USB-Stick-Verschlüsselung im Unternehmen - leicht gemacht

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

03.02.2016, aktualisiert 27.12.2020, 11460 Aufrufe, 40 Kommentare, 11 Danke

Mir ist vor kurzem aufgefallen, dass Bitlocker in Win8/Server 2012- (oder höher) Umgebungen ein sehr praktisches Feature hat, das evtl. nur wenige kennen, und zwar das Binden eines Gerätes an einen AD-Nutzer oder eine Gruppe von Nutzern.

Stellt Euch vor, ihr müsst Folgendes umsetzen:

1 USB Sticks sollen innerhalb des Unternehmens zum Datentransfer verwendbar sein
2 es soll unternehmensweit nur dann auf Sticks geschrieben werden dürfen, wenn der Stick verschlüsselt ist
3 die Nutzer sollen keine Kennwörter eingeben müssen, egal auf welchem Unternehmensrechner sie den Stick anschließen
4 Die selben USB Sticks sollen außerhalb des Unternehmens generell nicht lesbar sein (bei Bedarf könnte man jedoch erlauben, einen Kennwortprotector festzulegen, um dies zu ermöglichen)

All das kann man tatsächlich kinderleicht mit Bitlocker2Go umsetzen.
->Man setzt zunächst diese GPO, welche Schreibzugriff auf unverschlüsselte Sticks unterbindet
->dann bereitet man für jeden Benutzer oder jede Gruppe von Nutzern einen Stick mit SID-Protector vor:
Das war's. Der SID-Protector bewirkt, dass der Nutzer den Stick einfach nur ansteckt, er wird dann mit seiner eigenen SID automatisch entsperrt - nette Sache. Er kann ihn an einem Privatrechner nicht verwenden, denn dort kann sich der Domänennutzer nicht anmelden. Und auf andere, selbst mitgebrachte Sticks, kann er nichts schreiben, bevor sie nicht verschlüsselt wurden - und auch nur dann, wenn Ihr selbst sie verschlüsselt habt. Der Nutzer kann nicht von zu Hause mit eigens verschlüsselten Sticks anrücken, das kann die genannte Policy nämlich ebenfalls verhindern! Zu diesem Zweck muss man den unique Identifier benutzen: https://technet.microsoft.com/en-us/library/ee424309(v=ws.10).aspx ->um diesen Identifier für Nichtadmins unlesbar zu machen, muss danach noch die Policy für nicht-Admins unlesbar gemacht werden, und zwar sowohl in der Registry
1 - Klicke auf das Bild, um es zu vergrößern

als auch in Sysvol 8wo wir authenticated users aus der ACL nehmen und dafür Domain Computers hinzufügen mit Lese- und Applyrecht:
2 - Klicke auf das Bild, um es zu vergrößern



Finde ich bemerkenswert einfach. Man benötigt jedoch zusätzlich zu Win8/10 tatsächlich einen DC mit Server 2012 oder höher.
--
Wichtiger Edit1: Außerdem Control use of BitLocker on removable drives unbedingt aktivieren und darin beide Checkboxen deselektieren, sonst können Nutzer an den Recoverykey gelangen.
Desweiteren kann man, wenn man auch Admins beschränken möchte, Recoverykeys zu nutzen, schon gar keinen Recoverykey zulassen. Also bei der Verschlüsselung selbst ein externes Keyfile als Notfallschlüssel generieren (auf dem Admin-PC) und auf den Nutzer-PCs Recoverykeys und externe Keys per GPO verbieten.
40 Kommentare
Mitglied: dng-alt
08.02.2016 um 09:35 Uhr
Hallo DerWoWusste,

Klasse Beitrag...so einfach kann es sein! :-) face-smile
Wir haben zwar eine USB-Sperre über TrendMicro WFBS unternehmensweit ausgerollt, aber trotzdem sollen gelegentlich USB-Sticks verwendet werden.
Damit können wir Unternehmens-USB-Sticks einführen!

Super...vielen Dank!

Guten Wochenstart...
dng-alt
Bitte warten ..
Mitglied: doubleLayer
25.02.2016, aktualisiert um 17:59 Uhr
sehe ich das richtig, dass eure User den Stick dann auch nur innerhalb des Unternehmens nutzen können? Falls ja, erschließt sich mir der Sinn eines usb sticks irgendwie nicht.

Einzig und alleine die Tatsache das man keine anderen usb sticks verwenden kann leuchtet mir ein. ;-) face-wink
Bitte warten ..
Mitglied: DerWoWusste
25.02.2016 um 21:39 Uhr
Sie können ihn nur an Unternehmensrechnern nutzen, richtig. Anwendungsfälle gibt es dennoch genug, als Backup auf Dienstreisen zum Beispiel. Oder um gewisse Daten auch ohne Netzwerk im Unternehmen austauschen zu können, beispielsweise gigabyteweise Messdaten, die nicht das Netzwerk zu machen sollen. Und Ausnahmen kann man bei Bedarf regeln, der Admin kann ein zusätzlich gesetztes Kennwort rausgeben, das funktioniert überall.
Bitte warten ..
Mitglied: Daniel.Fuhrmann
18.11.2016 um 16:36 Uhr
Hallo zusammen,

ich wollte das auch mal hier in unserer Umgebung testen.

Jedoch erhalten ich einen Syntax Fehler wenn ich -sid eingebe. Gibt es den Befehl so nicht mehr?

Testsystem ist ein Windows 10 (1607) und DC´s sind 2012r2

Kennt jemand auch das Problem?

Mfg

Daniel
Bitte warten ..
Mitglied: DerWoWusste
18.11.2016 um 16:55 Uhr
Und, wie lautet der Syntaxfehler?
Die DCs sind 2012, aber ist auch deren Domänen-Funktionslevel bei 2012?
Bitte warten ..
Mitglied: Daniel.Fuhrmann
18.11.2016 um 21:41 Uhr
Also die AD Schemaversion ist Server 2012R2 (Version 69).

Als Syntayfehler bekomme ich Error Code: 0x8004100e

Wo gebe ich den Befehl ein?
Geht Powershell oder CMD, auf dem Server oder einem Client (Windows 10). Wenn bei Clients geht da jeder?

Vielen Dank schon mal für die Anworten
Bitte warten ..
Mitglied: DerWoWusste
19.11.2016 um 08:59 Uhr
Das ist ein Batchkommando, Kommandozeile natürlich elevated starten. Als Client hatte ich Win10 1511 genutzt. Ich werde es am Wochenende noch mal mit einer VHDX-Platte in yper-V unter 1607 und Server 2016 als DC versuchen.
Bitte warten ..
Mitglied: DerWoWusste
21.11.2016 um 08:53 Uhr
Hello again.

Ich bin noch nicht dazu gekommen, aber heute Abend, denke ich.
Frage vorab: war der Stick denn schon verschlüsselt? Bevor der SID-Protector hinzugefügt wird, muss er schon verschlüsselt worden sein.
Bitte warten ..
Mitglied: Daniel.Fuhrmann
21.11.2016 um 09:37 Uhr
Hallo,

hatte beim ersten mal das Laufwerk nicht verschlüsselt.
Aber auch mit Verschlüsseltem Stick geht es nicht. Bin als Domänadmin am W10 Rechner angemeldet mit einem verschlüsselten Bitlocker Stick.
Dann habe ich eine CMD mit dem Befehl eingegeben und als Fehlermeldung bekomme ich: Fehler: 0x80090034
Bitte warten ..
Mitglied: DerWoWusste
21.11.2016 um 10:03 Uhr
Das deutet auf ein DC-seitiges Problem hin, siehe https://social.technet.microsoft.com/Forums/office/en-US/82a84793-7f3d-4 ...
Dort war der DC upgegradet worden und mit einem neuinstallierten DC ging es.
Bitte warten ..
Mitglied: DerWoWusste
21.11.2016 um 19:45 Uhr
So, ich habe es ausprobiert.

Mein Test-DC hier hat Server 2016 TP5 - und es geht nicht auf Win10 1607, selber Fehler. Auf 1511 geht es noch.
Ich werde mir das anschauen müssen - hatte eh vor, meine Testdomäne mit 2016 neu aufzuziehen.
Bitte warten ..
Mitglied: Daniel.Fuhrmann
21.11.2016 um 20:14 Uhr
Hi, wollte dir jetzt nicht so viel arbeit machen. Dank dir schon mal für die Unterstützung.
Bitte warten ..
Mitglied: Herbrich19
21.11.2016 um 20:22 Uhr
Ich verweise mal Freundlich auf die Videos der Sys GmbH die diese Crypto Sticks gehackt haben. Wo bei ich mir nicht sicher bin ob es Tatsächlich so ist aber auf jeden Fall wirkt die Sys GmbH Seriös.

Gruß an die IT-Welt,
J Herbrich
Bitte warten ..
Mitglied: DerWoWusste
21.11.2016 um 21:18 Uhr
Und wo ist jetzt der Zusammenhang von "diesen Cryptosticks" zu Bitlocker?
Bitte warten ..
Mitglied: Herbrich19
21.11.2016 um 21:38 Uhr
Ahso, ja Bitlooker ist an sich kein Problem. Ich habe mit Crypto Sticks diese FIPS Zertifizierten dinger assoziiert.

Gruß an die IT-Welt,
J Herbrich
Bitte warten ..
Mitglied: DerWoWusste
21.11.2016 um 22:20 Uhr
Hi, wollte dir jetzt nicht so viel arbeit machen. Dank dir schon mal für die Unterstützung.
Keine Ursache, ich hatte den Artikel geschrieben, als ich es für unsere Domäne vorbereitet hatte (in einer Testdomäne). Die Umsetzung war damals mangels 2012er DC noch nicht erfolgt, also muss ich da zwangsläufig nochmal bei demnächst, denn es steht nun an.
Bitte warten ..
Mitglied: DerWoWusste
12.04.2017 um 15:20 Uhr
Daniel, ich habe es nun hier eingeführt und es läuft wunderbar nach Plan. Es funktioniert mit 1607 und dem neuen 1703 von win10. DC ist hier ein 2016er. Funktionslevel ebenso 2016.
Bitte warten ..
Mitglied: hukahu23489
05.12.2017 um 10:13 Uhr
Guten Tag,

vielen Dank für den Klasse Beitrag. Ich habe es heute in der DC 2012 Umgebung umgesetzt und es funktioniert gut aber mit "Einschränkungen". Sobald ich einen Usb Stick mit Bitlocker verschlüssele und einen SID Protector setze, den usb stick aber an einem anderen Rechner einsetze und sich dabei der Laufwerkbuchstabe ändert, wird der AD User bzw. die Ad Gruppe nicht mehr erkannt und ich muss mich mit das vorher erstellte Password authentifizieren.
Bitte warten ..
Mitglied: DerWoWusste
05.12.2017 um 10:36 Uhr
Danke für das Feedback. Gib bitte das Betriebssystem an - im Fall von Win10 auch den Build (Ausgabe von winver).
Bitte warten ..
Mitglied: hukahu23489
05.12.2017, aktualisiert um 11:02 Uhr
Das Betriebssystem, mit dem ich verschlüsselt habe: Win10 1703 (Build 15063.608)

Testrechner: Win10 1703 (Build 15063.608), Win 7 Professional

Danke.
Bitte warten ..
Mitglied: DerWoWusste
05.12.2017 um 11:24 Uhr
Win 7 Professional
Ja, äh, wie ich ja deutlich oben schrieb: "Man benötigt ...Win8/10" - Windows 7 kennt keine SID-Protectors und fällt zurück auf das Kennwort - ganz normal.
Bitte warten ..
Mitglied: hukahu23489
05.12.2017 um 11:32 Uhr
okay gut, hatte ich übersehen. Aber bei dem Win 10 Rechner ! Die Frage ist: Wie kann ich mein Wechselmedium mitteilen, dass im Falle sich der Laufwerkbuchstabe ändert, der SID Protector trotzdem gültig bleibt. Danke im Voraus.
Bitte warten ..
Mitglied: DerWoWusste
05.12.2017 um 11:39 Uhr
Das hat mit Laufwerksbuchstaben nichts zu tun und ich kann das Problem hier auch nicht reproduzieren.
Bitte warten ..
Mitglied: hukahu23489
05.12.2017 um 16:00 Uhr
OK, dann werde ich mal schauen, woran es liegen könnte. Trotzdem vielen Dank.
Bitte warten ..
Mitglied: DerWoWusste
13.07.2018 um 20:45 Uhr
Habe Edit1 hinzugefügt
Bitte warten ..
Mitglied: Knorkator
09.07.2020 um 08:25 Uhr
Hallo DerWoWusste,

danke für den interessanten Beitrag.

Irgendwie klappt das bei mir nicht.
Die GPO wirkt derzeit nur auf ein Testgerät.
Ein USB-Stick wurde mit o.a. manage-bde Befehl konfiguriert und mit -sid domain\benutzergruppe versehen.
Bei Nutzern, die nicht in der Gruppe sind, wird der Stick nicht gemountet.
Bei Nutzern der o.a. Gruppe wird der Stick gemountet, aber nur im Lesezugriff.

Vielleicht habe ich ja eine GPO Einstellung übersehen.
computer\admini...\windows-komponenten\Bitlocker-Lauf...:
- Verwendung von Bitlocker auf Wechseldatenträgern steuern: Aktiviert (beide Haken deaktiviert)
- Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch Bitlocker geschützt sind: aktiviert (keinen Schreib..andere Organis.. -> aktiv)

Mehr für diesen Test relevante Einstellungen habe ich jetzt nicht gesehen.

Hast Du eine Idee dazu?

Server: 2012R2
Client: W10 1909

Vielen Dank!
Bitte warten ..
Mitglied: DerWoWusste
09.07.2020 um 09:12 Uhr
Moin.

Kann es sein, dass Du zusätzlich eine GPO aktiv hast, die generell auf Wechseldatenträgern den Schreibzugriff verbietet?
Ich spreche von dieser: https://www.der-windows-papst.de/2016/06/25/wechseldatentraeger-schreibz ...
Bitte warten ..
Mitglied: Knorkator
09.07.2020, aktualisiert um 09:32 Uhr
Moin,

nope.. leider nicht.
Deaktiviere ich die GPO für dieses Gerät (hab es auf 2 erweitert), kann ich..
- Mit dem Nutzer aus der -sid Gruppe auf dem Stick schreiben
- mit einem Nutzer, der nicht in der Gruppe ist, nichts mit dem Stick anfangen.

Gibt es bei dem manage-bde Befehl noch etwas zu beachten?

Danke!

Zur Info:

Bitte warten ..
Mitglied: DerWoWusste
09.07.2020 um 09:39 Uhr
Nee, da ist nichts zu beachten.
Der einzige Unterschied zu dem, wie wir es derzeit in der Firma verwenden (Win10 1909), ist, dass Du keinen Recoverykey erstellt hast. Teste mal mit hinzugefügtem Recoverykey.
Bitte warten ..
Mitglied: Knorkator
09.07.2020 um 10:51 Uhr
Ok,

Habe ich mit diesem Befehl gemacht.
manage-bde -protectors -add h: -recoverykey d: -recoverypassword -sid "domain\usergruppe"

Fazit:
- Der Stick wird auf den beiden Clients nur lesend geöffnet obwohl der Nutzer in der passenden Gruppe ist.
- Ein Domänenfremdes Gerät interessiert sich übrigens nicht für den o.a. Befehl. der Stick lässt sich lesen und beschreiben.
manage-bde -status zeigt auf dem "Verschlüsselungs-PC übrigens keine Verschlüsselung auf dem Stick an...
Kommt nach dem o.a. Befehl noch etwas das ich übersehen habe?

Folgender Befehl verhält sich etwas besser, ein Schreibzugriff ist jedoch weiterhin nicht für die Gruppenmitglieder möglich.
manage-bde -on h: -recoverykey d: -recoverypassword -sid "domain\usergruppe"
Hier wird der Stick ja aktiv verschlüsselt und ein Zugriff von einem Domänenfremden Gerät ist auch nur per Eingabe des Schlüssels möglich.

Danke
Bitte warten ..
Mitglied: DerWoWusste
09.07.2020 um 10:54 Uhr
Also... meine Anleitung funktioniert auf dem beschriebenen Wege. Ich kann Dir nicht sagen, was bei Dir dazwischenfunktt, aber wenn Du eine Testdomain hast, oder ein Testgerät in deiner Domain, auf das keine GPOs außer der von mir beschriebenen wirken, dann wird es funktionieren.

Bitte teste das. Wenn es weiterhin nicht geht, eröffne eine eigene Frage.
Bitte warten ..
Mitglied: DerWoWusste
09.07.2020, aktualisiert um 11:08 Uhr
Warte kurz, ich sehe gerade, dass Du geschrieben hast "keinen Schreib..andere Organis.. -> aktiv)" - Du hast vermutlich gar keinen Identifier für deine Organisation festgelegt, dann wird das auch nichts. Festlegen: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Bitte warten ..
Mitglied: Knorkator
14.07.2020, aktualisiert um 09:58 Uhr
Hallo nochmal,

ich vermute weiterhin, dass ich etwas grundsätzliches verkehrt mache.
Ggf. erkennst Du ja etwas an der GPO.

1. Ich erstelle die entsprechende GPO mit folgenden Computereinstellungen:
gpo - Klicke auf das Bild, um es zu vergrößern
2. Bin ich unsicher, auf welchem Computer ich die Sticks verschlüsseln soll/muss.
Wenn ich die o.a. Befehle auf dem Test-Client ausführe, erhalte ich einen Fehlercode 0x80070057 -> Falscher Parameter
Clients auf denen die GPO nicht wirkt, können beide Befehle ausführen, dann aber mit den o.a. Problemen.

3. Kannst Du mir erklären, zu welchem Zeitpunk der Stick verschlüsselt wird, wenn der Befehl "manage-bde -protectors -add x: -sid Domain\User" verwendet wird? Der Befehl "manage-bde -on... " verschlüsselt den Stick ja aktiv.
Fehlt mir noch etwas?

Danke
Bitte warten ..
Mitglied: DerWoWusste
14.07.2020 um 11:44 Uhr
Bin im Urlaub ohne Rechner.
Das -on muss natürlich verwendet werden, sonst wird ja nicht verschlüsselt.

Dass es sich bei dir für die angegebene Gruppe nicht entsperrt kann daran liegen, dass du dich in die Gruppe setzt, aber danach noch nicht neu an Windows angemeldet hast.
Füge zum Test einmal die Domänenbenutzergruppe hinzu. Damit muss es ja für alle sofort gehen. Oder nimm dein Benutzerkonto.
Bitte warten ..
Mitglied: Knorkator
14.07.2020 um 12:00 Uhr
Na herzlichen Glückwunsch!
Hoffentlich spielt das Wetter mit!

Die Testgruppe bzw. die Zugehörigkeit zu selbiger exisitiert schon lange.

Wenn das -on dazugehört.. muss ich dann 2 Befehle eingeben?

Danke
Bitte warten ..
Mitglied: DerWoWusste
14.07.2020 um 12:11 Uhr
Ich hatte schon letztes Mal geschrieben: schreib eine eigene Frage auf. Wissensbeiträge sind keine Diskussionsrunde.

Du kannst das -on machen, wann du willst.
geht auch.

Du bist auf die Identifier für deine Organisation nicht eingegangen bzw. du hast in deinen Screenshots nicht wiedergegeben, was da angewendet wird.

Bitte lass deine Antwort aus diesem Beitrag raus und gedulde dich mit weiteren Fragen bis nächste Woche.
Bitte warten ..
Mitglied: Knorkator
14.07.2020, aktualisiert um 12:14 Uhr
Zitat von @DerWoWusste:
Wissensbeiträge sind keine Diskussionsrunde.

Ok, hab ich übersehen.

Danke!
Bitte warten ..
Mitglied: DerWoWusste
27.12.2020, aktualisiert 29.12.2020
Ich habe zwei weitere Screenshots eingefügt, die anzeigen, wie man den unique Identifier schützen kann, der dazu benutzt wird, zu verhindern, dass User zu Hause Sticks verschlüsseln und mit in die Firma bringen, um diese Maßnahmen zu umgehen.
Bitte warten ..
Mitglied: Herbrich19
29.12.2020 um 12:54 Uhr
Gepriesen sei das Rauhe Haus,

Ich finde die Verwendung von USB-Sticks zum Datentransfer in Firmen sehr Kritisch. Man kann über Fileserver, Sharepoint, Lync, etc... (halt übers Netzwerk) Daten meist sicherer Übertragen. Bei USB-Sticks ist zudem die Gefahr groß das diese geklaut werden. Sind die Daten verschlüsselt kommt es auch noch auf den Wert der Daten an. Ich meine die NSA Speichert seit Jahren verschlüsselte Daten auf vorrat und wenn Quatencomputer marktreif sind entschlüsselt die NSA ihren Datenschatz einfach.

Und Bitlooker ist mir persönlich seit dem bekantwerden von NSLs und den Microsoft Forenstik Toolkit auch nicht mehr wirklich geheuer.

Ich selbst nutze TrueCrypt (inzwischen Vera Crypt) und habe die "Kern Daten" der Herbrich Corporation auf zwei USB-Sticks verschlüsselt in einem Bankschließfach.

LG, Jenni Hapunkt
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 1 TagTippErkennung und -Abwehr5 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Windows Server
Hat Microsoft die WindowsServerSicherung oder diskpart zerpatcht?
anteNopeVor 20 StundenFrageWindows Server3 Kommentare

Hallo, kann es eventuell sein, dass Microsoft mit seinen letzten Updates die WindowsServerSicherung bzw. diskpart zerschossen hat? Es häufen sich bei mir seit gestern ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...

Windows 10
Lokales Profil wird beim Herunterfahren gelöscht!
Yuuto.LucasVor 1 TagFrageWindows 1012 Kommentare

Hallo, ich habe aktuell folgendes Problem. An einem Kundenrechner ist aktuell ein Lokales Profil eingerichtet (vorher ein Server Profil bei dem das gleiche Problem ...

Ubuntu
Cups-Server mit SMB lehnt Verbindungen ab (smb.conf)?
ErikHeinemannVor 10 StundenFrageUbuntu17 Kommentare

Guten Morgen, ich habe einen Ubuntu 20.04 Server mit Cups als Printspooler. Nun Soll noch Samba hinzugefügt werden für eine einfache Verwendung unter Windows. ...