verwirrteruser
Goto Top

GPO - BitLocker

Hallo zusammen,

ich bin mal wieder etwas verwirrter und nach zirka einer woche probieren und trixen etc. zu keinem zufriedenstellenden Ergebnis gekommen.

Also, hier zur Problematik:
DIe Geschäftsführung meiner Firma möchte innerhalb diesen Jahres von W7 auf W10 upgraden, in diesem Zuge soll auch von der TC-Verschlüsselung auf BitLocker mit TPM umgestiegen werden.
Die GPOs dafür funktionieren auch ohne Probleme.

Jetzt zum Problem: da wir viele Mitarbeiter haben die in anderen Städten weit entfernt arbeiten oder kollegen die oft und gerne was installieren müssen gibt es hier eine GPO die den Usern lokale Administrative rechte geben.
Ja, ich weiß das ist nicht toll und das war nicht meine entscheidung. - nur um den Shitstorm direkt zu entgehen.

Jetzt zum Problem (ich denke die schlauen unter euch können sich das Problem bereits denken):
Wir, als IT-Abteilung, möchten verhindern dass die Mitarbeiter die BitLocker verschlüsseln deaktivieren bzw.diese zeitweise aussetzten können.

Was ich bisher probiert habe:
- Auf Dateiebene die Rechte so modifiziert das Jeder keinen Zugriff mehr hat: dies hatte zur folge, dass Obwohl die Administratoren die Rechte haben nicht mehr machen konnten (einschließlich der IT-Abteilung)
- Auf Dateiebene die Rechte so modifiziert das "VORDIFINIERT\Benutzer" keinen Zugriff mehr hat: Gleicher Effekt wie Jeder
- Auf Dateiebene die Rechte modifziert, sodass nur noch die IT-Abteilung, "VORDEFINIERT\Administratoren" und SYSTEM enthalten ist: gleiches Ergebnis wie oben.

Was bisher geklappt hat:
- Die "Deviceencryption"-Einstellung in der Settingsapp versteckt

Hat jemand eine Idee ob und wie man das ganze umgehen kann ohne den Nutzern die Adminrechte zu entziehen?
Denn dies wird von der Geschäftsführung nicht akzeptiert (bereits versucht).

Viele Grüße

Content-ID: 394542

Url: https://administrator.de/forum/gpo-bitlocker-394542.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

erikro
erikro 03.12.2018 um 16:41:59 Uhr
Goto Top
Moin,

das würde mich interessieren, ob das klappt:

https://www.mcseboard.de/topic/170468-win7-bitlocker-bitlocker-anhaltend ...

Ganz unten der letzte Beitrag beschreibt, wie es angeblich geht. Bitte Bescheid geben, ob das wirklich geht.

hth

Erik
emeriks
emeriks 03.12.2018 um 17:53:09 Uhr
Goto Top
Hi,
einfache Logik. Wenn das ein "großer" Admin aus dem RZ war, dann hatte er 2010 noch nicht sio viel Know-How. Das zu umgehen, wenn man lokaler Admin ist, ist ein Kinderspiel. Natürlich nur, wenn man weiß wie. Insofern könnte man seiner Logik mit dem "dummen" lokalen Admin folgen. Aber Sicherheit bedeutet das nicht.

Man könnte einen geheimen Dienst schreiben und installieren, welcher das permament überprüft und immer wieder aktiviert.
Oder besser - keine lokalen Admins.

Oder man könnte das wenigstens z.B. per Scheduled Task abfragen und per Mail alarmieren, wenn abgeschaltet. Folge: Ermahnung oder gar Abmahnung. Alles eine Frage der Organisation.

E.
jsysde
jsysde 03.12.2018 um 19:10:50 Uhr
Goto Top
N'Abend.

Zitat von @VerwirrterUser:
Hat jemand eine Idee ob und wie man das ganze umgehen kann ohne den Nutzern die Adminrechte zu entziehen?
Gar nicht - ein Admin kann sich jedes Recht einfach wieder geben. Davon abgesehen ist das "Verstecken" von GUIs irgendwo Symptome bekämpt, das Entschlüsseln geht per Einzeiler in der PowerShell.

Denn dies wird von der Geschäftsführung nicht akzeptiert (bereits versucht).
Dranbleiben. Es gibt keinen Grund, Usern Admin-Rechte zu vergeben.

Versuch:
Den Usern gar nix davon sagen - wer nicht gezielt nach schaut, wird nix von der Verschlüsselung merken (zumindest, wenn du auf PreBoot-Authentication verzichtest).

Cheers,
jsysde
VerwirrterUser
VerwirrterUser 04.12.2018 um 08:51:44 Uhr
Goto Top
Ja, das habe ich auch gefunden, hat aber nicht das gewünschte Ergebnis gebracht. Da selbst ich als erlaubte Gruppe dann keine Rechte mehr darauf hatte.
VerwirrterUser
VerwirrterUser 04.12.2018 um 08:54:27 Uhr
Goto Top
Ja also es ist so, dass die Mitarbeiter davon nichts merken. Das ist auch gut so.
Das Problem ist allerdings, dass es Mitarbeiter gibt die explizit Sachen versuchen um sich der Kontrolle der IT-Abteilung zu entgehen. Um aber wenigstens sicherzustellen, dass bei Verlust das Gerät weiterhin verschlüsselt bleibt wollten wir versuchen eben genau das zu verhindern mit ein paar Tricks / Griffen.

Wir hatten das Thema gestern wieder und leider beharrt die Geschäftsführung auf Verschlüsselung, unmodifizierbarkeit dessen UND Administrativen Rechten.

Es muss doch eine möglichkeit geben, dass zu steuern wie alles andere auch.
VerwirrterUser
VerwirrterUser 04.12.2018 um 08:55:35 Uhr
Goto Top
Kann man dafür eine Aufgabe / ein Skript schreiben?

VG
emeriks
emeriks 04.12.2018 um 09:10:55 Uhr
Goto Top
Zitat von @VerwirrterUser:
Kann man dafür eine Aufgabe / ein Skript schreiben?
Sicher.

Ansätze:
Get Bitlocker Protection Status of Drive C:\
Script to enable bitlocker in All Drive
Send-MailMessage: E-Mails versenden mit PowerShell

Das müsste man natürlich noch anpassen und ausbauen.
jsysde
Lösung jsysde 04.12.2018 um 20:02:43 Uhr
Goto Top
N'Abend.


Zitat von @VerwirrterUser:
[…]leider beharrt die Geschäftsführung auf Verschlüsselung, unmodifizierbarkeit dessen UND Administrativen Rechten.
Das ist die Quadratur des Kreises und genau wie selbige unmöglich. Der "Trick" hier heisst: Keine Admin-Rechte für die User, nur so kann das sichergestellt werden.

Cheers,
jsysde