3
Bitlocker und StartupPin
Moinsen Leute,
so nachdem bei uns nun der BitLocker soweit läuft, und ich bei einem Beitrag von mir die Info bekommen habe, naja eigentlich die Aufforderung einen StartPin zu generieren bzw. diesen zu machen stellt sich mir nun eine Frage, wie macht Ihr die Zentrale Verwaltung?
Wir nutzen Defender als Endpoint, nur da hab ich keine Einstellung gefunden und jetzt wäre mir ein Input ganz gut gelegen, welche Systeme nutzt Ihr um den StartPin Zentral zu speichern, ausrollen muss nicht direkt über uns passieren, der User soll sich seinen Pin selbst aussuchen, nur ich würd den gerne Abgreifen und evtl. ins AD schreiben, damit wenn ein Supportfall auftritt, wir nicht lange mit dem User herumeiern und ich den Zentral auslese.
Für sachdienliche Hinweise bin ich offen ;)
Grüße
so nachdem bei uns nun der BitLocker soweit läuft, und ich bei einem Beitrag von mir die Info bekommen habe, naja eigentlich die Aufforderung einen StartPin zu generieren bzw. diesen zu machen stellt sich mir nun eine Frage, wie macht Ihr die Zentrale Verwaltung?
Wir nutzen Defender als Endpoint, nur da hab ich keine Einstellung gefunden und jetzt wäre mir ein Input ganz gut gelegen, welche Systeme nutzt Ihr um den StartPin Zentral zu speichern, ausrollen muss nicht direkt über uns passieren, der User soll sich seinen Pin selbst aussuchen, nur ich würd den gerne Abgreifen und evtl. ins AD schreiben, damit wenn ein Supportfall auftritt, wir nicht lange mit dem User herumeiern und ich den Zentral auslese.
Für sachdienliche Hinweise bin ich offen ;)
Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668510
Url: https://administrator.de/contentid/668510
Ausgedruckt am: 05.10.2024 um 03:10 Uhr
3 Kommentare
Neuester Kommentar
Hallo,
ich kenne leider keine direkte Option, aber vielleicht lässt sich das über ein PowerShell-Skript lösen?
LG
ich kenne leider keine direkte Option, aber vielleicht lässt sich das über ein PowerShell-Skript lösen?
LG
Moin @MrHeisenberg,
👍
das ist eine sehr gute und auch eine sehr heikle Frage, denn insbesondere diese Daten, solltest du ganz sorgfältig verwalten ...
... und zwar am besten nicht in dem AD, denn da kommt ein Angreifer am einfachsten ran. 😔
Na ja, wie auch bei andere Dingen, gibt es auch hier diverseste Ansätze.
Das folgende gehört sicherlich zu den grössten Kalibern ...
https://www.cyberark.com/de/
... und das hier ist eine sehr gute Mitte ...
https://devolutions.net/de/
... sprich, nimm für die Verwaltung derart kritischer Informationen, lieber ein anderes Werkzeug, aber bitte bitte nicht das AD.
Das gilt übrigens auch für den Wiederherstellungsschlüssel.
Und ja, im AD währe es natürlich für euch verwaltungstechnisch am einfachsten, aber wie ich es schon geschrieben habe, für die Angreifer ist es das dann auch. 😔
Gruss Alex
so nachdem bei uns nun der BitLocker soweit läuft, und ich bei einem Beitrag von mir die Info bekommen habe, naja eigentlich die Aufforderung einen StartPin zu generieren bzw. diesen zu machen
👍
stellt sich mir nun eine Frage, wie macht Ihr die Zentrale Verwaltung?
das ist eine sehr gute und auch eine sehr heikle Frage, denn insbesondere diese Daten, solltest du ganz sorgfältig verwalten ...
Wir nutzen Defender als Endpoint, nur da hab ich keine Einstellung gefunden und jetzt wäre mir ein Input ganz gut gelegen, welche Systeme nutzt Ihr um den StartPin Zentral zu speichern, ausrollen muss nicht direkt über uns passieren, der User soll sich seinen Pin selbst aussuchen, nur ich würd den gerne Abgreifen und evtl. ins AD schreiben, damit wenn ein Supportfall auftritt, wir nicht lange mit dem User herumeiern und ich den Zentral auslese.
... und zwar am besten nicht in dem AD, denn da kommt ein Angreifer am einfachsten ran. 😔
Für sachdienliche Hinweise bin ich offen ;)
Na ja, wie auch bei andere Dingen, gibt es auch hier diverseste Ansätze.
Das folgende gehört sicherlich zu den grössten Kalibern ...
https://www.cyberark.com/de/
... und das hier ist eine sehr gute Mitte ...
https://devolutions.net/de/
... sprich, nimm für die Verwaltung derart kritischer Informationen, lieber ein anderes Werkzeug, aber bitte bitte nicht das AD.
Das gilt übrigens auch für den Wiederherstellungsschlüssel.
Und ja, im AD währe es natürlich für euch verwaltungstechnisch am einfachsten, aber wie ich es schon geschrieben habe, für die Angreifer ist es das dann auch. 😔
Gruss Alex
Gar nicht!
Der Pin ist wie das Userpasswort "Persönlich und Privat" und sollte meiner Meinung nach nirgendwo Zentral gespeichert werden.
Wenn du eine Hintertür schaffen willst, nimm Windows LAPS. Funktioniert mit lokalem AD und Azure, du hast zentrale Passwörter und kannst diese bei Bedarf sogar den Usern mitteilen, um den lokalen Admin zu aktivieren.
Der Pin ist wie das Userpasswort "Persönlich und Privat" und sollte meiner Meinung nach nirgendwo Zentral gespeichert werden.
Wenn du eine Hintertür schaffen willst, nimm Windows LAPS. Funktioniert mit lokalem AD und Azure, du hast zentrale Passwörter und kannst diese bei Bedarf sogar den Usern mitteilen, um den lokalen Admin zu aktivieren.
