PCs im Unternehmen mit BitLocker verschlüsseln - Wie vergebt ihr Passwörter?
Servus Kollegen,
nutzt jemand von euch aktiv BitLocker im Unternehmen? Ich spiele mit dem Gedanken auf allen neuen PCs die Systemparititon (C) zu verschlüsseln. UEFI und Secure Boot ist auf den Kisten aktiv.
Nun zu meiner Frage:
Wie geht ihr mit den Passwörtern um? Im Bereich Laufwerksverschlüsselung habe ich noch keine Erfahrungen sammeln können, daher folgende Frage/n:
Gruß
Kümmel
nutzt jemand von euch aktiv BitLocker im Unternehmen? Ich spiele mit dem Gedanken auf allen neuen PCs die Systemparititon (C) zu verschlüsseln. UEFI und Secure Boot ist auf den Kisten aktiv.
Nun zu meiner Frage:
Wie geht ihr mit den Passwörtern um? Im Bereich Laufwerksverschlüsselung habe ich noch keine Erfahrungen sammeln können, daher folgende Frage/n:
- Kann man ein Master-Passwort einrichten das zusätzlich aktiv ist, um jederzeit auf alle PCs im Unternehmen zugreifen zu können?
- Wie vergebt ihr Passwörter? Lasst ihr den User selbst entscheiden oder gebt ihr eins vor?
- Speichert ihr die Passwörter in irgendeiner Art irgendwo ab? Halte ich für nicht so berauschend bzgl. Sicherheit, aber würde mich trotzdem interessieren.
- Könnt ihr sonst irgendwelche Erfahrungen bzgl. BitLocker im Unternehmen, positiv als auch negativ, mit uns teilen?
Gruß
Kümmel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 339823
Url: https://administrator.de/forum/pcs-im-unternehmen-mit-bitlocker-verschluesseln-wie-vergebt-ihr-passwoerter-339823.html
Ausgedruckt am: 21.12.2024 um 16:12 Uhr
10 Kommentare
Neuester Kommentar
Windows Praxis Laufwerke mit Bitlocker verschlüsseln
Konfigurieren von Active Directory für die Sicherung der Wiederherstellungsinformationen für die Windows BitLocker-Laufwerkverschlüsselung und TPM (Trusted Platform Module)
BitLocker: Häufig gestellte Fragen (FAQ)
Bitlocker im Unternehmen einrichten
Also vom Hersteller und hier gibts dazu schon genug Infos wenn man sucht.....
Konfigurieren von Active Directory für die Sicherung der Wiederherstellungsinformationen für die Windows BitLocker-Laufwerkverschlüsselung und TPM (Trusted Platform Module)
BitLocker: Häufig gestellte Fragen (FAQ)
Bitlocker im Unternehmen einrichten
Also vom Hersteller und hier gibts dazu schon genug Infos wenn man sucht.....
Moin,
Ist eine Weile her, aber grundsätzlich solltest du mit einem AD im Hintergrund die recovery keys eben genau dort abspeichern lassen (und möglichst nirgendwo anders).
Ich weiß, dass bei uns damals ein einheitliches Passwort zum Einsatz kam + TPM. Vielleicht reicht das für euren Bedarf.
Ich würde es vorziehen, wenn jeder User für sein Endgerät ein eigenes Passwort einsetzen kann, aber man sitzt ja nicht immer in der Entscheiderrolle. Und hier war es mitunter dadurch begründet, dass man so auch mal schnell das Notebook tauschen konnte, oder eben sehr einfach intern arbeiten konnte, ohne dass direkt ein Recoveryprozess eingeleitet werden musste. Nachteil ist ganz klar, dass jeder, der das Unternehmen verlässt immer noch dieses Passwort kennt und ein Austausch des Passworts nicht ganz trivial ist. Sollte aber dank TPM und AD kein gigantisches Sicherheitsproblem darstellen.
Die Frage ob man Bitlocker vertrauen kann/will, ist dann wiederum eine Frage, die damit zusammen hängt, für wie interessant ihr euch für Geheimdienste haltet und inwiefern ihr das Ganze tatsächlich oder zumindest gedanklich nachprüfen wollt. Aber da stimmst du mir vermutlich zu, ist Bitlocker die geringste Sorge bei einem Windows OS ;)
Naja fassen wir nochmal zusammen:
Außerdem kann es wenn Hardware defekte vorliegen, oder gerade im kommen sind, ebenfalls zu Probleme mit TPM kommen.
Ansonsten alles in allem, wunderbar. Recovery Keys funktionieren gut, wenn niemand das Passwort vergisst, gibt es sonst eigentlich auch keine beschwerden.
Ich hoffe das hilft etwas ;)
Gruß
Chris
Ist eine Weile her, aber grundsätzlich solltest du mit einem AD im Hintergrund die recovery keys eben genau dort abspeichern lassen (und möglichst nirgendwo anders).
Ich weiß, dass bei uns damals ein einheitliches Passwort zum Einsatz kam + TPM. Vielleicht reicht das für euren Bedarf.
Ich würde es vorziehen, wenn jeder User für sein Endgerät ein eigenes Passwort einsetzen kann, aber man sitzt ja nicht immer in der Entscheiderrolle. Und hier war es mitunter dadurch begründet, dass man so auch mal schnell das Notebook tauschen konnte, oder eben sehr einfach intern arbeiten konnte, ohne dass direkt ein Recoveryprozess eingeleitet werden musste. Nachteil ist ganz klar, dass jeder, der das Unternehmen verlässt immer noch dieses Passwort kennt und ein Austausch des Passworts nicht ganz trivial ist. Sollte aber dank TPM und AD kein gigantisches Sicherheitsproblem darstellen.
Die Frage ob man Bitlocker vertrauen kann/will, ist dann wiederum eine Frage, die damit zusammen hängt, für wie interessant ihr euch für Geheimdienste haltet und inwiefern ihr das Ganze tatsächlich oder zumindest gedanklich nachprüfen wollt. Aber da stimmst du mir vermutlich zu, ist Bitlocker die geringste Sorge bei einem Windows OS ;)
Naja fassen wir nochmal zusammen:
* Kann man ein Master-Passwort einrichten das zusätzlich aktiv ist, um jederzeit auf alle PCs im Unternehmen zugreifen zu können?
Ich würde mich hier auf die individuellen Recovery-Keys, die im Profil des PCs hinterlegt werden, verlassen.* Wie vergebt ihr Passwörter? Lasst ihr den User selbst entscheiden oder gebt ihr eins vor?
Ich halte persönliche Passwörter für sicherer, aber das Bedarf auch oft Schulungen.* Speichert ihr die Passwörter in irgendeiner Art irgendwo ab? Halte ich für nicht so berauschend bzgl. Sicherheit, aber würde mich trotzdem interessieren.
Die Passwörter selbst nicht. AD und Recovery Keys sind deine Freunde.* Könnt ihr sonst irgendwelche Erfahrungen bzgl. BitLocker im Unternehmen, positiv als auch negativ, mit uns teilen?
In der Regel geht das ganz gut ab. Aufpassen muss man je nach Hardware auf Bootreihenfolgen, die manchmal seltsame Probleme mit TPM hervorrufen können. Wir mussten damals bei einer Notebook Serie den Netzwerkboot abschalten, weil TPM dann manchmal der Meinung war, dass man was an der Hardware verändert hätte.Außerdem kann es wenn Hardware defekte vorliegen, oder gerade im kommen sind, ebenfalls zu Probleme mit TPM kommen.
Ansonsten alles in allem, wunderbar. Recovery Keys funktionieren gut, wenn niemand das Passwort vergisst, gibt es sonst eigentlich auch keine beschwerden.
Ich hoffe das hilft etwas ;)
Gruß
Chris
Feste PCs oder Notebooks?
Für feste PCs empfiehlt sich die Netzwerkentsperrung für Bitlocker. Im LAN entsperren sich die Rechner, verlässt der Rechner das Netzwerk, wird die PIN nötig.
Wir haben nur unsere Notebooks mit Bitlocker ausgestattet. Jedes Notebook bekommt eine individuelle PIN, die nur auf einem Zettel aufgeschrieben und dem Benutzer übergeben wird. Für Wartungszwecke haben wir im AD die Wiederherstellungsschlüssel.
Bitlocker war bei uns auch schon zweimal nötig. Dieses und letztes Jahr ist je ein Auto aufgebrochen und das dort enthaltene Notebook gestohlen worden. Notebook weg, aber Geräte aufgrund der Konfiguration unbrauchbar und nur Datenmüll vorhanden.
Für feste PCs empfiehlt sich die Netzwerkentsperrung für Bitlocker. Im LAN entsperren sich die Rechner, verlässt der Rechner das Netzwerk, wird die PIN nötig.
Wir haben nur unsere Notebooks mit Bitlocker ausgestattet. Jedes Notebook bekommt eine individuelle PIN, die nur auf einem Zettel aufgeschrieben und dem Benutzer übergeben wird. Für Wartungszwecke haben wir im AD die Wiederherstellungsschlüssel.
Bitlocker war bei uns auch schon zweimal nötig. Dieses und letztes Jahr ist je ein Auto aufgebrochen und das dort enthaltene Notebook gestohlen worden. Notebook weg, aber Geräte aufgrund der Konfiguration unbrauchbar und nur Datenmüll vorhanden.
BL wurde mit W8 massiv in Sachen Sicherheit abgespeckt. Es ist nicht mehr ratsam, dies für wirklich geheime Daten zu verwenden.
Unter W7 BL in höchster Stufe aktivieren. Per GP so konfigurieren, das Pin oder Stick benötigt wird. Für Datenpartitionen komplexe PW ab 12 Stellen vergeben. Recoverys gehören ausgedruckt und in den Safe. Besser eine Tabelle mit Truecrypt schaffen.
Keinesfalls gehören die Keys in ein AD! Manch Leute senden die unter W10 in die Cloud ...
Unter W7 BL in höchster Stufe aktivieren. Per GP so konfigurieren, das Pin oder Stick benötigt wird. Für Datenpartitionen komplexe PW ab 12 Stellen vergeben. Recoverys gehören ausgedruckt und in den Safe. Besser eine Tabelle mit Truecrypt schaffen.
Keinesfalls gehören die Keys in ein AD! Manch Leute senden die unter W10 in die Cloud ...
Hi.
Vorweg: ich staune sehr über manche Kommentare, kommentiere die aber lieber nicht.
Wir setzen BL seit gut 4 Jahren auf win8.x/10 flächendeckend ein (alle Systeme). Es läuft sehr gut, weitaus besser, als jegliche andere getestete Verschlüsselung - und das waren so einige.
Master-PW: Die einzig schlaue Idee ist, einen Startupkey pro System zu erstellen und diesen per Skript auf ein Share zu speichern:
Will man auf einen PC, kopiert man die so erstellte .bek-Datei auf einen USB-Schlüssel und kann den PC damit ohne Kennworteingabe starten.
Passwortvergabe: ich habe ein Skript geschrieben, dass das Windows-Kennwort beim Wechsel gleich auch als Bitlocker- enhanced-PIN setzt, so dass beides stets gleich ist. Das Skript ist nicht trivial, da die Bitlocker-Preboot-Authentication zwingend mit dem englischen Tastaturlayout arbeitet. Hat also jemand ein Kennwort Yeah123!, dann muss mein Skript dieses für die BItlocker-Pin ändern in Zeah123!
Passwortspeicherung - nein, die enhanced PINs werden nicht gespeichert. Die Recoverykeys werden natürlich im AD gespeichert. Die Recoverykeys darf man unter keinen Umständen an Nutzer übergeben, es sei denn, man vertraut Ihnen völlig.
Weitere Erfahrungen: Ein weit verbreiteter Irrtum rankt sich um TPMs. Will man nicht, dass die Benutzer mit ihrem Kennwort (=enhanced PIN) den Rechner auch entschlüsseln/manipulieren können, so mussman zwingend ein TPM haben. Das ist auch der Grund dafür, dass MS in der Grundeinstellung eine Verschlüsselung ohne TPM nicht einmal zulässt. Für Geräte ohne TPM bedeutet das also: entweder den Nutzern vertrauen, oder ein TPM nachrüsten, oder die Hardware wechseln. Nimmt man hier als 4. Alternative wahr: "oder Veracrypt verwenden" ist man auf dem Holzweg - Veracrypt und Konsorten kennen von jeher dieses Problem: mit dem Nutzerkennwort kann man manipulieren und entschlüsseln.
Ebenso braucht man für network unlock ein TPM - geht nicht ohne.
Vorweg: ich staune sehr über manche Kommentare, kommentiere die aber lieber nicht.
Wir setzen BL seit gut 4 Jahren auf win8.x/10 flächendeckend ein (alle Systeme). Es läuft sehr gut, weitaus besser, als jegliche andere getestete Verschlüsselung - und das waren so einige.
Master-PW: Die einzig schlaue Idee ist, einen Startupkey pro System zu erstellen und diesen per Skript auf ein Share zu speichern:
manage-bde -protectors -add c: -sk \\server\share\%computername%\
Passwortvergabe: ich habe ein Skript geschrieben, dass das Windows-Kennwort beim Wechsel gleich auch als Bitlocker- enhanced-PIN setzt, so dass beides stets gleich ist. Das Skript ist nicht trivial, da die Bitlocker-Preboot-Authentication zwingend mit dem englischen Tastaturlayout arbeitet. Hat also jemand ein Kennwort Yeah123!, dann muss mein Skript dieses für die BItlocker-Pin ändern in Zeah123!
Passwortspeicherung - nein, die enhanced PINs werden nicht gespeichert. Die Recoverykeys werden natürlich im AD gespeichert. Die Recoverykeys darf man unter keinen Umständen an Nutzer übergeben, es sei denn, man vertraut Ihnen völlig.
Weitere Erfahrungen: Ein weit verbreiteter Irrtum rankt sich um TPMs. Will man nicht, dass die Benutzer mit ihrem Kennwort (=enhanced PIN) den Rechner auch entschlüsseln/manipulieren können, so mussman zwingend ein TPM haben. Das ist auch der Grund dafür, dass MS in der Grundeinstellung eine Verschlüsselung ohne TPM nicht einmal zulässt. Für Geräte ohne TPM bedeutet das also: entweder den Nutzern vertrauen, oder ein TPM nachrüsten, oder die Hardware wechseln. Nimmt man hier als 4. Alternative wahr: "oder Veracrypt verwenden" ist man auf dem Holzweg - Veracrypt und Konsorten kennen von jeher dieses Problem: mit dem Nutzerkennwort kann man manipulieren und entschlüsseln.
Ebenso braucht man für network unlock ein TPM - geht nicht ohne.