tjelvar
Goto Top

Endgeräte Verschlüsselung bei Notebooks, welche Software?

Hallo Zusammen,

ich wurde von unserem kfm. Leiter beauftragt eine Lösung für die Endgeräteverschlüsselung unserer Notebooks auszuarbeiten bzw. zu finden. Wir möchten gerne eine zweite Authentifizierungsebene noch vor dem Windows haben, sodass die User quasi 2 Anmeldungen benötigen, die erste um das System zu entschlüsseln die andere um Zugriff auf das Windows zu erhalten.

Es soll sowohl für uns, also den Administratoren, als auch für die Endanwender möglichst einfach zu verwenden sein.

Folgende Voraussetzungen bestehen:
Windows Server 2008 R2 Active Directory
Notebooks sind alle von Dell mit Intel Prozessor
Windows 7 bzw. Windows 8.1 Client OS

Für unsere Außendienstler soll dies Primär genutzt werden, das heißt es muss unabhängig einer Domänenverbindung funktionieren.


MfG
Tjelvar

Content-ID: 277883

Url: https://administrator.de/forum/endgeraete-verschluesselung-bei-notebooks-welche-software-277883.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

beidermachtvongreyscull
Lösung beidermachtvongreyscull 20.07.2015 aktualisiert um 16:47:51 Uhr
Goto Top
Wenn Geld keine Rolle spielt guck Dir mal Saveguard Easy von Sophos an.

Wenn es kostengünstig sein soll, schau mal hier: https://de.wikipedia.org/wiki/Free_CompuSec

Wenn es richtig spannend sein soll, etwas komplexer, dann würde ich zur Linux-Vollverschlüsselung raten, dann Windows drauf virtualisieren und mit nem YubiKey
absichern. Hab ich auf meinem Laptop so gemacht.
DerWoWusste
DerWoWusste 20.07.2015 aktualisiert um 16:33:07 Uhr
Goto Top
Hi.

Welche Editionen von win7/8?
Win7 ent/ultimate hat Bitlocker. Ebenso 8 pro/ent
119944
119944 20.07.2015 aktualisiert um 16:30:44 Uhr
Goto Top
Moin,

wir verwenden unter Windows 8/8.1 Bitlocker und unter Windows 7 TrueCrypt/Veracrypt.

VG
Val
AnkhMorpork
Lösung AnkhMorpork 20.07.2015 aktualisiert um 16:47:53 Uhr
Goto Top
Zitat von @DerWoWusste:
Win7 ent/ultimate hat Bitlocker. Eebenso 8 pro/ent

Und dann kannst du gleich hier weiterlesen:
Bitlocker im Unternehmen einrichten
Tjelvar
Tjelvar 20.07.2015 um 16:39:11 Uhr
Goto Top
Win7 haben wir nur die Pro Variante. Über Bitlocker habe ich auch schon nachgedacht nur habe ich von ehemaligen Kollegen gehört dass es nicht so gut sein soll.
DerWoWusste
Lösung DerWoWusste 20.07.2015 aktualisiert um 16:47:56 Uhr
Goto Top
Und welche Kollegen waren das? Fachleute, oder widerum der kaufmännische Leiter? Entschuldige den Scherz, kam mir leider gerade face-wink
BL ist gut, in vielerlei Dingen weitaus sinnvoller als open source Verschlüsseler.
Wg. Win7 pro: nach einem kostenlosen Upgrade auf win10 (nächste Woche möglich) kannst Du BL nutzen.
Tjelvar
Tjelvar 20.07.2015 um 16:47:45 Uhr
Goto Top
auch wenn unser kfm. Leiter gern mal solche Sachen veranstaltet. Bspw nen Loop in einen Switch ohne STP einbauen und sich dann wundern das nix mehr geht, kamen die Aussagen von Systemintegratoren.

Danke für die Vorschläge im allgemeinen ich werd mir Sophos und BL mal anschauen!
beidermachtvongreyscull
beidermachtvongreyscull 20.07.2015 um 16:51:50 Uhr
Goto Top
Ich gebe Dir aus technischer Sicht Recht. Bitlocker ist wegen seiner Systemnähe aus meiner Sicht auch sinnvoller.
OpenSource-Verschlüsselung hat aber den Charme, dass du einfach etwas ruhiger schlafen kannst, wenn Du den Sourcecode selbst kompiliert hast.

Die USA betrachten meines Wissens nach Verschlüsselung immer noch als Waffe.
Dem entsprechend bin ich einfach vorsichtig mit Verschlüsselungsprodukten, die von dort kommen (wohl weislich, dass ich eben Sophos SafeGuard vorgeschlagen habe).

Bei jeder Verschlüsselung kanns passieren, dass man aus welchem Grund auch immer nicht mehr auf die verschlüsselten Partitionen zugreifen kann.
Auch Bitlocker habe ich da schon 1000 Tode sterben sehen.

Mich interessiert Deine Meinung.
Was gefällt Dir an den OpenSource-Verschlüsselungen nicht?
Tjelvar
Tjelvar 20.07.2015 um 16:56:30 Uhr
Goto Top
Open Source an sich find ich klasse, nur muss ich für meine Kollegen und mein Unternehmen möglichst lange Supportlaufzeiten garantieren, da ich hier leider häufig um jeden Cent kämpfen muss und eine einmal eingeführte Lösung idR über gefühlt 2 Jahrzente im Betrieb bleibt, schaue ich Open Source mit Misstrauen an, da ich hier niemals weiß wann der Entwickler eventuell keinen "Bock" mehr hat sein System zu supporten/zu warten usw. Bei kommerziellen Lösungen ist das zwar auch nicht unmöglich aber da bekommt man idR etwas Vorlaufzeit.
beidermachtvongreyscull
beidermachtvongreyscull 20.07.2015 um 16:58:55 Uhr
Goto Top
OK. Da gibt's nichts zu rütteln.
beidermachtvongreyscull
beidermachtvongreyscull 20.07.2015 um 17:04:43 Uhr
Goto Top
Noch eine Ergänzung:
Schau Dir mal http://www.drivelock.de an, wenn Du magst.
DerWoWusste
DerWoWusste 20.07.2015 um 17:19:23 Uhr
Goto Top
Mich interessiert Deine Meinung.
Was gefällt Dir an den OpenSource-Verschlüsselungen nicht?
Ging an mich, oder?
Also, mir ist keine open source Verschlüsselung bekannt, die eine Userhierarchie kennt. Will sagen: wenn du dem Nutzer das Verschlüsselungskennwort gibt, kann er den Rechner nicht nur starten, sondern die Platte auch offline mounten und sich gemütlich an den Daten bedienen, Schadsoftware offline installieren oder sich zum Admin machen - ziemlich zwiespältig, wenn man voraussetzt, dass die User keine Adminrechte bekommen sollen.
Bei Bitlocker und anderen Verschlüsselern, die 2-factor-Authentifizierung kennen, kannst Du eine Hierarchie verwirklichen: der eine Faktor ist z.B. der TPM, der steht jedem zur Verfügung. Der zweite Faktor ist dann je nach User unterschiedlich: die normalen Nutzer bekommen eine PIN, damit können sie lediglich den Rechner starten, aber offline nichts reißen. nur der Admin hat den recoverykey als zweiten Faktor, mit dem man auch offline mounten kann. Ergo: hier hat man die gewünschte Sicherheit.
Ich habe veracrypt vor Monaten mal damit konfrontiert - bis heute warte ich auf eine Antwort auf die Frage, wie man das mit veracrypt verwirklichen soll.
beidermachtvongreyscull
beidermachtvongreyscull 21.07.2015 um 10:36:04 Uhr
Goto Top
Vielen Dank für Deine Antwort.

Das ist natürlich ein nicht zu unterschätzender Gesichtspunkt.
Ich betrachtete die Verschlüsselung eines Nutzerlaptops eigentlich immer nur aus der Warte, dass niemand außer dem Nutzer oder einem Sysadmin (wenn auch nur mit Recoverykey) einen Laptop entschlüsseln kann. Die Zwei-Faktor-Authentifizierung kenne ich nur in Gestalt von "Besitz und Wissen", zum Beispiel Yubikey oder sontiges eToken (Besitz) und die dazugehörende Pin (Wissen).

Viele Grüße