Ich schätze, Du weißt gar nicht, was "die AD-Methode" ist, oder?
Das Backup des Recovery-Keys ist verpflichtend, ohne startet Bitlocker nicht einmal die Verschlüsselung. Den Key ins AD zu schreiben ist sicher, denn wenn mal eine Sache sicher und gut gebackupt sein sollte, dann doch das AD.
Den Key zu drucken oder als Schlüsseldatei (.bek) wegzuspeichern, bleibt zusätzlich möglich.
Das Backup des Recovery-Keys ist verpflichtend, ohne startet Bitlocker nicht einmal die Verschlüsselung. Den Key ins AD zu schreiben ist sicher, denn wenn mal eine Sache sicher und gut gebackupt sein sollte, dann doch das AD.
Den Key zu drucken oder als Schlüsseldatei (.bek) wegzuspeichern, bleibt zusätzlich möglich.
in der Anleitung, die ich gepostet habe, habe ich aber nur folgende Möglichkeiten:
- in Microsoft-Konto speichern
- auf USB-Stick speichern
- in Datei speichern
- Wiederherstellungsschlüssel drucken
Wo kann ich einstellen, dass er im AD speichert?
- in Microsoft-Konto speichern
- auf USB-Stick speichern
- in Datei speichern
- Wiederherstellungsschlüssel drucken
Wo kann ich einstellen, dass er im AD speichert?
Philip, das hat miteinander nichts zu tun, 2 Paar Schuhe.
Die AD-Speicherung kannst Du, wie schon beschrieben, mit GPOs erzwingen: http://www.concurrency.com/wp-content/uploads/2011/05/BL-GPO-W7-Fixed.p ... <-so einstellen.
Die AD-Speicherung kannst Du, wie schon beschrieben, mit GPOs erzwingen: http://www.concurrency.com/wp-content/uploads/2011/05/BL-GPO-W7-Fixed.p ... <-so einstellen.
Okay
und in dem Auswahlmenü in der Anleitung sage ich dann einfach z.B. Wiederherstellungsschlüssel drucken und vernichte ihn danach?
Er lässt mich ja sonst nicht weiter?
Und wie genau funktioniert es dann, wenn ich meinen Key vergessen habe, mit dem Entsperren über AD?
Tauchen die Keys in irgendeiner Form im AD als Objekte auf?
und in dem Auswahlmenü in der Anleitung sage ich dann einfach z.B. Wiederherstellungsschlüssel drucken und vernichte ihn danach?
Er lässt mich ja sonst nicht weiter?
Und wie genau funktioniert es dann, wenn ich meinen Key vergessen habe, mit dem Entsperren über AD?
Tauchen die Keys in irgendeiner Form im AD als Objekte auf?
wups, Tatsache. Sorry, quer lesen reicht eben doch nicht immer.
Wenn die GPO greift, kannst Du auf weiter klicken, ohne dass Du irgendwohin speichern oder drucken musst. Greift sie nicht, ist der weiter-Button ausgegraut und man muss drucken/speichern. Wenn vergessen, dann kannst Du ihn aus dem Computerobjekt auslesen mit MBAM, oder direkt über ADUC, siehe http://static.spiceworks.com/images/how_to_steps/0000/5083/recovery_pas ...
Alles klar, danke bis hierhin!
Ist der ganze Vorgang unproblematisch bzgl. der Speicherung des Keys im AD?
Ist der ganze Vorgang unproblematisch bzgl. der Speicherung des Keys im AD?
Ja, völlig easy.
Ich hab mir nun mal ein Test Windows 8.1 Pro Notebook gegriffen und Bitlocker aktiviert.
GPO greift.
Er hat mich gefragt, ob ich den Wiederherstellungsschlüssel (direkt das erste Fenster) drucken will oder in Datei speichern.
Und ob ich komplett verschlüsseln will -> Ja
Systemüberprüfung
Neustart
Nun verschlüsselt er.
Ich wurde nicht gefragt, welches Kennwort ich beim Start eingeben muss...
Oder kommt das noch?
(Ich glaube die Verschlüsselung dauert jetzt erstmal ein Weilchen..)
GPO greift.
Er hat mich gefragt, ob ich den Wiederherstellungsschlüssel (direkt das erste Fenster) drucken will oder in Datei speichern.
Und ob ich komplett verschlüsseln will -> Ja
Systemüberprüfung
Neustart
Nun verschlüsselt er.
Ich wurde nicht gefragt, welches Kennwort ich beim Start eingeben muss...
Oder kommt das noch?
(Ich glaube die Verschlüsselung dauert jetzt erstmal ein Weilchen..)
Wenn du ein TPM Modul hast ist es normal das er nicht fragt, dann entschlüsselt er aber auch selbstständig die Platte bei jedem Start.
Ändern kannst du das nach der Verschlüsselung mit einem Rechtsklick auf die Festplatte im Arbeitsplatz und dann "Bitlocker verwalten".
Dort kannst du dann einen PIN für den Start Konfigurieren.
VG
Val
Ändern kannst du das nach der Verschlüsselung mit einem Rechtsklick auf die Festplatte im Arbeitsplatz und dann "Bitlocker verwalten".
Dort kannst du dann einen PIN für den Start Konfigurieren.
VG
Val
Man verschlüsselt mit sogenannten Protektoren. Diese können sein
TPM
TPM+PIN
TPM+PIN+USB-Key (paranoid)
USB-Key
Kennwort
Default ist TPM. Das bedeutet keine Kennworteingabe. Nimmt jemand das Laufwerk jedoch raus und versucht es in einem anderen Rechner auszulesen wird durch einen Mechanismus erkannt, dass das TPM nicht da ist und es wird das Wiederherstellungskennwort verlangt.
TPM allein ist nicht unsicher, jedoch bleiben Angriffswege offen, die sogenannte DMA-Attack und die Cold-Boot-Attack ->mal googlen.
TPM
TPM+PIN
TPM+PIN+USB-Key (paranoid)
USB-Key
Kennwort
Default ist TPM. Das bedeutet keine Kennworteingabe. Nimmt jemand das Laufwerk jedoch raus und versucht es in einem anderen Rechner auszulesen wird durch einen Mechanismus erkannt, dass das TPM nicht da ist und es wird das Wiederherstellungskennwort verlangt.
TPM allein ist nicht unsicher, jedoch bleiben Angriffswege offen, die sogenannte DMA-Attack und die Cold-Boot-Attack ->mal googlen.
Die Verschlüsselung ist nun zu Ende.
@DerWoWusste: Du hast ein Screenshot gepostet, der die GPO zeigt.
Muss ich das für Betriebsystemlaufwerke einstellen oder für Festplattenlaufwerke?
Dein Screenshot zeigt Festplattenlaufwerke, ich habe jetzt allerdings die komplette Festplatte verschlüsselt, auf der auch Windows installiert ist.
Im AD-Computerobjekt unter Bitlocker-Wiederherstellung sagt er mir: In dieser Ansicht sind keine Elemente vorhanden.
@119944: Wo genau kann ich den PIN einstellen? Unter Bitlocker Verwaltung bin ich. "TPM-Verwaltung" links unten?
Eine PIn braucht man doch auf jeden Fall, sonst kann ja jeder das Notebook booten uns sich anmelden?!
Ich habe das hier gefunden:
https://weikingteh.wordpress.com/2011/04/18/how-to-enable-bitlocker-to-p ...
@DerWoWusste: Du hast ein Screenshot gepostet, der die GPO zeigt.
Muss ich das für Betriebsystemlaufwerke einstellen oder für Festplattenlaufwerke?
Dein Screenshot zeigt Festplattenlaufwerke, ich habe jetzt allerdings die komplette Festplatte verschlüsselt, auf der auch Windows installiert ist.
Im AD-Computerobjekt unter Bitlocker-Wiederherstellung sagt er mir: In dieser Ansicht sind keine Elemente vorhanden.
@119944: Wo genau kann ich den PIN einstellen? Unter Bitlocker Verwaltung bin ich. "TPM-Verwaltung" links unten?
Eine PIn braucht man doch auf jeden Fall, sonst kann ja jeder das Notebook booten uns sich anmelden?!
Ich habe das hier gefunden:
https://weikingteh.wordpress.com/2011/04/18/how-to-enable-bitlocker-to-p ...
Muss ich das für Betriebsystemlaufwerke einstellen oder für Festplattenlaufwerke?
Für alle.Im AD-Computerobjekt unter Bitlocker-Wiederherstellung sagt er mir: In dieser Ansicht sind keine Elemente vorhanden.
Dann hat die Policy für OS-Lauwerke nicht gezogen, weil noch nicht erzwungen.Du kannst manuell ins AD backupen über Powershell oder cmd, schau dir mal das Kommando
manage-bde -protectors -adbackup -?
Okay, das manuelle Backup hat geklappt.
Jetzt ist nur die Frage, müsste er es automatisch machen?
Bzw. ein weiteres Mal sichern muss nicht mehr sein oder?
Jetzt ist nur die Frage, müsste er es automatisch machen?
Bzw. ein weiteres Mal sichern muss nicht mehr sein oder?
Nein, nochmal muss nicht sein.
Er macht es dann automatisch, wenn die Policies ziehen - war bei Dir noch nicht für OS-Drives der Fall, das war der Fehler.
Er macht es dann automatisch, wenn die Policies ziehen - war bei Dir noch nicht für OS-Drives der Fall, das war der Fehler.
habe nun nochmal auf einem zweiten Test-Notebook eingerichtet, hat alles einwandfrei funktioniert. Sehr schön.
Jetzt habe ich noch ein bisschen damit rumgespielt: ich habe u.a. den TPM Chip im Bios deaktiviert, um zu sehen was passiert.
Beim Booten wird direkt der Wiederherstellungschlüssel verlangt -> gut.
Dann habe ich TPM wieder aktiviert, nun will er ganz normal den PIN, er nimmt ihn aber nicht an?
Ist das normal?
Es könnte ja auch sein, dass die BIOS Batterie mal leer ist, dann wird TPM auch deaktiviert (ist ja standardmäßig so)
Das wäre nicht so schön.
Jetzt habe ich noch ein bisschen damit rumgespielt: ich habe u.a. den TPM Chip im Bios deaktiviert, um zu sehen was passiert.
Beim Booten wird direkt der Wiederherstellungschlüssel verlangt -> gut.
Dann habe ich TPM wieder aktiviert, nun will er ganz normal den PIN, er nimmt ihn aber nicht an?
Ist das normal?
Es könnte ja auch sein, dass die BIOS Batterie mal leer ist, dann wird TPM auch deaktiviert (ist ja standardmäßig so)
Das wäre nicht so schön.
Hm, ich bin mir nicht im Klaren darüber, was bei Deaktivierung und Aktivierung passiert. Aber glaub mal, dass dich das nur alle paar Jahre ereilt - und der Recoverykey wird weiterhin gehen.
Kannst Du denn nun die PIN neu setzen?
Kannst Du denn nun die PIN neu setzen?
Genau, hab die PIN neu gesetzt. (auf das selbe Kennwort wie vorher).
Nun wird sie auch wieder angenommen.
Nun wird sie auch wieder angenommen.
