Endgeräte Verschlüsselung bei Notebooks, welche Software?
Hallo Zusammen,
ich wurde von unserem kfm. Leiter beauftragt eine Lösung für die Endgeräteverschlüsselung unserer Notebooks auszuarbeiten bzw. zu finden. Wir möchten gerne eine zweite Authentifizierungsebene noch vor dem Windows haben, sodass die User quasi 2 Anmeldungen benötigen, die erste um das System zu entschlüsseln die andere um Zugriff auf das Windows zu erhalten.
Es soll sowohl für uns, also den Administratoren, als auch für die Endanwender möglichst einfach zu verwenden sein.
Folgende Voraussetzungen bestehen:
Windows Server 2008 R2 Active Directory
Notebooks sind alle von Dell mit Intel Prozessor
Windows 7 bzw. Windows 8.1 Client OS
Für unsere Außendienstler soll dies Primär genutzt werden, das heißt es muss unabhängig einer Domänenverbindung funktionieren.
MfG
Tjelvar
ich wurde von unserem kfm. Leiter beauftragt eine Lösung für die Endgeräteverschlüsselung unserer Notebooks auszuarbeiten bzw. zu finden. Wir möchten gerne eine zweite Authentifizierungsebene noch vor dem Windows haben, sodass die User quasi 2 Anmeldungen benötigen, die erste um das System zu entschlüsseln die andere um Zugriff auf das Windows zu erhalten.
Es soll sowohl für uns, also den Administratoren, als auch für die Endanwender möglichst einfach zu verwenden sein.
Folgende Voraussetzungen bestehen:
Windows Server 2008 R2 Active Directory
Notebooks sind alle von Dell mit Intel Prozessor
Windows 7 bzw. Windows 8.1 Client OS
Für unsere Außendienstler soll dies Primär genutzt werden, das heißt es muss unabhängig einer Domänenverbindung funktionieren.
MfG
Tjelvar
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 277883
Url: https://administrator.de/contentid/277883
Ausgedruckt am: 05.11.2024 um 11:11 Uhr
13 Kommentare
Neuester Kommentar
Wenn Geld keine Rolle spielt guck Dir mal Saveguard Easy von Sophos an.
Wenn es kostengünstig sein soll, schau mal hier: https://de.wikipedia.org/wiki/Free_CompuSec
Wenn es richtig spannend sein soll, etwas komplexer, dann würde ich zur Linux-Vollverschlüsselung raten, dann Windows drauf virtualisieren und mit nem YubiKey
absichern. Hab ich auf meinem Laptop so gemacht.
Wenn es kostengünstig sein soll, schau mal hier: https://de.wikipedia.org/wiki/Free_CompuSec
Wenn es richtig spannend sein soll, etwas komplexer, dann würde ich zur Linux-Vollverschlüsselung raten, dann Windows drauf virtualisieren und mit nem YubiKey
absichern. Hab ich auf meinem Laptop so gemacht.
Moin,
wir verwenden unter Windows 8/8.1 Bitlocker und unter Windows 7 TrueCrypt/Veracrypt.
VG
Val
wir verwenden unter Windows 8/8.1 Bitlocker und unter Windows 7 TrueCrypt/Veracrypt.
VG
Val
Und welche Kollegen waren das? Fachleute, oder widerum der kaufmännische Leiter? Entschuldige den Scherz, kam mir leider gerade
BL ist gut, in vielerlei Dingen weitaus sinnvoller als open source Verschlüsseler.
Wg. Win7 pro: nach einem kostenlosen Upgrade auf win10 (nächste Woche möglich) kannst Du BL nutzen.
BL ist gut, in vielerlei Dingen weitaus sinnvoller als open source Verschlüsseler.
Wg. Win7 pro: nach einem kostenlosen Upgrade auf win10 (nächste Woche möglich) kannst Du BL nutzen.
Ich gebe Dir aus technischer Sicht Recht. Bitlocker ist wegen seiner Systemnähe aus meiner Sicht auch sinnvoller.
OpenSource-Verschlüsselung hat aber den Charme, dass du einfach etwas ruhiger schlafen kannst, wenn Du den Sourcecode selbst kompiliert hast.
Die USA betrachten meines Wissens nach Verschlüsselung immer noch als Waffe.
Dem entsprechend bin ich einfach vorsichtig mit Verschlüsselungsprodukten, die von dort kommen (wohl weislich, dass ich eben Sophos SafeGuard vorgeschlagen habe).
Bei jeder Verschlüsselung kanns passieren, dass man aus welchem Grund auch immer nicht mehr auf die verschlüsselten Partitionen zugreifen kann.
Auch Bitlocker habe ich da schon 1000 Tode sterben sehen.
Mich interessiert Deine Meinung.
Was gefällt Dir an den OpenSource-Verschlüsselungen nicht?
OpenSource-Verschlüsselung hat aber den Charme, dass du einfach etwas ruhiger schlafen kannst, wenn Du den Sourcecode selbst kompiliert hast.
Die USA betrachten meines Wissens nach Verschlüsselung immer noch als Waffe.
Dem entsprechend bin ich einfach vorsichtig mit Verschlüsselungsprodukten, die von dort kommen (wohl weislich, dass ich eben Sophos SafeGuard vorgeschlagen habe).
Bei jeder Verschlüsselung kanns passieren, dass man aus welchem Grund auch immer nicht mehr auf die verschlüsselten Partitionen zugreifen kann.
Auch Bitlocker habe ich da schon 1000 Tode sterben sehen.
Mich interessiert Deine Meinung.
Was gefällt Dir an den OpenSource-Verschlüsselungen nicht?
Noch eine Ergänzung:
Schau Dir mal http://www.drivelock.de an, wenn Du magst.
Schau Dir mal http://www.drivelock.de an, wenn Du magst.
Mich interessiert Deine Meinung.
Was gefällt Dir an den OpenSource-Verschlüsselungen nicht?
Ging an mich, oder?Was gefällt Dir an den OpenSource-Verschlüsselungen nicht?
Also, mir ist keine open source Verschlüsselung bekannt, die eine Userhierarchie kennt. Will sagen: wenn du dem Nutzer das Verschlüsselungskennwort gibt, kann er den Rechner nicht nur starten, sondern die Platte auch offline mounten und sich gemütlich an den Daten bedienen, Schadsoftware offline installieren oder sich zum Admin machen - ziemlich zwiespältig, wenn man voraussetzt, dass die User keine Adminrechte bekommen sollen.
Bei Bitlocker und anderen Verschlüsselern, die 2-factor-Authentifizierung kennen, kannst Du eine Hierarchie verwirklichen: der eine Faktor ist z.B. der TPM, der steht jedem zur Verfügung. Der zweite Faktor ist dann je nach User unterschiedlich: die normalen Nutzer bekommen eine PIN, damit können sie lediglich den Rechner starten, aber offline nichts reißen. nur der Admin hat den recoverykey als zweiten Faktor, mit dem man auch offline mounten kann. Ergo: hier hat man die gewünschte Sicherheit.
Ich habe veracrypt vor Monaten mal damit konfrontiert - bis heute warte ich auf eine Antwort auf die Frage, wie man das mit veracrypt verwirklichen soll.
Vielen Dank für Deine Antwort.
Das ist natürlich ein nicht zu unterschätzender Gesichtspunkt.
Ich betrachtete die Verschlüsselung eines Nutzerlaptops eigentlich immer nur aus der Warte, dass niemand außer dem Nutzer oder einem Sysadmin (wenn auch nur mit Recoverykey) einen Laptop entschlüsseln kann. Die Zwei-Faktor-Authentifizierung kenne ich nur in Gestalt von "Besitz und Wissen", zum Beispiel Yubikey oder sontiges eToken (Besitz) und die dazugehörende Pin (Wissen).
Viele Grüße
Das ist natürlich ein nicht zu unterschätzender Gesichtspunkt.
Ich betrachtete die Verschlüsselung eines Nutzerlaptops eigentlich immer nur aus der Warte, dass niemand außer dem Nutzer oder einem Sysadmin (wenn auch nur mit Recoverykey) einen Laptop entschlüsseln kann. Die Zwei-Faktor-Authentifizierung kenne ich nur in Gestalt von "Besitz und Wissen", zum Beispiel Yubikey oder sontiges eToken (Besitz) und die dazugehörende Pin (Wissen).
Viele Grüße