4
Windows Server 2012R2 2-Faktor-Authentifizierung mit BitLocker?
Hallo zusammen,
aufgrund verschiedener Kundenanforderungen müssen wir im Unternehmen für den Zugriff auf bestimmte (geheime) Daten eine 2-Faktor-Authentifizierung einsetzen.
Aktuell wird dafür eine Lösung von Symantec und einem E-Token eingesetzt.
Nun war eine Idee ob das Ganze nicht irgendwie auch mit Windows Bordmitteln irgendwie umzusetzen ist.
Wie ich mir das vorstelle / wie ein Szenario aussehen könnte:
Die Daten liegen auf einem Windows Server 2012R2 und sind als Share freigegeben (Stichwort virtueller Fileserver).
Zugegriffen soll auf die Daten von einem Windows 7 / 10 Client aus über den Share (ob jetzt mittels DFS, oder man verbindet den Share einfach per Hand).
Nun stelle ich mir vor, dass man den Share / Fileserver mit BitLocker verschlüsselt.
Nun muss es einem Möglichkeit geben ein Zertifikat zu erstellen mithilfe dessen man dann auf den Share zugreifen kann. Dieses würde man dann auf dem E-Token speichern.
Wo ich nun schon an meine Grenzen stoße ist die Tatsache, dass nach der Verschlüsselung mit BitLocker, nachdem man das Kennwort nach einem Reboot auf dem Fileserver eingegeben hat, jeder problemlos und ohne Passwort-Abfrage etc. sofort auf den Share zugreifen kann.
Hat hier jemand vielleicht schon Erfahrung oder so etwas schon einmal umgesetzt? Vielleicht habt ihr auch einfach Ansätze und Ideen.
Vielen Dank im Voraus für die Hilfe!
LG,
Alexander
aufgrund verschiedener Kundenanforderungen müssen wir im Unternehmen für den Zugriff auf bestimmte (geheime) Daten eine 2-Faktor-Authentifizierung einsetzen.
Aktuell wird dafür eine Lösung von Symantec und einem E-Token eingesetzt.
Nun war eine Idee ob das Ganze nicht irgendwie auch mit Windows Bordmitteln irgendwie umzusetzen ist.
Wie ich mir das vorstelle / wie ein Szenario aussehen könnte:
Die Daten liegen auf einem Windows Server 2012R2 und sind als Share freigegeben (Stichwort virtueller Fileserver).
Zugegriffen soll auf die Daten von einem Windows 7 / 10 Client aus über den Share (ob jetzt mittels DFS, oder man verbindet den Share einfach per Hand).
Nun stelle ich mir vor, dass man den Share / Fileserver mit BitLocker verschlüsselt.
Nun muss es einem Möglichkeit geben ein Zertifikat zu erstellen mithilfe dessen man dann auf den Share zugreifen kann. Dieses würde man dann auf dem E-Token speichern.
Wo ich nun schon an meine Grenzen stoße ist die Tatsache, dass nach der Verschlüsselung mit BitLocker, nachdem man das Kennwort nach einem Reboot auf dem Fileserver eingegeben hat, jeder problemlos und ohne Passwort-Abfrage etc. sofort auf den Share zugreifen kann.
Hat hier jemand vielleicht schon Erfahrung oder so etwas schon einmal umgesetzt? Vielleicht habt ihr auch einfach Ansätze und Ideen.
Vielen Dank im Voraus für die Hilfe!
LG,
Alexander
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 340628
Url: https://administrator.de/contentid/340628
Ausgedruckt am: 25.11.2024 um 04:11 Uhr
4 Kommentare
Neuester Kommentar
a) Du kannst natürlich z.B. Truecrypt/Veracrypt einsetzen und man muss dann den Container erst einbinden (nachteil: nur einer zur Zeit kann den offen haben)
b) Du kannst Office-Passwörter verwenden (d.h. Username/PW um ans Share zu kommen, Office-PW um die Datei zu öffnen)
-> beides aber m.E. murks
Ich denke du hast schon eine gute lösung mit dem E-Token, warum willst du die ersetzen? Dein Weg über Bitlocker wird nicht gehen weil der Server ja das FS entschlüsseln muss, nicht der Client. Hier könntest du höchstens das Laufwerk per iSCSI o.ä. freigeben -> dann kann der Client das einhängen und per lokalem Bitlocker entschlüsseln. Ich glaube aber nicht das diese Lösung stabil oder sinnvoll wäre -> mehr als 1 User zur Zeit dürfte auch nicht gehen...
b) Du kannst Office-Passwörter verwenden (d.h. Username/PW um ans Share zu kommen, Office-PW um die Datei zu öffnen)
-> beides aber m.E. murks
Ich denke du hast schon eine gute lösung mit dem E-Token, warum willst du die ersetzen? Dein Weg über Bitlocker wird nicht gehen weil der Server ja das FS entschlüsseln muss, nicht der Client. Hier könntest du höchstens das Laufwerk per iSCSI o.ä. freigeben -> dann kann der Client das einhängen und per lokalem Bitlocker entschlüsseln. Ich glaube aber nicht das diese Lösung stabil oder sinnvoll wäre -> mehr als 1 User zur Zeit dürfte auch nicht gehen...
Hallo,
Bitlocker ist hier der falsche Ansatz. Das ist toll, um den Offline-Zugriff auf Systeme zu verhindern. Extrem sinnvoll für Mobilgeräte, aber auch für Desktops und Server. Wenn so ein Gerät einmal geklaut wird (ja, es gibt Einbrüche in Firmen), kommt erstmal keiner dran.
Aber wenn dei Büchse mal läuft, ist der Zugriff transparent, wie du schon festgesteltl hat.
Mit Bordmitteln wäre hier eher das "Encrypting File System", kurz EFS für deinen Zweck das richtige. Hierbei wird jede Datei separat verschlüsselt, leider von MS nicht sonderlich komfortabel angelegt. Das ganze basiert auf Zertifkaten und sollte auch mit SmartCards gehen. Da müsstest du mal in diese Richtung googeln.
Gruß
Bitlocker ist hier der falsche Ansatz. Das ist toll, um den Offline-Zugriff auf Systeme zu verhindern. Extrem sinnvoll für Mobilgeräte, aber auch für Desktops und Server. Wenn so ein Gerät einmal geklaut wird (ja, es gibt Einbrüche in Firmen), kommt erstmal keiner dran.
Aber wenn dei Büchse mal läuft, ist der Zugriff transparent, wie du schon festgesteltl hat.
Mit Bordmitteln wäre hier eher das "Encrypting File System", kurz EFS für deinen Zweck das richtige. Hierbei wird jede Datei separat verschlüsselt, leider von MS nicht sonderlich komfortabel angelegt. Das ganze basiert auf Zertifkaten und sollte auch mit SmartCards gehen. Da müsstest du mal in diese Richtung googeln.
Gruß
Hi.
Ich fürchte auch, dass Du Bitlocker missverstehst. Bitlocker läuft immer auf Partitionsebene.
Wäre gut zu wissen, wie Deine Anforderungen sind:
-gemeinsamer Zugriff soll möglich sein? Sogar gleichzeitig?
-(warum) muss der zweite Faktor ein e-Token sein, kann es nicht auch ein Kennwort sein?
Ich fürchte auch, dass Du Bitlocker missverstehst. Bitlocker läuft immer auf Partitionsebene.
Wäre gut zu wissen, wie Deine Anforderungen sind:
-gemeinsamer Zugriff soll möglich sein? Sogar gleichzeitig?
-(warum) muss der zweite Faktor ein e-Token sein, kann es nicht auch ein Kennwort sein?
Vielen Dank für die Antworten.
Ihr habt genau das gesagt, was ich mir eigentlich schon dachte.
Der zweite Faktor kann kein Kennwort sein, da der erste Faktor schon das Kennwort für die Windows Anmeldung ist (Wissen) nun fehlt als zweiter Faktor halt noch der Besitz.
Ansonsten soll gemeinsamer und gleichzeitiger Zugriff möglich sein, genau.
Meine Hoffnung und Idee war einfach, dass der User nicht noch ein weiteres Produkt einsetzen muss. Daher die Idee das Ganze mit Windows Mittel umzusetzen.
Ihr habt genau das gesagt, was ich mir eigentlich schon dachte.
Der zweite Faktor kann kein Kennwort sein, da der erste Faktor schon das Kennwort für die Windows Anmeldung ist (Wissen) nun fehlt als zweiter Faktor halt noch der Besitz.
Ansonsten soll gemeinsamer und gleichzeitiger Zugriff möglich sein, genau.
Meine Hoffnung und Idee war einfach, dass der User nicht noch ein weiteres Produkt einsetzen muss. Daher die Idee das Ganze mit Windows Mittel umzusetzen.
