derwowusste
Goto Top

USB-Stick-Verschlüsselung im Unternehmen - leicht gemacht

Mir ist vor kurzem aufgefallen, dass Bitlocker in Win8/Server 2012- (oder höher) Umgebungen ein sehr praktisches Feature hat, das evtl. nur wenige kennen, und zwar das Binden eines Gerätes an einen AD-Nutzer oder eine Gruppe von Nutzern.

Stellt Euch vor, ihr müsst Folgendes umsetzen:

1 USB Sticks sollen innerhalb des Unternehmens zum Datentransfer verwendbar sein
2 es soll unternehmensweit nur dann auf Sticks geschrieben werden dürfen, wenn der Stick verschlüsselt ist
3 die Nutzer sollen keine Kennwörter eingeben müssen, egal auf welchem Unternehmensrechner sie den Stick anschließen
4 Die selben USB Sticks sollen außerhalb des Unternehmens generell nicht lesbar sein (bei Bedarf könnte man jedoch erlauben, einen Kennwortprotector festzulegen, um dies zu ermöglichen)

All das kann man tatsächlich kinderleicht mit Bitlocker2Go umsetzen.
->Man setzt zunächst diese GPO, welche Schreibzugriff auf unverschlüsselte Sticks unterbindet
->dann bereitet man für jeden Benutzer oder jede Gruppe von Nutzern einen Stick mit SID-Protector vor:
Manage-bde -on x: -used -rp -sid deinedom\deinnutzer
Das war's. Der SID-Protector bewirkt, dass der Nutzer den Stick einfach nur ansteckt, er wird dann mit seiner eigenen SID automatisch entsperrt - nette Sache. Er kann ihn an einem Privatrechner nicht verwenden, denn dort kann sich der Domänennutzer nicht anmelden. Und auf andere, selbst mitgebrachte Sticks, kann er nichts schreiben, bevor sie nicht verschlüsselt wurden - und auch nur dann, wenn Ihr selbst sie verschlüsselt habt. Der Nutzer kann nicht von zu Hause mit eigens verschlüsselten Sticks anrücken, das kann die genannte Policy nämlich ebenfalls verhindern! Zu diesem Zweck muss man den unique Identifier benutzen: https://technet.microsoft.com/en-us/library/ee424309(v=ws.10).aspx ->um diesen Identifier für Nichtadmins unlesbar zu machen, muss danach noch die Policy für nicht-Admins unlesbar gemacht werden, und zwar sowohl in der Registry
1

als auch in Sysvol (wo wir authenticated users aus der ACL nehmen und dafür Domain Computers hinzufügen mit Lese- und Applyrecht:
2



Finde ich bemerkenswert einfach. Man benötigt jedoch zusätzlich zu Win8/10 tatsächlich einen DC mit Server 2012 oder höher.
--
Wichtiger Edit1: Außerdem Control use of BitLocker on removable drives unbedingt aktivieren und darin beide Checkboxen deselektieren, sonst können Nutzer an den Recoverykey gelangen.

Edit 2: Damit normale Nutzer über das Bitlocker Kontextmenü ("Bitlocker verwalten") nicht den Recoverykey erlangen können, muss man desweiteren auf Nutzerrechnern für Wechseldatenträger schon gar keinen Recoverykey/nurmerisches Recoverypasswort zulassen. Also bei der Verschlüsselung selbst ein externes Keyfile als Notfallschlüssel generieren (auf dem Admin-PC) und auf den Nutzer-PCs Recoverykeys und externe Keys per GPO verbieten.
Speichern von BitLocker-Wiederherstellungsinformationen durch Benutzer konfigurieren:
48-stelliges Wiederherstellungskennwort nicht zulassen
256-Bit-Wiederherstellungsschlüssel nicht zulassen

Content-Key: 294996

Url: https://administrator.de/contentid/294996

Ausgedruckt am: 28.03.2024 um 09:03 Uhr

Mitglied: dng-alt
dng-alt 08.02.2016 um 09:35:19 Uhr
Goto Top
Hallo DerWoWusste,

Klasse Beitrag...so einfach kann es sein! face-smile
Wir haben zwar eine USB-Sperre über TrendMicro WFBS unternehmensweit ausgerollt, aber trotzdem sollen gelegentlich USB-Sticks verwendet werden.
Damit können wir Unternehmens-USB-Sticks einführen!

Super...vielen Dank!

Guten Wochenstart...
dng-alt
Mitglied: doubleLayer
doubleLayer 25.02.2016 aktualisiert um 17:59:54 Uhr
Goto Top
sehe ich das richtig, dass eure User den Stick dann auch nur innerhalb des Unternehmens nutzen können? Falls ja, erschließt sich mir der Sinn eines usb sticks irgendwie nicht.

Einzig und alleine die Tatsache das man keine anderen usb sticks verwenden kann leuchtet mir ein. face-wink
Mitglied: DerWoWusste
DerWoWusste 25.02.2016 um 21:39:32 Uhr
Goto Top
Sie können ihn nur an Unternehmensrechnern nutzen, richtig. Anwendungsfälle gibt es dennoch genug, als Backup auf Dienstreisen zum Beispiel. Oder um gewisse Daten auch ohne Netzwerk im Unternehmen austauschen zu können, beispielsweise gigabyteweise Messdaten, die nicht das Netzwerk zu machen sollen. Und Ausnahmen kann man bei Bedarf regeln, der Admin kann ein zusätzlich gesetztes Kennwort rausgeben, das funktioniert überall.
Mitglied: Daniel.Fuhrmann
Daniel.Fuhrmann 18.11.2016 um 16:36:04 Uhr
Goto Top
Hallo zusammen,

ich wollte das auch mal hier in unserer Umgebung testen.

Jedoch erhalten ich einen Syntax Fehler wenn ich -sid eingebe. Gibt es den Befehl so nicht mehr?

Testsystem ist ein Windows 10 (1607) und DC´s sind 2012r2

Kennt jemand auch das Problem?

Mfg

Daniel
Mitglied: DerWoWusste
DerWoWusste 18.11.2016 um 16:55:42 Uhr
Goto Top
Und, wie lautet der Syntaxfehler?
Die DCs sind 2012, aber ist auch deren Domänen-Funktionslevel bei 2012?
Mitglied: Daniel.Fuhrmann
Daniel.Fuhrmann 18.11.2016 um 21:41:57 Uhr
Goto Top
Also die AD Schemaversion ist Server 2012R2 (Version 69).

Als Syntayfehler bekomme ich Error Code: 0x8004100e

Wo gebe ich den Befehl ein?
Geht Powershell oder CMD, auf dem Server oder einem Client (Windows 10). Wenn bei Clients geht da jeder?

Vielen Dank schon mal für die Anworten
Mitglied: DerWoWusste
DerWoWusste 19.11.2016 um 08:59:14 Uhr
Goto Top
Das ist ein Batchkommando, Kommandozeile natürlich elevated starten. Als Client hatte ich Win10 1511 genutzt. Ich werde es am Wochenende noch mal mit einer VHDX-Platte in yper-V unter 1607 und Server 2016 als DC versuchen.
Mitglied: DerWoWusste
DerWoWusste 21.11.2016 um 08:53:41 Uhr
Goto Top
Hello again.

Ich bin noch nicht dazu gekommen, aber heute Abend, denke ich.
Frage vorab: war der Stick denn schon verschlüsselt? Bevor der SID-Protector hinzugefügt wird, muss er schon verschlüsselt worden sein.
Mitglied: Daniel.Fuhrmann
Daniel.Fuhrmann 21.11.2016 um 09:37:43 Uhr
Goto Top
Hallo,

hatte beim ersten mal das Laufwerk nicht verschlüsselt.
Aber auch mit Verschlüsseltem Stick geht es nicht. Bin als Domänadmin am W10 Rechner angemeldet mit einem verschlüsselten Bitlocker Stick.
Dann habe ich eine CMD mit dem Befehl eingegeben und als Fehlermeldung bekomme ich: Fehler: 0x80090034
Mitglied: DerWoWusste
DerWoWusste 21.11.2016 um 10:03:18 Uhr
Goto Top
Das deutet auf ein DC-seitiges Problem hin, siehe https://social.technet.microsoft.com/Forums/office/en-US/82a84793-7f3d-4 ...
Dort war der DC upgegradet worden und mit einem neuinstallierten DC ging es.
Mitglied: DerWoWusste
DerWoWusste 21.11.2016 um 19:45:37 Uhr
Goto Top
So, ich habe es ausprobiert.

Mein Test-DC hier hat Server 2016 TP5 - und es geht nicht auf Win10 1607, selber Fehler. Auf 1511 geht es noch.
Ich werde mir das anschauen müssen - hatte eh vor, meine Testdomäne mit 2016 neu aufzuziehen.
Mitglied: Daniel.Fuhrmann
Daniel.Fuhrmann 21.11.2016 um 20:14:18 Uhr
Goto Top
Hi, wollte dir jetzt nicht so viel arbeit machen. Dank dir schon mal für die Unterstützung.
Mitglied: Herbrich19
Herbrich19 21.11.2016 um 20:22:13 Uhr
Goto Top
Ich verweise mal Freundlich auf die Videos der Sys GmbH die diese Crypto Sticks gehackt haben. Wo bei ich mir nicht sicher bin ob es Tatsächlich so ist aber auf jeden Fall wirkt die Sys GmbH Seriös.

Gruß an die IT-Welt,
J Herbrich
Mitglied: DerWoWusste
DerWoWusste 21.11.2016 um 21:18:03 Uhr
Goto Top
Und wo ist jetzt der Zusammenhang von "diesen Cryptosticks" zu Bitlocker?
Mitglied: Herbrich19
Herbrich19 21.11.2016 um 21:38:45 Uhr
Goto Top
Ahso, ja Bitlooker ist an sich kein Problem. Ich habe mit Crypto Sticks diese FIPS Zertifizierten dinger assoziiert.

Gruß an die IT-Welt,
J Herbrich
Mitglied: DerWoWusste
DerWoWusste 21.11.2016 um 22:20:40 Uhr
Goto Top
Hi, wollte dir jetzt nicht so viel arbeit machen. Dank dir schon mal für die Unterstützung.
Keine Ursache, ich hatte den Artikel geschrieben, als ich es für unsere Domäne vorbereitet hatte (in einer Testdomäne). Die Umsetzung war damals mangels 2012er DC noch nicht erfolgt, also muss ich da zwangsläufig nochmal bei demnächst, denn es steht nun an.
Mitglied: DerWoWusste
DerWoWusste 12.04.2017 um 15:20:06 Uhr
Goto Top
Daniel, ich habe es nun hier eingeführt und es läuft wunderbar nach Plan. Es funktioniert mit 1607 und dem neuen 1703 von win10. DC ist hier ein 2016er. Funktionslevel ebenso 2016.
Mitglied: hukahu23489
hukahu23489 05.12.2017 um 10:13:37 Uhr
Goto Top
Guten Tag,

vielen Dank für den Klasse Beitrag. Ich habe es heute in der DC 2012 Umgebung umgesetzt und es funktioniert gut aber mit "Einschränkungen". Sobald ich einen Usb Stick mit Bitlocker verschlüssele und einen SID Protector setze, den usb stick aber an einem anderen Rechner einsetze und sich dabei der Laufwerkbuchstabe ändert, wird der AD User bzw. die Ad Gruppe nicht mehr erkannt und ich muss mich mit das vorher erstellte Password authentifizieren.
Mitglied: DerWoWusste
DerWoWusste 05.12.2017 um 10:36:23 Uhr
Goto Top
Danke für das Feedback. Gib bitte das Betriebssystem an - im Fall von Win10 auch den Build (Ausgabe von winver).
Mitglied: hukahu23489
hukahu23489 05.12.2017 aktualisiert um 11:02:42 Uhr
Goto Top
Das Betriebssystem, mit dem ich verschlüsselt habe: Win10 1703 (Build 15063.608)

Testrechner: Win10 1703 (Build 15063.608), Win 7 Professional

Danke.
Mitglied: DerWoWusste
DerWoWusste 05.12.2017 um 11:24:00 Uhr
Goto Top
Win 7 Professional
Ja, äh, wie ich ja deutlich oben schrieb: "Man benötigt ...Win8/10" - Windows 7 kennt keine SID-Protectors und fällt zurück auf das Kennwort - ganz normal.
Mitglied: hukahu23489
hukahu23489 05.12.2017 um 11:32:12 Uhr
Goto Top
okay gut, hatte ich übersehen. Aber bei dem Win 10 Rechner ! Die Frage ist: Wie kann ich mein Wechselmedium mitteilen, dass im Falle sich der Laufwerkbuchstabe ändert, der SID Protector trotzdem gültig bleibt. Danke im Voraus.
Mitglied: DerWoWusste
DerWoWusste 05.12.2017 um 11:39:27 Uhr
Goto Top
Das hat mit Laufwerksbuchstaben nichts zu tun und ich kann das Problem hier auch nicht reproduzieren.
Mitglied: hukahu23489
hukahu23489 05.12.2017 um 16:00:25 Uhr
Goto Top
OK, dann werde ich mal schauen, woran es liegen könnte. Trotzdem vielen Dank.
Mitglied: DerWoWusste
DerWoWusste 13.07.2018 um 20:45:53 Uhr
Goto Top
Habe Edit1 hinzugefügt
Mitglied: Knorkator
Knorkator 09.07.2020 um 08:25:18 Uhr
Goto Top
Hallo DerWoWusste,

danke für den interessanten Beitrag.

Irgendwie klappt das bei mir nicht.
Die GPO wirkt derzeit nur auf ein Testgerät.
Ein USB-Stick wurde mit o.a. manage-bde Befehl konfiguriert und mit -sid domain\benutzergruppe versehen.
Bei Nutzern, die nicht in der Gruppe sind, wird der Stick nicht gemountet.
Bei Nutzern der o.a. Gruppe wird der Stick gemountet, aber nur im Lesezugriff.

Vielleicht habe ich ja eine GPO Einstellung übersehen.
computer\admini...\windows-komponenten\Bitlocker-Lauf...:
- Verwendung von Bitlocker auf Wechseldatenträgern steuern: Aktiviert (beide Haken deaktiviert)
- Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch Bitlocker geschützt sind: aktiviert (keinen Schreib..andere Organis.. -> aktiv)

Mehr für diesen Test relevante Einstellungen habe ich jetzt nicht gesehen.

Hast Du eine Idee dazu?

Server: 2012R2
Client: W10 1909

Vielen Dank!
Mitglied: DerWoWusste
DerWoWusste 09.07.2020 um 09:12:47 Uhr
Goto Top
Moin.

Kann es sein, dass Du zusätzlich eine GPO aktiv hast, die generell auf Wechseldatenträgern den Schreibzugriff verbietet?
Ich spreche von dieser: https://www.der-windows-papst.de/2016/06/25/wechseldatentraeger-schreibz ...
Mitglied: Knorkator
Knorkator 09.07.2020 aktualisiert um 09:32:26 Uhr
Goto Top
Moin,

nope.. leider nicht.
Deaktiviere ich die GPO für dieses Gerät (hab es auf 2 erweitert), kann ich..
- Mit dem Nutzer aus der -sid Gruppe auf dem Stick schreiben
- mit einem Nutzer, der nicht in der Gruppe ist, nichts mit dem Stick anfangen.

Gibt es bei dem manage-bde Befehl noch etwas zu beachten?

Danke!

Zur Info:
PS C:\> manage-bde -status h:                                                                                                                                                                                                                                                  BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.18362
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.

Volume "H:" [SSS_X64FREV]  
[Datenvolume]

    Größe:                        7,37 GB
    BitLocker-Version:            2.0
    Konvertierungsstatus:         Vollständig verschlüsselt
    Verschlüsselt (Prozent):      100,0 %
    Verschlüsselungsmethode:      XTS-AES 128
    Schutzstatus:                 Der Schutz ist aktiviert.
    Sperrungsstatus:              Entsperrt
    ID-Feld:                      Unbekannt
    Automatische Entsperrung:     Deaktiviert
    Schlüsselschutzvorrichtungen:
        Identität (SID-basiert)
Mitglied: DerWoWusste
DerWoWusste 09.07.2020 um 09:39:10 Uhr
Goto Top
Nee, da ist nichts zu beachten.
Der einzige Unterschied zu dem, wie wir es derzeit in der Firma verwenden (Win10 1909), ist, dass Du keinen Recoverykey erstellt hast. Teste mal mit hinzugefügtem Recoverykey.
Mitglied: Knorkator
Knorkator 09.07.2020 um 10:51:51 Uhr
Goto Top
Ok,

Habe ich mit diesem Befehl gemacht.
manage-bde -protectors -add h: -recoverykey d: -recoverypassword -sid "domain\usergruppe"

Fazit:
- Der Stick wird auf den beiden Clients nur lesend geöffnet obwohl der Nutzer in der passenden Gruppe ist.
- Ein Domänenfremdes Gerät interessiert sich übrigens nicht für den o.a. Befehl. der Stick lässt sich lesen und beschreiben.
manage-bde -status zeigt auf dem "Verschlüsselungs-PC übrigens keine Verschlüsselung auf dem Stick an...
Kommt nach dem o.a. Befehl noch etwas das ich übersehen habe?

Folgender Befehl verhält sich etwas besser, ein Schreibzugriff ist jedoch weiterhin nicht für die Gruppenmitglieder möglich.
manage-bde -on h: -recoverykey d: -recoverypassword -sid "domain\usergruppe"
Hier wird der Stick ja aktiv verschlüsselt und ein Zugriff von einem Domänenfremden Gerät ist auch nur per Eingabe des Schlüssels möglich.

Danke
Mitglied: DerWoWusste
DerWoWusste 09.07.2020 um 10:54:54 Uhr
Goto Top
Also... meine Anleitung funktioniert auf dem beschriebenen Wege. Ich kann Dir nicht sagen, was bei Dir dazwischenfunktt, aber wenn Du eine Testdomain hast, oder ein Testgerät in deiner Domain, auf das keine GPOs außer der von mir beschriebenen wirken, dann wird es funktionieren.

Bitte teste das. Wenn es weiterhin nicht geht, eröffne eine eigene Frage.
Mitglied: Knorkator
Knorkator 09.07.2020 um 11:03:14 Uhr
Goto Top
Ok.

Danke!
Mitglied: DerWoWusste
DerWoWusste 09.07.2020 aktualisiert um 11:08:45 Uhr
Goto Top
Warte kurz, ich sehe gerade, dass Du geschrieben hast "keinen Schreib..andere Organis.. -> aktiv)" - Du hast vermutlich gar keinen Identifier für deine Organisation festgelegt, dann wird das auch nichts. Festlegen: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Mitglied: Knorkator
Knorkator 14.07.2020 aktualisiert um 09:58:19 Uhr
Goto Top
Hallo nochmal,

ich vermute weiterhin, dass ich etwas grundsätzliches verkehrt mache.
Ggf. erkennst Du ja etwas an der GPO.

1. Ich erstelle die entsprechende GPO mit folgenden Computereinstellungen:
gpo
2. Bin ich unsicher, auf welchem Computer ich die Sticks verschlüsseln soll/muss.
Wenn ich die o.a. Befehle auf dem Test-Client ausführe, erhalte ich einen Fehlercode 0x80070057 -> Falscher Parameter
Clients auf denen die GPO nicht wirkt, können beide Befehle ausführen, dann aber mit den o.a. Problemen.

3. Kannst Du mir erklären, zu welchem Zeitpunk der Stick verschlüsselt wird, wenn der Befehl "manage-bde -protectors -add x: -sid Domain\User" verwendet wird? Der Befehl "manage-bde -on... " verschlüsselt den Stick ja aktiv.
Fehlt mir noch etwas?

Danke
Mitglied: DerWoWusste
DerWoWusste 14.07.2020 um 11:44:47 Uhr
Goto Top
Bin im Urlaub ohne Rechner.
Das -on muss natürlich verwendet werden, sonst wird ja nicht verschlüsselt.

Dass es sich bei dir für die angegebene Gruppe nicht entsperrt kann daran liegen, dass du dich in die Gruppe setzt, aber danach noch nicht neu an Windows angemeldet hast.
Füge zum Test einmal die Domänenbenutzergruppe hinzu. Damit muss es ja für alle sofort gehen. Oder nimm dein Benutzerkonto.
Mitglied: Knorkator
Knorkator 14.07.2020 um 12:00:38 Uhr
Goto Top
Na herzlichen Glückwunsch!
Hoffentlich spielt das Wetter mit!

Die Testgruppe bzw. die Zugehörigkeit zu selbiger exisitiert schon lange.

Wenn das -on dazugehört.. muss ich dann 2 Befehle eingeben?

Danke
Mitglied: DerWoWusste
DerWoWusste 14.07.2020 um 12:11:28 Uhr
Goto Top
Ich hatte schon letztes Mal geschrieben: schreib eine eigene Frage auf. Wissensbeiträge sind keine Diskussionsrunde.

Du kannst das -on machen, wann du willst.
Manage-bde -on x: -used -rp -sid deinedom\deinnutzer
geht auch.

Du bist auf die Identifier für deine Organisation nicht eingegangen bzw. du hast in deinen Screenshots nicht wiedergegeben, was da angewendet wird.

Bitte lass deine Antwort aus diesem Beitrag raus und gedulde dich mit weiteren Fragen bis nächste Woche.
Mitglied: Knorkator
Knorkator 14.07.2020 aktualisiert um 12:14:58 Uhr
Goto Top
Zitat von @DerWoWusste:
Wissensbeiträge sind keine Diskussionsrunde.

Ok, hab ich übersehen.

Danke!
Mitglied: DerWoWusste
DerWoWusste 27.12.2020, aktualisiert am 29.12.2020 um 13:05:55 Uhr
Goto Top
Ich habe zwei weitere Screenshots eingefügt, die anzeigen, wie man den unique Identifier schützen kann, der dazu benutzt wird, zu verhindern, dass User zu Hause Sticks verschlüsseln und mit in die Firma bringen, um diese Maßnahmen zu umgehen.
Mitglied: Herbrich19
Herbrich19 29.12.2020 um 12:54:45 Uhr
Goto Top
Gepriesen sei das Rauhe Haus,

Ich finde die Verwendung von USB-Sticks zum Datentransfer in Firmen sehr Kritisch. Man kann über Fileserver, Sharepoint, Lync, etc... (halt übers Netzwerk) Daten meist sicherer Übertragen. Bei USB-Sticks ist zudem die Gefahr groß das diese geklaut werden. Sind die Daten verschlüsselt kommt es auch noch auf den Wert der Daten an. Ich meine die NSA Speichert seit Jahren verschlüsselte Daten auf vorrat und wenn Quatencomputer marktreif sind entschlüsselt die NSA ihren Datenschatz einfach.

Und Bitlooker ist mir persönlich seit dem bekantwerden von NSLs und den Microsoft Forenstik Toolkit auch nicht mehr wirklich geheuer.

Ich selbst nutze TrueCrypt (inzwischen Vera Crypt) und habe die "Kern Daten" der Herbrich Corporation auf zwei USB-Sticks verschlüsselt in einem Bankschließfach.

LG, Jenni Hapunkt
Mitglied: DerWoWusste
DerWoWusste 20.05.2022 um 10:38:03 Uhr
Goto Top
Weiteren Edit eingefügt.