mrheisenberg
Goto Top

Bitlocker und StartupPin

Moinsen Leute,

so nachdem bei uns nun der BitLocker soweit läuft, und ich bei einem Beitrag von mir die Info bekommen habe, naja eigentlich die Aufforderung einen StartPin zu generieren bzw. diesen zu machen stellt sich mir nun eine Frage, wie macht Ihr die Zentrale Verwaltung?

Wir nutzen Defender als Endpoint, nur da hab ich keine Einstellung gefunden und jetzt wäre mir ein Input ganz gut gelegen, welche Systeme nutzt Ihr um den StartPin Zentral zu speichern, ausrollen muss nicht direkt über uns passieren, der User soll sich seinen Pin selbst aussuchen, nur ich würd den gerne Abgreifen und evtl. ins AD schreiben, damit wenn ein Supportfall auftritt, wir nicht lange mit dem User herumeiern und ich den Zentral auslese.

Für sachdienliche Hinweise bin ich offen ;)

Grüße

Content-ID: 668510

Url: https://administrator.de/contentid/668510

Printed on: October 15, 2024 at 06:10 o'clock

Bella21
Bella21 Oct 01, 2024 at 10:47:34 (UTC)
Goto Top
Hallo,

ich kenne leider keine direkte Option, aber vielleicht lässt sich das über ein PowerShell-Skript lösen?

LG
MysticFoxDE
MysticFoxDE Oct 02, 2024 at 06:23:23 (UTC)
Goto Top
Moin @MrHeisenberg,

so nachdem bei uns nun der BitLocker soweit läuft, und ich bei einem Beitrag von mir die Info bekommen habe, naja eigentlich die Aufforderung einen StartPin zu generieren bzw. diesen zu machen

👍

stellt sich mir nun eine Frage, wie macht Ihr die Zentrale Verwaltung?

das ist eine sehr gute und auch eine sehr heikle Frage, denn insbesondere diese Daten, solltest du ganz sorgfältig verwalten ...

Wir nutzen Defender als Endpoint, nur da hab ich keine Einstellung gefunden und jetzt wäre mir ein Input ganz gut gelegen, welche Systeme nutzt Ihr um den StartPin Zentral zu speichern, ausrollen muss nicht direkt über uns passieren, der User soll sich seinen Pin selbst aussuchen, nur ich würd den gerne Abgreifen und evtl. ins AD schreiben, damit wenn ein Supportfall auftritt, wir nicht lange mit dem User herumeiern und ich den Zentral auslese.

... und zwar am besten nicht in dem AD, denn da kommt ein Angreifer am einfachsten ran. 😔

Für sachdienliche Hinweise bin ich offen ;)

Na ja, wie auch bei andere Dingen, gibt es auch hier diverseste Ansätze.

Das folgende gehört sicherlich zu den grössten Kalibern ...

https://www.cyberark.com/de/

... und das hier ist eine sehr gute Mitte ...

https://devolutions.net/de/

... sprich, nimm für die Verwaltung derart kritischer Informationen, lieber ein anderes Werkzeug, aber bitte bitte nicht das AD.

Das gilt übrigens auch für den Wiederherstellungsschlüssel.

Und ja, im AD währe es natürlich für euch verwaltungstechnisch am einfachsten, aber wie ich es schon geschrieben habe, für die Angreifer ist es das dann auch. 😔

Gruss Alex
Seekuhritty
Seekuhritty Oct 02, 2024 at 10:00:30 (UTC)
Goto Top
Gar nicht!
Der Pin ist wie das Userpasswort "Persönlich und Privat" und sollte meiner Meinung nach nirgendwo Zentral gespeichert werden.

Wenn du eine Hintertür schaffen willst, nimm Windows LAPS. Funktioniert mit lokalem AD und Azure, du hast zentrale Passwörter und kannst diese bei Bedarf sogar den Usern mitteilen, um den lokalen Admin zu aktivieren.