41
USB-Stick-Verschlüsselung im Unternehmen - leicht gemacht
Mir ist vor kurzem aufgefallen, dass Bitlocker in Win8/Server 2012- (oder höher) Umgebungen ein sehr praktisches Feature hat, das evtl. nur wenige kennen, und zwar das Binden eines Gerätes an einen AD-Nutzer oder eine Gruppe von Nutzern.
Stellt Euch vor, ihr müsst Folgendes umsetzen:
1 USB Sticks sollen innerhalb des Unternehmens zum Datentransfer verwendbar sein
2 es soll unternehmensweit nur dann auf Sticks geschrieben werden dürfen, wenn der Stick verschlüsselt ist
3 die Nutzer sollen keine Kennwörter eingeben müssen, egal auf welchem Unternehmensrechner sie den Stick anschließen
4 Die selben USB Sticks sollen außerhalb des Unternehmens generell nicht lesbar sein (bei Bedarf könnte man jedoch erlauben, einen Kennwortprotector festzulegen, um dies zu ermöglichen)
All das kann man tatsächlich kinderleicht mit Bitlocker2Go umsetzen.
->Man setzt zunächst diese GPO, welche Schreibzugriff auf unverschlüsselte Sticks unterbindet
->dann bereitet man für jeden Benutzer oder jede Gruppe von Nutzern einen Stick mit SID-Protector vor:
Das war's. Der SID-Protector bewirkt, dass der Nutzer den Stick einfach nur ansteckt, er wird dann mit seiner eigenen SID automatisch entsperrt - nette Sache. Er kann ihn an einem Privatrechner nicht verwenden, denn dort kann sich der Domänennutzer nicht anmelden. Und auf andere, selbst mitgebrachte Sticks, kann er nichts schreiben, bevor sie nicht verschlüsselt wurden - und auch nur dann, wenn Ihr selbst sie verschlüsselt habt. Der Nutzer kann nicht von zu Hause mit eigens verschlüsselten Sticks anrücken, das kann die genannte Policy nämlich ebenfalls verhindern! Zu diesem Zweck muss man den unique Identifier benutzen: https://technet.microsoft.com/en-us/library/ee424309(v=ws.10).aspx ->um diesen Identifier für Nichtadmins unlesbar zu machen, muss danach noch die Policy für nicht-Admins unlesbar gemacht werden, und zwar sowohl in der Registry
als auch in Sysvol (wo wir authenticated users aus der ACL nehmen und dafür Domain Computers hinzufügen mit Lese- und Applyrecht:
Finde ich bemerkenswert einfach. Man benötigt jedoch zusätzlich zu Win8/10 tatsächlich einen DC mit Server 2012 oder höher.
--
Wichtiger Edit1: Außerdem Control use of BitLocker on removable drives unbedingt aktivieren und darin beide Checkboxen deselektieren, sonst können Nutzer an den Recoverykey gelangen.
Edit 2: Damit normale Nutzer über das Bitlocker Kontextmenü ("Bitlocker verwalten") nicht den Recoverykey erlangen können, muss man desweiteren auf Nutzerrechnern für Wechseldatenträger schon gar keinen Recoverykey/nurmerisches Recoverypasswort zulassen. Also bei der Verschlüsselung selbst ein externes Keyfile als Notfallschlüssel generieren (auf dem Admin-PC) und auf den Nutzer-PCs Recoverykeys und externe Keys per GPO verbieten.
Stellt Euch vor, ihr müsst Folgendes umsetzen:
1 USB Sticks sollen innerhalb des Unternehmens zum Datentransfer verwendbar sein
2 es soll unternehmensweit nur dann auf Sticks geschrieben werden dürfen, wenn der Stick verschlüsselt ist
3 die Nutzer sollen keine Kennwörter eingeben müssen, egal auf welchem Unternehmensrechner sie den Stick anschließen
4 Die selben USB Sticks sollen außerhalb des Unternehmens generell nicht lesbar sein (bei Bedarf könnte man jedoch erlauben, einen Kennwortprotector festzulegen, um dies zu ermöglichen)
All das kann man tatsächlich kinderleicht mit Bitlocker2Go umsetzen.
->Man setzt zunächst diese GPO, welche Schreibzugriff auf unverschlüsselte Sticks unterbindet
->dann bereitet man für jeden Benutzer oder jede Gruppe von Nutzern einen Stick mit SID-Protector vor:
Manage-bde -on x: -used -rp -sid deinedom\deinnutzerals auch in Sysvol (wo wir authenticated users aus der ACL nehmen und dafür Domain Computers hinzufügen mit Lese- und Applyrecht:
Finde ich bemerkenswert einfach. Man benötigt jedoch zusätzlich zu Win8/10 tatsächlich einen DC mit Server 2012 oder höher.
--
Wichtiger Edit1: Außerdem Control use of BitLocker on removable drives unbedingt aktivieren und darin beide Checkboxen deselektieren, sonst können Nutzer an den Recoverykey gelangen.
Edit 2: Damit normale Nutzer über das Bitlocker Kontextmenü ("Bitlocker verwalten") nicht den Recoverykey erlangen können, muss man desweiteren auf Nutzerrechnern für Wechseldatenträger schon gar keinen Recoverykey/nurmerisches Recoverypasswort zulassen. Also bei der Verschlüsselung selbst ein externes Keyfile als Notfallschlüssel generieren (auf dem Admin-PC) und auf den Nutzer-PCs Recoverykeys und externe Keys per GPO verbieten.
Speichern von BitLocker-Wiederherstellungsinformationen durch Benutzer konfigurieren:
48-stelliges Wiederherstellungskennwort nicht zulassen
256-Bit-Wiederherstellungsschlüssel nicht zulassen
48-stelliges Wiederherstellungskennwort nicht zulassen
256-Bit-Wiederherstellungsschlüssel nicht zulassen
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 294996
Url: https://administrator.de/contentid/294996
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
41 Kommentare
Neuester Kommentar
Hallo DerWoWusste,
Klasse Beitrag...so einfach kann es sein!
Wir haben zwar eine USB-Sperre über TrendMicro WFBS unternehmensweit ausgerollt, aber trotzdem sollen gelegentlich USB-Sticks verwendet werden.
Damit können wir Unternehmens-USB-Sticks einführen!
Super...vielen Dank!
Guten Wochenstart...
dng-alt
Klasse Beitrag...so einfach kann es sein!
Wir haben zwar eine USB-Sperre über TrendMicro WFBS unternehmensweit ausgerollt, aber trotzdem sollen gelegentlich USB-Sticks verwendet werden.
Damit können wir Unternehmens-USB-Sticks einführen!
Super...vielen Dank!
Guten Wochenstart...
dng-alt
sehe ich das richtig, dass eure User den Stick dann auch nur innerhalb des Unternehmens nutzen können? Falls ja, erschließt sich mir der Sinn eines usb sticks irgendwie nicht.
Einzig und alleine die Tatsache das man keine anderen usb sticks verwenden kann leuchtet mir ein.
Einzig und alleine die Tatsache das man keine anderen usb sticks verwenden kann leuchtet mir ein.
Sie können ihn nur an Unternehmensrechnern nutzen, richtig. Anwendungsfälle gibt es dennoch genug, als Backup auf Dienstreisen zum Beispiel. Oder um gewisse Daten auch ohne Netzwerk im Unternehmen austauschen zu können, beispielsweise gigabyteweise Messdaten, die nicht das Netzwerk zu machen sollen. Und Ausnahmen kann man bei Bedarf regeln, der Admin kann ein zusätzlich gesetztes Kennwort rausgeben, das funktioniert überall.
Hallo zusammen,
ich wollte das auch mal hier in unserer Umgebung testen.
Jedoch erhalten ich einen Syntax Fehler wenn ich -sid eingebe. Gibt es den Befehl so nicht mehr?
Testsystem ist ein Windows 10 (1607) und DC´s sind 2012r2
Kennt jemand auch das Problem?
Mfg
Daniel
ich wollte das auch mal hier in unserer Umgebung testen.
Jedoch erhalten ich einen Syntax Fehler wenn ich -sid eingebe. Gibt es den Befehl so nicht mehr?
Testsystem ist ein Windows 10 (1607) und DC´s sind 2012r2
Kennt jemand auch das Problem?
Mfg
Daniel
Und, wie lautet der Syntaxfehler?
Die DCs sind 2012, aber ist auch deren Domänen-Funktionslevel bei 2012?
Die DCs sind 2012, aber ist auch deren Domänen-Funktionslevel bei 2012?
Also die AD Schemaversion ist Server 2012R2 (Version 69).
Als Syntayfehler bekomme ich Error Code: 0x8004100e
Wo gebe ich den Befehl ein?
Geht Powershell oder CMD, auf dem Server oder einem Client (Windows 10). Wenn bei Clients geht da jeder?
Vielen Dank schon mal für die Anworten
Als Syntayfehler bekomme ich Error Code: 0x8004100e
Wo gebe ich den Befehl ein?
Geht Powershell oder CMD, auf dem Server oder einem Client (Windows 10). Wenn bei Clients geht da jeder?
Vielen Dank schon mal für die Anworten
Das ist ein Batchkommando, Kommandozeile natürlich elevated starten. Als Client hatte ich Win10 1511 genutzt. Ich werde es am Wochenende noch mal mit einer VHDX-Platte in yper-V unter 1607 und Server 2016 als DC versuchen.
Hello again.
Ich bin noch nicht dazu gekommen, aber heute Abend, denke ich.
Frage vorab: war der Stick denn schon verschlüsselt? Bevor der SID-Protector hinzugefügt wird, muss er schon verschlüsselt worden sein.
Ich bin noch nicht dazu gekommen, aber heute Abend, denke ich.
Frage vorab: war der Stick denn schon verschlüsselt? Bevor der SID-Protector hinzugefügt wird, muss er schon verschlüsselt worden sein.
Hallo,
hatte beim ersten mal das Laufwerk nicht verschlüsselt.
Aber auch mit Verschlüsseltem Stick geht es nicht. Bin als Domänadmin am W10 Rechner angemeldet mit einem verschlüsselten Bitlocker Stick.
Dann habe ich eine CMD mit dem Befehl eingegeben und als Fehlermeldung bekomme ich: Fehler: 0x80090034
hatte beim ersten mal das Laufwerk nicht verschlüsselt.
Aber auch mit Verschlüsseltem Stick geht es nicht. Bin als Domänadmin am W10 Rechner angemeldet mit einem verschlüsselten Bitlocker Stick.
Dann habe ich eine CMD mit dem Befehl eingegeben und als Fehlermeldung bekomme ich: Fehler: 0x80090034
Das deutet auf ein DC-seitiges Problem hin, siehe https://social.technet.microsoft.com/Forums/office/en-US/82a84793-7f3d-4 ...
Dort war der DC upgegradet worden und mit einem neuinstallierten DC ging es.
Dort war der DC upgegradet worden und mit einem neuinstallierten DC ging es.
So, ich habe es ausprobiert.
Mein Test-DC hier hat Server 2016 TP5 - und es geht nicht auf Win10 1607, selber Fehler. Auf 1511 geht es noch.
Ich werde mir das anschauen müssen - hatte eh vor, meine Testdomäne mit 2016 neu aufzuziehen.
Mein Test-DC hier hat Server 2016 TP5 - und es geht nicht auf Win10 1607, selber Fehler. Auf 1511 geht es noch.
Ich werde mir das anschauen müssen - hatte eh vor, meine Testdomäne mit 2016 neu aufzuziehen.
1
Hi, wollte dir jetzt nicht so viel arbeit machen. Dank dir schon mal für die Unterstützung.
Ich verweise mal Freundlich auf die Videos der Sys GmbH die diese Crypto Sticks gehackt haben. Wo bei ich mir nicht sicher bin ob es Tatsächlich so ist aber auf jeden Fall wirkt die Sys GmbH Seriös.
Gruß an die IT-Welt,
J Herbrich
Gruß an die IT-Welt,
J Herbrich
Und wo ist jetzt der Zusammenhang von "diesen Cryptosticks" zu Bitlocker?
Ahso, ja Bitlooker ist an sich kein Problem. Ich habe mit Crypto Sticks diese FIPS Zertifizierten dinger assoziiert.
Gruß an die IT-Welt,
J Herbrich
Gruß an die IT-Welt,
J Herbrich
Hi, wollte dir jetzt nicht so viel arbeit machen. Dank dir schon mal für die Unterstützung.
Keine Ursache, ich hatte den Artikel geschrieben, als ich es für unsere Domäne vorbereitet hatte (in einer Testdomäne). Die Umsetzung war damals mangels 2012er DC noch nicht erfolgt, also muss ich da zwangsläufig nochmal bei demnächst, denn es steht nun an.
Daniel, ich habe es nun hier eingeführt und es läuft wunderbar nach Plan. Es funktioniert mit 1607 und dem neuen 1703 von win10. DC ist hier ein 2016er. Funktionslevel ebenso 2016.
Guten Tag,
vielen Dank für den Klasse Beitrag. Ich habe es heute in der DC 2012 Umgebung umgesetzt und es funktioniert gut aber mit "Einschränkungen". Sobald ich einen Usb Stick mit Bitlocker verschlüssele und einen SID Protector setze, den usb stick aber an einem anderen Rechner einsetze und sich dabei der Laufwerkbuchstabe ändert, wird der AD User bzw. die Ad Gruppe nicht mehr erkannt und ich muss mich mit das vorher erstellte Password authentifizieren.
vielen Dank für den Klasse Beitrag. Ich habe es heute in der DC 2012 Umgebung umgesetzt und es funktioniert gut aber mit "Einschränkungen". Sobald ich einen Usb Stick mit Bitlocker verschlüssele und einen SID Protector setze, den usb stick aber an einem anderen Rechner einsetze und sich dabei der Laufwerkbuchstabe ändert, wird der AD User bzw. die Ad Gruppe nicht mehr erkannt und ich muss mich mit das vorher erstellte Password authentifizieren.
Danke für das Feedback. Gib bitte das Betriebssystem an - im Fall von Win10 auch den Build (Ausgabe von winver).
Das Betriebssystem, mit dem ich verschlüsselt habe: Win10 1703 (Build 15063.608)
Testrechner: Win10 1703 (Build 15063.608), Win 7 Professional
Danke.
Testrechner: Win10 1703 (Build 15063.608), Win 7 Professional
Danke.
Win 7 Professional
Ja, äh, wie ich ja deutlich oben schrieb: "Man benötigt ...Win8/10" - Windows 7 kennt keine SID-Protectors und fällt zurück auf das Kennwort - ganz normal.
okay gut, hatte ich übersehen. Aber bei dem Win 10 Rechner ! Die Frage ist: Wie kann ich mein Wechselmedium mitteilen, dass im Falle sich der Laufwerkbuchstabe ändert, der SID Protector trotzdem gültig bleibt. Danke im Voraus.
Das hat mit Laufwerksbuchstaben nichts zu tun und ich kann das Problem hier auch nicht reproduzieren.
OK, dann werde ich mal schauen, woran es liegen könnte. Trotzdem vielen Dank.
Habe Edit1 hinzugefügt
Hallo DerWoWusste,
danke für den interessanten Beitrag.
Irgendwie klappt das bei mir nicht.
Die GPO wirkt derzeit nur auf ein Testgerät.
Ein USB-Stick wurde mit o.a. manage-bde Befehl konfiguriert und mit -sid domain\benutzergruppe versehen.
Bei Nutzern, die nicht in der Gruppe sind, wird der Stick nicht gemountet.
Bei Nutzern der o.a. Gruppe wird der Stick gemountet, aber nur im Lesezugriff.
Vielleicht habe ich ja eine GPO Einstellung übersehen.
computer\admini...\windows-komponenten\Bitlocker-Lauf...:
- Verwendung von Bitlocker auf Wechseldatenträgern steuern: Aktiviert (beide Haken deaktiviert)
- Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch Bitlocker geschützt sind: aktiviert (keinen Schreib..andere Organis.. -> aktiv)
Mehr für diesen Test relevante Einstellungen habe ich jetzt nicht gesehen.
Hast Du eine Idee dazu?
Server: 2012R2
Client: W10 1909
Vielen Dank!
danke für den interessanten Beitrag.
Irgendwie klappt das bei mir nicht.
Die GPO wirkt derzeit nur auf ein Testgerät.
Ein USB-Stick wurde mit o.a. manage-bde Befehl konfiguriert und mit -sid domain\benutzergruppe versehen.
Bei Nutzern, die nicht in der Gruppe sind, wird der Stick nicht gemountet.
Bei Nutzern der o.a. Gruppe wird der Stick gemountet, aber nur im Lesezugriff.
Vielleicht habe ich ja eine GPO Einstellung übersehen.
computer\admini...\windows-komponenten\Bitlocker-Lauf...:
- Verwendung von Bitlocker auf Wechseldatenträgern steuern: Aktiviert (beide Haken deaktiviert)
- Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch Bitlocker geschützt sind: aktiviert (keinen Schreib..andere Organis.. -> aktiv)
Mehr für diesen Test relevante Einstellungen habe ich jetzt nicht gesehen.
Hast Du eine Idee dazu?
Server: 2012R2
Client: W10 1909
Vielen Dank!
Moin.
Kann es sein, dass Du zusätzlich eine GPO aktiv hast, die generell auf Wechseldatenträgern den Schreibzugriff verbietet?
Ich spreche von dieser: https://www.der-windows-papst.de/2016/06/25/wechseldatentraeger-schreibz ...
Kann es sein, dass Du zusätzlich eine GPO aktiv hast, die generell auf Wechseldatenträgern den Schreibzugriff verbietet?
Ich spreche von dieser: https://www.der-windows-papst.de/2016/06/25/wechseldatentraeger-schreibz ...
Moin,
nope.. leider nicht.
Deaktiviere ich die GPO für dieses Gerät (hab es auf 2 erweitert), kann ich..
- Mit dem Nutzer aus der -sid Gruppe auf dem Stick schreiben
- mit einem Nutzer, der nicht in der Gruppe ist, nichts mit dem Stick anfangen.
Gibt es bei dem manage-bde Befehl noch etwas zu beachten?
Danke!
Zur Info:
nope.. leider nicht.
Deaktiviere ich die GPO für dieses Gerät (hab es auf 2 erweitert), kann ich..
- Mit dem Nutzer aus der -sid Gruppe auf dem Stick schreiben
- mit einem Nutzer, der nicht in der Gruppe ist, nichts mit dem Stick anfangen.
Gibt es bei dem manage-bde Befehl noch etwas zu beachten?
Danke!
Zur Info:
PS C:\> manage-bde -status h: BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.18362
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.
Volume "H:" [SSS_X64FREV]
[Datenvolume]
Größe: 7,37 GB
BitLocker-Version: 2.0
Konvertierungsstatus: Vollständig verschlüsselt
Verschlüsselt (Prozent): 100,0 %
Verschlüsselungsmethode: XTS-AES 128
Schutzstatus: Der Schutz ist aktiviert.
Sperrungsstatus: Entsperrt
ID-Feld: Unbekannt
Automatische Entsperrung: Deaktiviert
Schlüsselschutzvorrichtungen:
Identität (SID-basiert)
Nee, da ist nichts zu beachten.
Der einzige Unterschied zu dem, wie wir es derzeit in der Firma verwenden (Win10 1909), ist, dass Du keinen Recoverykey erstellt hast. Teste mal mit hinzugefügtem Recoverykey.
Der einzige Unterschied zu dem, wie wir es derzeit in der Firma verwenden (Win10 1909), ist, dass Du keinen Recoverykey erstellt hast. Teste mal mit hinzugefügtem Recoverykey.
Ok,
Habe ich mit diesem Befehl gemacht.
manage-bde -protectors -add h: -recoverykey d: -recoverypassword -sid "domain\usergruppe"
Fazit:
- Der Stick wird auf den beiden Clients nur lesend geöffnet obwohl der Nutzer in der passenden Gruppe ist.
- Ein Domänenfremdes Gerät interessiert sich übrigens nicht für den o.a. Befehl. der Stick lässt sich lesen und beschreiben.
manage-bde -status zeigt auf dem "Verschlüsselungs-PC übrigens keine Verschlüsselung auf dem Stick an...
Kommt nach dem o.a. Befehl noch etwas das ich übersehen habe?
Folgender Befehl verhält sich etwas besser, ein Schreibzugriff ist jedoch weiterhin nicht für die Gruppenmitglieder möglich.
manage-bde -on h: -recoverykey d: -recoverypassword -sid "domain\usergruppe"
Hier wird der Stick ja aktiv verschlüsselt und ein Zugriff von einem Domänenfremden Gerät ist auch nur per Eingabe des Schlüssels möglich.
Danke
Habe ich mit diesem Befehl gemacht.
manage-bde -protectors -add h: -recoverykey d: -recoverypassword -sid "domain\usergruppe"
Fazit:
- Der Stick wird auf den beiden Clients nur lesend geöffnet obwohl der Nutzer in der passenden Gruppe ist.
- Ein Domänenfremdes Gerät interessiert sich übrigens nicht für den o.a. Befehl. der Stick lässt sich lesen und beschreiben.
manage-bde -status zeigt auf dem "Verschlüsselungs-PC übrigens keine Verschlüsselung auf dem Stick an...
Kommt nach dem o.a. Befehl noch etwas das ich übersehen habe?
Folgender Befehl verhält sich etwas besser, ein Schreibzugriff ist jedoch weiterhin nicht für die Gruppenmitglieder möglich.
manage-bde -on h: -recoverykey d: -recoverypassword -sid "domain\usergruppe"
Hier wird der Stick ja aktiv verschlüsselt und ein Zugriff von einem Domänenfremden Gerät ist auch nur per Eingabe des Schlüssels möglich.
Danke
Also... meine Anleitung funktioniert auf dem beschriebenen Wege. Ich kann Dir nicht sagen, was bei Dir dazwischenfunktt, aber wenn Du eine Testdomain hast, oder ein Testgerät in deiner Domain, auf das keine GPOs außer der von mir beschriebenen wirken, dann wird es funktionieren.
Bitte teste das. Wenn es weiterhin nicht geht, eröffne eine eigene Frage.
Bitte teste das. Wenn es weiterhin nicht geht, eröffne eine eigene Frage.
Ok.
Danke!
Danke!
Warte kurz, ich sehe gerade, dass Du geschrieben hast "keinen Schreib..andere Organis.. -> aktiv)" - Du hast vermutlich gar keinen Identifier für deine Organisation festgelegt, dann wird das auch nichts. Festlegen: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Hallo nochmal,
ich vermute weiterhin, dass ich etwas grundsätzliches verkehrt mache.
Ggf. erkennst Du ja etwas an der GPO.
1. Ich erstelle die entsprechende GPO mit folgenden Computereinstellungen:
2. Bin ich unsicher, auf welchem Computer ich die Sticks verschlüsseln soll/muss.
Wenn ich die o.a. Befehle auf dem Test-Client ausführe, erhalte ich einen Fehlercode 0x80070057 -> Falscher Parameter
Clients auf denen die GPO nicht wirkt, können beide Befehle ausführen, dann aber mit den o.a. Problemen.
3. Kannst Du mir erklären, zu welchem Zeitpunk der Stick verschlüsselt wird, wenn der Befehl "manage-bde -protectors -add x: -sid Domain\User" verwendet wird? Der Befehl "manage-bde -on... " verschlüsselt den Stick ja aktiv.
Fehlt mir noch etwas?
Danke
ich vermute weiterhin, dass ich etwas grundsätzliches verkehrt mache.
Ggf. erkennst Du ja etwas an der GPO.
1. Ich erstelle die entsprechende GPO mit folgenden Computereinstellungen:
Wenn ich die o.a. Befehle auf dem Test-Client ausführe, erhalte ich einen Fehlercode 0x80070057 -> Falscher Parameter
Clients auf denen die GPO nicht wirkt, können beide Befehle ausführen, dann aber mit den o.a. Problemen.
3. Kannst Du mir erklären, zu welchem Zeitpunk der Stick verschlüsselt wird, wenn der Befehl "manage-bde -protectors -add x: -sid Domain\User" verwendet wird? Der Befehl "manage-bde -on... " verschlüsselt den Stick ja aktiv.
Fehlt mir noch etwas?
Danke
Bin im Urlaub ohne Rechner.
Das -on muss natürlich verwendet werden, sonst wird ja nicht verschlüsselt.
Dass es sich bei dir für die angegebene Gruppe nicht entsperrt kann daran liegen, dass du dich in die Gruppe setzt, aber danach noch nicht neu an Windows angemeldet hast.
Füge zum Test einmal die Domänenbenutzergruppe hinzu. Damit muss es ja für alle sofort gehen. Oder nimm dein Benutzerkonto.
Das -on muss natürlich verwendet werden, sonst wird ja nicht verschlüsselt.
Dass es sich bei dir für die angegebene Gruppe nicht entsperrt kann daran liegen, dass du dich in die Gruppe setzt, aber danach noch nicht neu an Windows angemeldet hast.
Füge zum Test einmal die Domänenbenutzergruppe hinzu. Damit muss es ja für alle sofort gehen. Oder nimm dein Benutzerkonto.
Na herzlichen Glückwunsch!
Hoffentlich spielt das Wetter mit!
Die Testgruppe bzw. die Zugehörigkeit zu selbiger exisitiert schon lange.
Wenn das -on dazugehört.. muss ich dann 2 Befehle eingeben?
Danke
Hoffentlich spielt das Wetter mit!
Die Testgruppe bzw. die Zugehörigkeit zu selbiger exisitiert schon lange.
Wenn das -on dazugehört.. muss ich dann 2 Befehle eingeben?
Danke
Ich hatte schon letztes Mal geschrieben: schreib eine eigene Frage auf. Wissensbeiträge sind keine Diskussionsrunde.
Du kannst das -on machen, wann du willst.
geht auch.
Du bist auf die Identifier für deine Organisation nicht eingegangen bzw. du hast in deinen Screenshots nicht wiedergegeben, was da angewendet wird.
Bitte lass deine Antwort aus diesem Beitrag raus und gedulde dich mit weiteren Fragen bis nächste Woche.
Du kannst das -on machen, wann du willst.
Manage-bde -on x: -used -rp -sid deinedom\deinnutzerDu bist auf die Identifier für deine Organisation nicht eingegangen bzw. du hast in deinen Screenshots nicht wiedergegeben, was da angewendet wird.
Bitte lass deine Antwort aus diesem Beitrag raus und gedulde dich mit weiteren Fragen bis nächste Woche.
Ich habe zwei weitere Screenshots eingefügt, die anzeigen, wie man den unique Identifier schützen kann, der dazu benutzt wird, zu verhindern, dass User zu Hause Sticks verschlüsseln und mit in die Firma bringen, um diese Maßnahmen zu umgehen.
Gepriesen sei das Rauhe Haus,
Ich finde die Verwendung von USB-Sticks zum Datentransfer in Firmen sehr Kritisch. Man kann über Fileserver, Sharepoint, Lync, etc... (halt übers Netzwerk) Daten meist sicherer Übertragen. Bei USB-Sticks ist zudem die Gefahr groß das diese geklaut werden. Sind die Daten verschlüsselt kommt es auch noch auf den Wert der Daten an. Ich meine die NSA Speichert seit Jahren verschlüsselte Daten auf vorrat und wenn Quatencomputer marktreif sind entschlüsselt die NSA ihren Datenschatz einfach.
Und Bitlooker ist mir persönlich seit dem bekantwerden von NSLs und den Microsoft Forenstik Toolkit auch nicht mehr wirklich geheuer.
Ich selbst nutze TrueCrypt (inzwischen Vera Crypt) und habe die "Kern Daten" der Herbrich Corporation auf zwei USB-Sticks verschlüsselt in einem Bankschließfach.
LG, Jenni Hapunkt
Ich finde die Verwendung von USB-Sticks zum Datentransfer in Firmen sehr Kritisch. Man kann über Fileserver, Sharepoint, Lync, etc... (halt übers Netzwerk) Daten meist sicherer Übertragen. Bei USB-Sticks ist zudem die Gefahr groß das diese geklaut werden. Sind die Daten verschlüsselt kommt es auch noch auf den Wert der Daten an. Ich meine die NSA Speichert seit Jahren verschlüsselte Daten auf vorrat und wenn Quatencomputer marktreif sind entschlüsselt die NSA ihren Datenschatz einfach.
Und Bitlooker ist mir persönlich seit dem bekantwerden von NSLs und den Microsoft Forenstik Toolkit auch nicht mehr wirklich geheuer.
Ich selbst nutze TrueCrypt (inzwischen Vera Crypt) und habe die "Kern Daten" der Herbrich Corporation auf zwei USB-Sticks verschlüsselt in einem Bankschließfach.
LG, Jenni Hapunkt
Weiteren Edit eingefügt.
1
