quin83
Goto Top

Bitlocker und Admin-Rechte

Hi,

wir sind aktuell dabei, den Rollout von Bitlocker auf unseren 50 Clients (Windows 10) zu planen.

Bei den Tests ist uns dabei aufgefallen, dass ein normaler User das Bitlocker Passwort nicht zurücksetzen kann, wenn das alte Passwort vergessen wurde.
Um das Passwort mit dem Recovery-Key neu zu setzen, sind Admin-Rechte erforderlich, welche der User halt nicht hat.

Normale Passwort-Änderungen sind für den User möglich, es geht nur um den Passwort-Vergessen-Prozess.

Wir sind nun auf der Suche nach einer dieser folgenden Lösungen:

a) Bitlocker so zu beeinflussen, dass der User das Passwort neu setzen kann, ohne Admin-Rechte zu benötigen.

b) Ein bestimmtes Programm / Script unter Windows als normaler User mit Admin-Rechten auszuführen (wie unter Unix mit sudo)

c) Evtl. gibt es auch ein kleines 3rd Party Admin-Tool für Bitlocker (nicht so komplex wie MBAM)?

Jemand eine Idee?

Danke.

Content-ID: 305215

Url: https://administrator.de/forum/bitlocker-und-admin-rechte-305215.html

Ausgedruckt am: 22.12.2024 um 19:12 Uhr

DerWoWusste
Lösung DerWoWusste 24.05.2016 aktualisiert um 09:18:14 Uhr
Goto Top
Hi.

Wir nutzen BL firmenweit seit einigen Jahren.
Eine Frage vorab: wie stellst Du dir denn den Kennwortwechsel vor? Ohne Kennwort kannst Du das Gerät doch nicht einmal mounten, du kannst ein Kennwort jedoch nur bei gemountetem Gerät ändern - das beobachtete Verhalten ist nur logisch.
Wenn ein Nutzer sein Kennwort vergisst, muss eh ein Admin das Gerät starten - und dann kann er auch gleich mit dem Nutzer zusammen die Änderung durchführen.

Das beantworte bitte zunächst. Ich kann Dir auch a,b und c beantworten, sehe aber zunächst mal gar keinen Sinn darin.
Ich schätze, Du gedenkst, dem Nutzer den Recoverykey mitzuteilen - das sollte man nicht tun. In Notfällen (Nutzer ist on the road), kannst Du das natürlich machen und dann verstehe ich auch, warum Du dann das Kennwort ändern möchtest.
Es ginge so: du lässt den Nutzer sein Kennwort in eine Datei eintragen oder übergibst es einem Skript. Das Skript arbeitet mit manage-bde oder Powershell und löscht den Kennwortprotektor und setzt das neue Kennwort. Das Skript wird von einem Task gestartet, der mit hohen Rechten arbeitet und man muss den Nutzer berechtigen, diesen Task zu starten.
Min1rebel
Min1rebel 25.05.2016 um 16:18:49 Uhr
Goto Top
Hallo zusammen,

angenommen, dem Nutzer, der sein Passwort vergessen hat, wird das Passwort mitgeteilt, da wie bereits von dir angesprochen, der User nicht immer online ist.

Welche Nachteile ergeben sich dadurch für die IT, wenn der User dieses zweite Kennwort kennt und welche Möglichkeiten gibt es, um in Sonderfällen trotzdem auf diese Methode zurückgreifen zu können, ohne dass der Nachteil auftritt?

Ohne die genauen Folgen der Recoverykeyausgabe zu kennen, würde ich momentan ein Skript verwenden, das ausgeführt wird (manuell durch den Systemadmin), sobald der entsprechende Benutzer wieder erreichbar ist (RDP, Teamviewer, direkt vor Ort) und z.B. per manage-bde den Recoverykey löscht und neu erzeugt.
DerWoWusste
DerWoWusste 25.05.2016 um 16:35:24 Uhr
Goto Top
Hi.

Der Recoverykey ermöglicht es Dir, offline an die Platte ranzugehen und Daten einzusehen, oder Dich zum lokalen Admin zu erheben (oder Hashes auszuspionieren, oder...). Auch ein Kennwort als Protektor (und nicht wie von MS empfohlen das TPM+PIN) ermöglicht das selbe, insofern ist der Nachteil nicht so groß, den er haben würde, denn es ist eh unsicher.
DerWoWusste
DerWoWusste 06.06.2016 um 11:34:46 Uhr
Goto Top
Quin83, kommt nun noch ein Kommentar von Dir?
quin83
quin83 23.06.2016 um 16:12:17 Uhr
Goto Top
Hi.

danke dir, wir hatten da einen Denkfehler drin.