GPO - BitLocker
Hallo zusammen,
ich bin mal wieder etwas verwirrter und nach zirka einer woche probieren und trixen etc. zu keinem zufriedenstellenden Ergebnis gekommen.
Also, hier zur Problematik:
DIe Geschäftsführung meiner Firma möchte innerhalb diesen Jahres von W7 auf W10 upgraden, in diesem Zuge soll auch von der TC-Verschlüsselung auf BitLocker mit TPM umgestiegen werden.
Die GPOs dafür funktionieren auch ohne Probleme.
Jetzt zum Problem: da wir viele Mitarbeiter haben die in anderen Städten weit entfernt arbeiten oder kollegen die oft und gerne was installieren müssen gibt es hier eine GPO die den Usern lokale Administrative rechte geben.
Ja, ich weiß das ist nicht toll und das war nicht meine entscheidung. - nur um den Shitstorm direkt zu entgehen.
Jetzt zum Problem (ich denke die schlauen unter euch können sich das Problem bereits denken):
Wir, als IT-Abteilung, möchten verhindern dass die Mitarbeiter die BitLocker verschlüsseln deaktivieren bzw.diese zeitweise aussetzten können.
Was ich bisher probiert habe:
- Auf Dateiebene die Rechte so modifiziert das Jeder keinen Zugriff mehr hat: dies hatte zur folge, dass Obwohl die Administratoren die Rechte haben nicht mehr machen konnten (einschließlich der IT-Abteilung)
- Auf Dateiebene die Rechte so modifiziert das "VORDIFINIERT\Benutzer" keinen Zugriff mehr hat: Gleicher Effekt wie Jeder
- Auf Dateiebene die Rechte modifziert, sodass nur noch die IT-Abteilung, "VORDEFINIERT\Administratoren" und SYSTEM enthalten ist: gleiches Ergebnis wie oben.
Was bisher geklappt hat:
- Die "Deviceencryption"-Einstellung in der Settingsapp versteckt
Hat jemand eine Idee ob und wie man das ganze umgehen kann ohne den Nutzern die Adminrechte zu entziehen?
Denn dies wird von der Geschäftsführung nicht akzeptiert (bereits versucht).
Viele Grüße
ich bin mal wieder etwas verwirrter und nach zirka einer woche probieren und trixen etc. zu keinem zufriedenstellenden Ergebnis gekommen.
Also, hier zur Problematik:
DIe Geschäftsführung meiner Firma möchte innerhalb diesen Jahres von W7 auf W10 upgraden, in diesem Zuge soll auch von der TC-Verschlüsselung auf BitLocker mit TPM umgestiegen werden.
Die GPOs dafür funktionieren auch ohne Probleme.
Jetzt zum Problem: da wir viele Mitarbeiter haben die in anderen Städten weit entfernt arbeiten oder kollegen die oft und gerne was installieren müssen gibt es hier eine GPO die den Usern lokale Administrative rechte geben.
Ja, ich weiß das ist nicht toll und das war nicht meine entscheidung. - nur um den Shitstorm direkt zu entgehen.
Jetzt zum Problem (ich denke die schlauen unter euch können sich das Problem bereits denken):
Wir, als IT-Abteilung, möchten verhindern dass die Mitarbeiter die BitLocker verschlüsseln deaktivieren bzw.diese zeitweise aussetzten können.
Was ich bisher probiert habe:
- Auf Dateiebene die Rechte so modifiziert das Jeder keinen Zugriff mehr hat: dies hatte zur folge, dass Obwohl die Administratoren die Rechte haben nicht mehr machen konnten (einschließlich der IT-Abteilung)
- Auf Dateiebene die Rechte so modifiziert das "VORDIFINIERT\Benutzer" keinen Zugriff mehr hat: Gleicher Effekt wie Jeder
- Auf Dateiebene die Rechte modifziert, sodass nur noch die IT-Abteilung, "VORDEFINIERT\Administratoren" und SYSTEM enthalten ist: gleiches Ergebnis wie oben.
Was bisher geklappt hat:
- Die "Deviceencryption"-Einstellung in der Settingsapp versteckt
Hat jemand eine Idee ob und wie man das ganze umgehen kann ohne den Nutzern die Adminrechte zu entziehen?
Denn dies wird von der Geschäftsführung nicht akzeptiert (bereits versucht).
Viele Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 394542
Url: https://administrator.de/forum/gpo-bitlocker-394542.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
8 Kommentare
Neuester Kommentar
Moin,
das würde mich interessieren, ob das klappt:
https://www.mcseboard.de/topic/170468-win7-bitlocker-bitlocker-anhaltend ...
Ganz unten der letzte Beitrag beschreibt, wie es angeblich geht. Bitte Bescheid geben, ob das wirklich geht.
hth
Erik
das würde mich interessieren, ob das klappt:
https://www.mcseboard.de/topic/170468-win7-bitlocker-bitlocker-anhaltend ...
Ganz unten der letzte Beitrag beschreibt, wie es angeblich geht. Bitte Bescheid geben, ob das wirklich geht.
hth
Erik
Hi,
einfache Logik. Wenn das ein "großer" Admin aus dem RZ war, dann hatte er 2010 noch nicht sio viel Know-How. Das zu umgehen, wenn man lokaler Admin ist, ist ein Kinderspiel. Natürlich nur, wenn man weiß wie. Insofern könnte man seiner Logik mit dem "dummen" lokalen Admin folgen. Aber Sicherheit bedeutet das nicht.
Man könnte einen geheimen Dienst schreiben und installieren, welcher das permament überprüft und immer wieder aktiviert.
Oder besser - keine lokalen Admins.
Oder man könnte das wenigstens z.B. per Scheduled Task abfragen und per Mail alarmieren, wenn abgeschaltet. Folge: Ermahnung oder gar Abmahnung. Alles eine Frage der Organisation.
E.
einfache Logik. Wenn das ein "großer" Admin aus dem RZ war, dann hatte er 2010 noch nicht sio viel Know-How. Das zu umgehen, wenn man lokaler Admin ist, ist ein Kinderspiel. Natürlich nur, wenn man weiß wie. Insofern könnte man seiner Logik mit dem "dummen" lokalen Admin folgen. Aber Sicherheit bedeutet das nicht.
Man könnte einen geheimen Dienst schreiben und installieren, welcher das permament überprüft und immer wieder aktiviert.
Oder besser - keine lokalen Admins.
Oder man könnte das wenigstens z.B. per Scheduled Task abfragen und per Mail alarmieren, wenn abgeschaltet. Folge: Ermahnung oder gar Abmahnung. Alles eine Frage der Organisation.
E.
N'Abend.
Versuch:
Den Usern gar nix davon sagen - wer nicht gezielt nach schaut, wird nix von der Verschlüsselung merken (zumindest, wenn du auf PreBoot-Authentication verzichtest).
Cheers,
jsysde
Zitat von @VerwirrterUser:
Hat jemand eine Idee ob und wie man das ganze umgehen kann ohne den Nutzern die Adminrechte zu entziehen?
Gar nicht - ein Admin kann sich jedes Recht einfach wieder geben. Davon abgesehen ist das "Verstecken" von GUIs irgendwo Symptome bekämpt, das Entschlüsseln geht per Einzeiler in der PowerShell.Hat jemand eine Idee ob und wie man das ganze umgehen kann ohne den Nutzern die Adminrechte zu entziehen?
Denn dies wird von der Geschäftsführung nicht akzeptiert (bereits versucht).
Dranbleiben. Es gibt keinen Grund, Usern Admin-Rechte zu vergeben.Versuch:
Den Usern gar nix davon sagen - wer nicht gezielt nach schaut, wird nix von der Verschlüsselung merken (zumindest, wenn du auf PreBoot-Authentication verzichtest).
Cheers,
jsysde
Sicher.
Ansätze:
Get Bitlocker Protection Status of Drive C:\
Script to enable bitlocker in All Drive
Send-MailMessage: E-Mails versenden mit PowerShell
Das müsste man natürlich noch anpassen und ausbauen.
Ansätze:
Get Bitlocker Protection Status of Drive C:\
Script to enable bitlocker in All Drive
Send-MailMessage: E-Mails versenden mit PowerShell
Das müsste man natürlich noch anpassen und ausbauen.
N'Abend.
Cheers,
jsysde
Zitat von @VerwirrterUser:
[…]leider beharrt die Geschäftsführung auf Verschlüsselung, unmodifizierbarkeit dessen UND Administrativen Rechten.
Das ist die Quadratur des Kreises und genau wie selbige unmöglich. Der "Trick" hier heisst: Keine Admin-Rechte für die User, nur so kann das sichergestellt werden.[…]leider beharrt die Geschäftsführung auf Verschlüsselung, unmodifizierbarkeit dessen UND Administrativen Rechten.
Cheers,
jsysde