Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst BitLocker im Unternehmen ohne MBAM

Mitglied: Schroedi

Schroedi (Level 1) - Jetzt verbinden

30.04.2019 um 11:11 Uhr, 416 Aufrufe, 17 Kommentare

Hallo zusammen,

ich habe einige Fragen zum Thema BitLocker im Unternehmen.

Durch die Abkündigung von MBAM bin ich nun gezwungen entweder BitLocker über GPOs und Key in der AD zu steuern, oder ein externes Produkt einzusetzen. Die MS Alternative alles in die Cloud zu verlagern ist hier nicht gewünscht.

Daher folgende Fragen:

1. BitLocker zieht nur bei Domain-joined Clients. Wie sieht es aus wenn der jenige mit seinem Notebook offline ist oder nicht per VPN Verbunden ist. Wir haben viele Außendienstmitarbeiter, die in der Weltgeschichte rumreisen und hier telefonisch nicht immer jemanden erreichen. Wie kommen diese Kollegen im Fall der Fälle an ihren Rec Key bzw. funktioniert diese Methode offline überhaupt?
2. Gibt es irgendeine Möglichkeit abseits von MBAM das zu monitoren?
3. Generell sind bei uns alle Geräte in der Domäne, dennoch gibt es sicher eine Hand voll die es nicht sind. Macht in diesem Fall vielleicht eine Agent basierte Lösung mehr Sinn (ESET Data Encryption oder Sophos SafeGuard)?

Würde mich auch interessieren, wie ihr das in euren Umgebungen umgesetzt habt.

Danke schonmal.
Mitglied: joehuaba
30.04.2019, aktualisiert um 12:47 Uhr
Hallo @Schroedi,

1.
Wenn ein Client offline ist, funktioniert der hinterlegte Key im AD trotzdem. Dieser kann ja dann telefonisch mitgeteilt werden.

2.
Monitoren geht, müsste aber dann etwas per Gruppenrichtlinie gebaut werden.
Abfragen kann man den Status so:
https://www.itnator.net/bitlocker-status-per-powershell-anzeigen/
Den Status lässt du dann in eine Excel schrieben. Ist zwar nicht schön, aber vlt eine Alternative?!

3.
Das ist dann natürlich schwer. Wenn der Key nicht in die Domäne (AD) geschrieben werden kann, müsstest du sie "offline" verwalten.
Lösungen wie von dir beschrieben funktionieren bestimmt auch.


Wir haben (gottseidank) nur Geräte, die im AD sind. Daher lassen wir den Key in das AD schreiben.
https://www.itnator.net/tpm-bitlocker-schlussel-in-active-directory-spei ...


Gruß joehuaba
Bitte warten ..
Mitglied: DerWoWusste
30.04.2019 um 11:58 Uhr
Hi.

BL "zieht" nur in der Domäne? Was soll das nun heißen? Das hat mit der Domäne erstmal nichts zu tun.
Recoverykeys per self-service erreichbar zu machen, ist sicherheitstechnisch ein no-Go. Mach das lieber nicht und lass dich stattdessen von denen anrufen im Fall der Fälle. Allerdings sollte dieser Fall nie eintreten, wenn Nutzer sich lediglich eine 6-stellige PIN merken müssen. In meinem nachfolgenden Artikel steht beschrieben, wie Du die PINS erzeugst und notierst
2. ja, siehe https://administrator.de/wissen/bitlocker-verschl%C3%BCsselung-monitorin ...
3. Das geskriptet zu verschlüsseln ohne Domain-joined zu sein, geht natürlich auch.
Bitte warten ..
Mitglied: Schroedi
30.04.2019 um 12:14 Uhr
Zitat von DerWoWusste:

Hi.

BL "zieht" nur in der Domäne? Was soll das nun heißen?

Das habe ich so nicht geschrieben. Ich wollte sagen, dass BitLocker per GPO nur an Domain-joined Clients funktioniert. Das sollte nur eine Einleitung sein.

Anrufen ist schon ok. Allerdings ist die IT nicht 24/7 besetzt. Wenn im Fall der Fälle der Kollege Samstags in China nicht an seine Daten kommt haben wir ein Problem. Aber das ist ein organisatorisches Thema und muss hier nicht besprochen werden. Ich lese mir deinen Beitrag kurz durch.
Bitte warten ..
Mitglied: Schroedi
30.04.2019 um 12:17 Uhr
lokale GPO mal ausgenommen.
Bitte warten ..
Mitglied: DerWoWusste
30.04.2019 um 12:51 Uhr
Anmerkung zu Deinen Dienstreisenden: Einen Webservice mit Authentifizierung bereitzustellen, ist sicherlich für jeden möglich - nur würde ich dort nicht die Recoverykeys hinterlegen, sondern die PINs. Die Recoverykeys werden quasi nie gebraucht.
Bitte warten ..
Mitglied: Schroedi
30.04.2019 um 13:34 Uhr
Jap auch eine Idee.
Bitte warten ..
Mitglied: Schroedi
30.04.2019 um 13:55 Uhr
Hab ich das richtig verstanden, dass die PIN im BIOS/UEFI gespeichert wird?
Bitte warten ..
Mitglied: DerWoWusste
30.04.2019 um 14:16 Uhr
Nein, die PIN wird nirgendwo gespeichert. Das Bios speichert nichts von Bitlocker. Der TPM Chip speichert den starken Schlüssel und die PIN stellt den schwachen Schlüssel zum starken Schlüssel dar.
Bitte warten ..
Mitglied: Schroedi
30.04.2019 um 14:22 Uhr
Ok verstanden. Wie läuft das bei Geräten ohne TPM Chip?
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 30.04.2019 um 14:35 Uhr
Die haben keine PIN. PIN geht nur mit TPM.
Ohne TPM sollte man in gesicherten Umgebungen meiden, da dann ein Kennwort an den Nutzer vergeben werden muss, mit dem er das System nicht nur starten kann, sondern auch manipulieren oder entschlüsseln für ihn möglich wird.
Bitte warten ..
Mitglied: Schroedi
30.04.2019 um 14:54 Uhr
Ok. Das hilft mir erstmal weiter.
Ich denke nicht das wir noch Geräte haben ohne TPM. Das älteste was mir hier bekannt ist, ist ein Lenovo T430. Der Großteil rennt mit Surface und neurerem Gerät durch die Gegend.

Danke erstmal.
Bitte warten ..
Mitglied: ipzipzap
30.04.2019 um 15:40 Uhr
Hallo

Zitat von DerWoWusste:

Anmerkung zu Deinen Dienstreisenden: Einen Webservice mit Authentifizierung bereitzustellen, ist sicherlich für jeden möglich - nur würde ich dort nicht die Recoverykeys hinterlegen, sondern die PINs. Die Recoverykeys werden quasi nie gebraucht.

Sorry wenn ich kurz dazwischengrätsche, aber hättest Du da evtl. einen Link zu einem entsprechenden Produkt? Oder wie würdest du so einen Webservice realisieren? Selber programmieren?

cu,
ipzipzap
Bitte warten ..
Mitglied: DerWoWusste
30.04.2019 um 18:37 Uhr
Das würde ich selbst machen. Entweder einen vertrauten Cloudanbieter nehmen, oder einen eigenen Webserver ins Internet stellen, der Authentifizierung bietet. Man sollte sich aber schon fragen, ob es den Aufwand (und ggf. Sicherheitsverlust) wert ist, denn wer vergisst spontan seine PIN auf der Dienstreise? Das geht doch hart gegen Null.
Bitte warten ..
Mitglied: Schroedi
02.05.2019 um 13:53 Uhr
Wir sind produzierendes Gewerbe und bei uns kommt es schon mal vor das Notebooks mehrere Monate unbenutzt im Schrank liegen. Die Kollegen haben mehrere Geräte. Hier erlebt man praktisch alles.

Ich führe demnächst einen PoC mit ESET durch. Mal sehen, was das so kann.
Bitte warten ..
Mitglied: DerWoWusste
02.05.2019 um 13:56 Uhr
PIN wegzulassen ist keine Option?
Bitte warten ..
Mitglied: Schroedi
02.05.2019 um 14:08 Uhr
Meinst du, dass die Laufwerke dann mit AD Anmeldung entschlüsselt werden?
Bitte warten ..
Mitglied: DerWoWusste
02.05.2019 um 14:15 Uhr
Ein BL-Laufwerk wird nie entschlüsselt, sondern aufgeschlossen. Nein, ich meine, du könntest nur den TPM nutzen. Windows bootet bis zur Anmeldemaske, als wäre es gar nicht verschlüsselt. Dennoch sind offline-Attacken unmöglich.
Bitte warten ..
Ähnliche Inhalte
Windows Server
MBAM 2.5 Client - Server Kommunikation
Frage von thatsrightWindows Server

Hallo Zusammen, ich habe an meinem Windows 7 Ent. Notebook (MBAM Client 2.5 SP1) eine Fehlermeldung, auf die ich ...

Verschlüsselung & Zertifikate

Bitlocker-Verschlüsselung und -Monitoring ohne MBAM

Tipp von DerWoWussteVerschlüsselung & Zertifikate1 Kommentar

Der Folgende Tipp beschreibt, wie man ohne MBAM die Verschlüsselung erzwingt und monitort. MBAM ist ein Enterprise-Benefit und somit ...

Windows Server

SQL Server Collation ändern für MBAM 2.5

Frage von SchroediWindows Server3 Kommentare

Hallo zusammen, ich baue gerade eine Testumgebung für MBAM auf, da wir in Zukunft BitLocker im Unternehmen nutzen möchten. ...

Windows Server

Microsoft BitLocker Administration and Monitoring (MBAM v2.5) Tips

Information von DaniWindows Server

Moin, neues aus der Reihe "Ask Premier Field Engineering (PFE) Platforms" Gruß, Dani

Neue Wissensbeiträge
Outlook & Mail

Outlook 2016 stürzt ab, wenn man ein (at)- Zeichen im Text einer neuen E-Mail schreibt

Tipp von Enriqe vor 7 StundenOutlook & Mail4 Kommentare

Bei uns in der Firma häuften sich die Fälle, bei denen sich Outlook kommentarlos verabschiedet, wenn man ein - ...

Google Android

Google sperrt Android-Updates und den Play Store für Huawei

Information von Deepsys vor 1 TagGoogle Android8 Kommentare

Das finde ich schon ein starkes Stück, Trump der Welt Diktator. So kann man mit einem Dekret mal eben ...

Windows 7

Südkoreas Regierung setzt auf Linux, um Windows 7 Clients abzulösen

Information von kgborn vor 1 TagWindows 74 Kommentare

Kleiner Infosplitter zum Wochenanfang: Während München (LiMux) und die niedersächsische Finanzverwaltung von Linux auf einen Windows 10-Client (und Office) ...

Internet
Big Brother is Watching You
Information von transocean vor 2 TagenInternet1 Kommentar

Moin, die Datenkrake Google fischt Informationen über Einkäufe ab, die GMail Nutzer im Netz tätigen. Gruß Uwe

Heiß diskutierte Inhalte
Windows Server
Passwortänderung an RODC möglich?
Frage von DexthaWindows Server21 Kommentare

Hallo, ich habe einen RODC, auf welchen ich über ldaps (Web-Seite mit php7) Passwortänderungen durchführen möchte. Ist das grundsätzlich ...

Windows 10
Windows am MAC
Frage von LeeX01Windows 1018 Kommentare

Guten Abend zusammen, ich habe gerade ein Macbook Pro vor mir welches ich mit einem Windows 10 to go ...

Windows Server
RDP als Citrix Alternative
Frage von samreinWindows Server14 Kommentare

Hallo zusammen, ich bin neu hier und das ist mein erster Beitrag. Ich bin Einzeladmin und wir setzen bei ...

Batch & Shell
Powershell Datum der zuletzt eingespielten Patche bei remote Servern ermitteln
Frage von bensonhedgesBatch & Shell14 Kommentare

Hallo, ich möchte gerne anhand einer Serverliste (bsp. computers.txt) via PS ermitteln, wann derjeweilige Server zuletzt gepatcht wurde (Liste ...