13
Endgeräte Verschlüsselung bei Notebooks, welche Software?
Hallo Zusammen,
ich wurde von unserem kfm. Leiter beauftragt eine Lösung für die Endgeräteverschlüsselung unserer Notebooks auszuarbeiten bzw. zu finden. Wir möchten gerne eine zweite Authentifizierungsebene noch vor dem Windows haben, sodass die User quasi 2 Anmeldungen benötigen, die erste um das System zu entschlüsseln die andere um Zugriff auf das Windows zu erhalten.
Es soll sowohl für uns, also den Administratoren, als auch für die Endanwender möglichst einfach zu verwenden sein.
Folgende Voraussetzungen bestehen:
Windows Server 2008 R2 Active Directory
Notebooks sind alle von Dell mit Intel Prozessor
Windows 7 bzw. Windows 8.1 Client OS
Für unsere Außendienstler soll dies Primär genutzt werden, das heißt es muss unabhängig einer Domänenverbindung funktionieren.
MfG
Tjelvar
ich wurde von unserem kfm. Leiter beauftragt eine Lösung für die Endgeräteverschlüsselung unserer Notebooks auszuarbeiten bzw. zu finden. Wir möchten gerne eine zweite Authentifizierungsebene noch vor dem Windows haben, sodass die User quasi 2 Anmeldungen benötigen, die erste um das System zu entschlüsseln die andere um Zugriff auf das Windows zu erhalten.
Es soll sowohl für uns, also den Administratoren, als auch für die Endanwender möglichst einfach zu verwenden sein.
Folgende Voraussetzungen bestehen:
Windows Server 2008 R2 Active Directory
Notebooks sind alle von Dell mit Intel Prozessor
Windows 7 bzw. Windows 8.1 Client OS
Für unsere Außendienstler soll dies Primär genutzt werden, das heißt es muss unabhängig einer Domänenverbindung funktionieren.
MfG
Tjelvar
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 277883
Url: https://administrator.de/contentid/277883
Ausgedruckt am: 05.11.2024 um 11:11 Uhr
13 Kommentare
Neuester Kommentar
Wenn Geld keine Rolle spielt guck Dir mal Saveguard Easy von Sophos an.
Wenn es kostengünstig sein soll, schau mal hier: https://de.wikipedia.org/wiki/Free_CompuSec
Wenn es richtig spannend sein soll, etwas komplexer, dann würde ich zur Linux-Vollverschlüsselung raten, dann Windows drauf virtualisieren und mit nem YubiKey
absichern. Hab ich auf meinem Laptop so gemacht.
Wenn es kostengünstig sein soll, schau mal hier: https://de.wikipedia.org/wiki/Free_CompuSec
Wenn es richtig spannend sein soll, etwas komplexer, dann würde ich zur Linux-Vollverschlüsselung raten, dann Windows drauf virtualisieren und mit nem YubiKey
absichern. Hab ich auf meinem Laptop so gemacht.
Hi.
Welche Editionen von win7/8?
Win7 ent/ultimate hat Bitlocker. Ebenso 8 pro/ent
Welche Editionen von win7/8?
Win7 ent/ultimate hat Bitlocker. Ebenso 8 pro/ent
Moin,
wir verwenden unter Windows 8/8.1 Bitlocker und unter Windows 7 TrueCrypt/Veracrypt.
VG
Val
wir verwenden unter Windows 8/8.1 Bitlocker und unter Windows 7 TrueCrypt/Veracrypt.
VG
Val
Win7 haben wir nur die Pro Variante. Über Bitlocker habe ich auch schon nachgedacht nur habe ich von ehemaligen Kollegen gehört dass es nicht so gut sein soll.
Und welche Kollegen waren das? Fachleute, oder widerum der kaufmännische Leiter? Entschuldige den Scherz, kam mir leider gerade 
BL ist gut, in vielerlei Dingen weitaus sinnvoller als open source Verschlüsseler.
Wg. Win7 pro: nach einem kostenlosen Upgrade auf win10 (nächste Woche möglich) kannst Du BL nutzen.
BL ist gut, in vielerlei Dingen weitaus sinnvoller als open source Verschlüsseler.
Wg. Win7 pro: nach einem kostenlosen Upgrade auf win10 (nächste Woche möglich) kannst Du BL nutzen.
auch wenn unser kfm. Leiter gern mal solche Sachen veranstaltet. Bspw nen Loop in einen Switch ohne STP einbauen und sich dann wundern das nix mehr geht, kamen die Aussagen von Systemintegratoren.
Danke für die Vorschläge im allgemeinen ich werd mir Sophos und BL mal anschauen!
Danke für die Vorschläge im allgemeinen ich werd mir Sophos und BL mal anschauen!
Ich gebe Dir aus technischer Sicht Recht. Bitlocker ist wegen seiner Systemnähe aus meiner Sicht auch sinnvoller.
OpenSource-Verschlüsselung hat aber den Charme, dass du einfach etwas ruhiger schlafen kannst, wenn Du den Sourcecode selbst kompiliert hast.
Die USA betrachten meines Wissens nach Verschlüsselung immer noch als Waffe.
Dem entsprechend bin ich einfach vorsichtig mit Verschlüsselungsprodukten, die von dort kommen (wohl weislich, dass ich eben Sophos SafeGuard vorgeschlagen habe).
Bei jeder Verschlüsselung kanns passieren, dass man aus welchem Grund auch immer nicht mehr auf die verschlüsselten Partitionen zugreifen kann.
Auch Bitlocker habe ich da schon 1000 Tode sterben sehen.
Mich interessiert Deine Meinung.
Was gefällt Dir an den OpenSource-Verschlüsselungen nicht?
OpenSource-Verschlüsselung hat aber den Charme, dass du einfach etwas ruhiger schlafen kannst, wenn Du den Sourcecode selbst kompiliert hast.
Die USA betrachten meines Wissens nach Verschlüsselung immer noch als Waffe.
Dem entsprechend bin ich einfach vorsichtig mit Verschlüsselungsprodukten, die von dort kommen (wohl weislich, dass ich eben Sophos SafeGuard vorgeschlagen habe).
Bei jeder Verschlüsselung kanns passieren, dass man aus welchem Grund auch immer nicht mehr auf die verschlüsselten Partitionen zugreifen kann.
Auch Bitlocker habe ich da schon 1000 Tode sterben sehen.
Mich interessiert Deine Meinung.
Was gefällt Dir an den OpenSource-Verschlüsselungen nicht?
Open Source an sich find ich klasse, nur muss ich für meine Kollegen und mein Unternehmen möglichst lange Supportlaufzeiten garantieren, da ich hier leider häufig um jeden Cent kämpfen muss und eine einmal eingeführte Lösung idR über gefühlt 2 Jahrzente im Betrieb bleibt, schaue ich Open Source mit Misstrauen an, da ich hier niemals weiß wann der Entwickler eventuell keinen "Bock" mehr hat sein System zu supporten/zu warten usw. Bei kommerziellen Lösungen ist das zwar auch nicht unmöglich aber da bekommt man idR etwas Vorlaufzeit.
OK. Da gibt's nichts zu rütteln.
Noch eine Ergänzung:
Schau Dir mal http://www.drivelock.de an, wenn Du magst.
Schau Dir mal http://www.drivelock.de an, wenn Du magst.
Mich interessiert Deine Meinung.
Was gefällt Dir an den OpenSource-Verschlüsselungen nicht?
Ging an mich, oder?Was gefällt Dir an den OpenSource-Verschlüsselungen nicht?
Also, mir ist keine open source Verschlüsselung bekannt, die eine Userhierarchie kennt. Will sagen: wenn du dem Nutzer das Verschlüsselungskennwort gibt, kann er den Rechner nicht nur starten, sondern die Platte auch offline mounten und sich gemütlich an den Daten bedienen, Schadsoftware offline installieren oder sich zum Admin machen - ziemlich zwiespältig, wenn man voraussetzt, dass die User keine Adminrechte bekommen sollen.
Bei Bitlocker und anderen Verschlüsselern, die 2-factor-Authentifizierung kennen, kannst Du eine Hierarchie verwirklichen: der eine Faktor ist z.B. der TPM, der steht jedem zur Verfügung. Der zweite Faktor ist dann je nach User unterschiedlich: die normalen Nutzer bekommen eine PIN, damit können sie lediglich den Rechner starten, aber offline nichts reißen. nur der Admin hat den recoverykey als zweiten Faktor, mit dem man auch offline mounten kann. Ergo: hier hat man die gewünschte Sicherheit.
Ich habe veracrypt vor Monaten mal damit konfrontiert - bis heute warte ich auf eine Antwort auf die Frage, wie man das mit veracrypt verwirklichen soll.
Vielen Dank für Deine Antwort.
Das ist natürlich ein nicht zu unterschätzender Gesichtspunkt.
Ich betrachtete die Verschlüsselung eines Nutzerlaptops eigentlich immer nur aus der Warte, dass niemand außer dem Nutzer oder einem Sysadmin (wenn auch nur mit Recoverykey) einen Laptop entschlüsseln kann. Die Zwei-Faktor-Authentifizierung kenne ich nur in Gestalt von "Besitz und Wissen", zum Beispiel Yubikey oder sontiges eToken (Besitz) und die dazugehörende Pin (Wissen).
Viele Grüße
Das ist natürlich ein nicht zu unterschätzender Gesichtspunkt.
Ich betrachtete die Verschlüsselung eines Nutzerlaptops eigentlich immer nur aus der Warte, dass niemand außer dem Nutzer oder einem Sysadmin (wenn auch nur mit Recoverykey) einen Laptop entschlüsseln kann. Die Zwei-Faktor-Authentifizierung kenne ich nur in Gestalt von "Besitz und Wissen", zum Beispiel Yubikey oder sontiges eToken (Besitz) und die dazugehörende Pin (Wissen).
Viele Grüße
