kuemmel
Goto Top

PCs im Unternehmen mit BitLocker verschlüsseln - Wie vergebt ihr Passwörter?

Servus Kollegen,

nutzt jemand von euch aktiv BitLocker im Unternehmen? Ich spiele mit dem Gedanken auf allen neuen PCs die Systemparititon (C) zu verschlüsseln. UEFI und Secure Boot ist auf den Kisten aktiv.

Nun zu meiner Frage:
Wie geht ihr mit den Passwörtern um? Im Bereich Laufwerksverschlüsselung habe ich noch keine Erfahrungen sammeln können, daher folgende Frage/n:

  • Kann man ein Master-Passwort einrichten das zusätzlich aktiv ist, um jederzeit auf alle PCs im Unternehmen zugreifen zu können?
  • Wie vergebt ihr Passwörter? Lasst ihr den User selbst entscheiden oder gebt ihr eins vor?
  • Speichert ihr die Passwörter in irgendeiner Art irgendwo ab? Halte ich für nicht so berauschend bzgl. Sicherheit, aber würde mich trotzdem interessieren.
  • Könnt ihr sonst irgendwelche Erfahrungen bzgl. BitLocker im Unternehmen, positiv als auch negativ, mit uns teilen?

Gruß
Kümmel

Content-Key: 339823

Url: https://administrator.de/contentid/339823

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: kaiand1
Lösung kaiand1 05.06.2017 aktualisiert um 20:20:07 Uhr
Goto Top
Mitglied: Sheogorath
Lösung Sheogorath 05.06.2017 um 15:24:38 Uhr
Goto Top
Moin,

Ist eine Weile her, aber grundsätzlich solltest du mit einem AD im Hintergrund die recovery keys eben genau dort abspeichern lassen (und möglichst nirgendwo anders).

Ich weiß, dass bei uns damals ein einheitliches Passwort zum Einsatz kam + TPM. Vielleicht reicht das für euren Bedarf.

Ich würde es vorziehen, wenn jeder User für sein Endgerät ein eigenes Passwort einsetzen kann, aber man sitzt ja nicht immer in der Entscheiderrolle. Und hier war es mitunter dadurch begründet, dass man so auch mal schnell das Notebook tauschen konnte, oder eben sehr einfach intern arbeiten konnte, ohne dass direkt ein Recoveryprozess eingeleitet werden musste. Nachteil ist ganz klar, dass jeder, der das Unternehmen verlässt immer noch dieses Passwort kennt und ein Austausch des Passworts nicht ganz trivial ist. Sollte aber dank TPM und AD kein gigantisches Sicherheitsproblem darstellen.

Die Frage ob man Bitlocker vertrauen kann/will, ist dann wiederum eine Frage, die damit zusammen hängt, für wie interessant ihr euch für Geheimdienste haltet und inwiefern ihr das Ganze tatsächlich oder zumindest gedanklich nachprüfen wollt. Aber da stimmst du mir vermutlich zu, ist Bitlocker die geringste Sorge bei einem Windows OS ;)

Naja fassen wir nochmal zusammen:

* Kann man ein Master-Passwort einrichten das zusätzlich aktiv ist, um jederzeit auf alle PCs im Unternehmen zugreifen zu können?
Ich würde mich hier auf die individuellen Recovery-Keys, die im Profil des PCs hinterlegt werden, verlassen.

* Wie vergebt ihr Passwörter? Lasst ihr den User selbst entscheiden oder gebt ihr eins vor?
Ich halte persönliche Passwörter für sicherer, aber das Bedarf auch oft Schulungen.

* Speichert ihr die Passwörter in irgendeiner Art irgendwo ab? Halte ich für nicht so berauschend bzgl. Sicherheit, aber würde mich trotzdem interessieren.
Die Passwörter selbst nicht. AD und Recovery Keys sind deine Freunde.

* Könnt ihr sonst irgendwelche Erfahrungen bzgl. BitLocker im Unternehmen, positiv als auch negativ, mit uns teilen?
In der Regel geht das ganz gut ab. Aufpassen muss man je nach Hardware auf Bootreihenfolgen, die manchmal seltsame Probleme mit TPM hervorrufen können. Wir mussten damals bei einer Notebook Serie den Netzwerkboot abschalten, weil TPM dann manchmal der Meinung war, dass man was an der Hardware verändert hätte.

Außerdem kann es wenn Hardware defekte vorliegen, oder gerade im kommen sind, ebenfalls zu Probleme mit TPM kommen.

Ansonsten alles in allem, wunderbar. Recovery Keys funktionieren gut, wenn niemand das Passwort vergisst, gibt es sonst eigentlich auch keine beschwerden.

Ich hoffe das hilft etwas ;)

Gruß
Chris
Mitglied: tikayevent
Lösung tikayevent 05.06.2017 um 15:51:19 Uhr
Goto Top
Feste PCs oder Notebooks?

Für feste PCs empfiehlt sich die Netzwerkentsperrung für Bitlocker. Im LAN entsperren sich die Rechner, verlässt der Rechner das Netzwerk, wird die PIN nötig.

Wir haben nur unsere Notebooks mit Bitlocker ausgestattet. Jedes Notebook bekommt eine individuelle PIN, die nur auf einem Zettel aufgeschrieben und dem Benutzer übergeben wird. Für Wartungszwecke haben wir im AD die Wiederherstellungsschlüssel.

Bitlocker war bei uns auch schon zweimal nötig. Dieses und letztes Jahr ist je ein Auto aufgebrochen und das dort enthaltene Notebook gestohlen worden. Notebook weg, aber Geräte aufgrund der Konfiguration unbrauchbar und nur Datenmüll vorhanden.
Mitglied: honeybee
Lösung honeybee 05.06.2017 um 18:45:40 Uhr
Goto Top
Bei uns gibt es keine Passwörter, sondern Entschlüsselungscodes, die automatisch nach der Verschlüsselung in Active Directory abgelegt werden. Der Entschlüsselungscode wird bei Bedarf ausgedruckt und dem User übergeben. Bei erneuter Verschlüsselung wird ein neuer Code generiert.
Mitglied: XPFanUwe
Lösung XPFanUwe 05.06.2017 um 20:52:23 Uhr
Goto Top
BL wurde mit W8 massiv in Sachen Sicherheit abgespeckt. Es ist nicht mehr ratsam, dies für wirklich geheime Daten zu verwenden.

Unter W7 BL in höchster Stufe aktivieren. Per GP so konfigurieren, das Pin oder Stick benötigt wird. Für Datenpartitionen komplexe PW ab 12 Stellen vergeben. Recoverys gehören ausgedruckt und in den Safe. Besser eine Tabelle mit Truecrypt schaffen.

Keinesfalls gehören die Keys in ein AD! Manch Leute senden die unter W10 in die Cloud ...
Mitglied: DerWoWusste
Lösung DerWoWusste 05.06.2017, aktualisiert am 06.06.2017 um 09:25:13 Uhr
Goto Top
Hi.

Vorweg: ich staune sehr über manche Kommentare, kommentiere die aber lieber nicht.
Wir setzen BL seit gut 4 Jahren auf win8.x/10 flächendeckend ein (alle Systeme). Es läuft sehr gut, weitaus besser, als jegliche andere getestete Verschlüsselung - und das waren so einige.

Master-PW: Die einzig schlaue Idee ist, einen Startupkey pro System zu erstellen und diesen per Skript auf ein Share zu speichern:
manage-bde -protectors -add c: -sk \\server\share\%computername%\
Will man auf einen PC, kopiert man die so erstellte .bek-Datei auf einen USB-Schlüssel und kann den PC damit ohne Kennworteingabe starten.
Passwortvergabe: ich habe ein Skript geschrieben, dass das Windows-Kennwort beim Wechsel gleich auch als Bitlocker- enhanced-PIN setzt, so dass beides stets gleich ist. Das Skript ist nicht trivial, da die Bitlocker-Preboot-Authentication zwingend mit dem englischen Tastaturlayout arbeitet. Hat also jemand ein Kennwort Yeah123!, dann muss mein Skript dieses für die BItlocker-Pin ändern in Zeah123!
Passwortspeicherung - nein, die enhanced PINs werden nicht gespeichert. Die Recoverykeys werden natürlich im AD gespeichert. Die Recoverykeys darf man unter keinen Umständen an Nutzer übergeben, es sei denn, man vertraut Ihnen völlig.
Weitere Erfahrungen: Ein weit verbreiteter Irrtum rankt sich um TPMs. Will man nicht, dass die Benutzer mit ihrem Kennwort (=enhanced PIN) den Rechner auch entschlüsseln/manipulieren können, so mussman zwingend ein TPM haben. Das ist auch der Grund dafür, dass MS in der Grundeinstellung eine Verschlüsselung ohne TPM nicht einmal zulässt. Für Geräte ohne TPM bedeutet das also: entweder den Nutzern vertrauen, oder ein TPM nachrüsten, oder die Hardware wechseln. Nimmt man hier als 4. Alternative wahr: "oder Veracrypt verwenden" ist man auf dem Holzweg - Veracrypt und Konsorten kennen von jeher dieses Problem: mit dem Nutzerkennwort kann man manipulieren und entschlüsseln.
Ebenso braucht man für network unlock ein TPM - geht nicht ohne.
Mitglied: Kuemmel
Kuemmel 08.06.2017 um 09:35:58 Uhr
Goto Top
Danke für eure Rückmeldungen. Ich werde mich mal durchlesen.
Mitglied: DerWoWusste
Lösung DerWoWusste 08.06.2017 um 09:43:14 Uhr
Goto Top
Bedenke auch, dass je nach Sicherheitsbedarf auch noch die Option besteht, gar keine PIN zusetzen ("TPM only"), dann hättest Du die Sorge gar nicht erst.
Mitglied: XPFanUwe
XPFanUwe 14.06.2017 um 21:40:26 Uhr
Goto Top
dass das Windows-Kennwort beim Wechsel gleich auch als Bitlocker- enhanced-PIN setzt, so dass beides stets gleich ist.

Jesus!


Option besteht, gar keine PIN zusetzen ("TPM only"),

Jesus II

Jedes PW, selbst ein kurzes mit 8 Stellen, ist besser als keins!
Mitglied: DerWoWusste
DerWoWusste 14.06.2017 um 21:44:59 Uhr
Goto Top
LOL. Geile Kommentare. Füg doch bitte nicht noch die anderen Heiligen hinzu, beim nächsten Kommentar, sondern lieber eine Begründung, die zeigt, dass Du weißt, worauf es ankommt.