Gast Geschrieben 6. Oktober 2010 Melden Teilen Geschrieben 6. Oktober 2010 Hallo zusammen, wir planen bei uns Bitlocker einzusetzen. Dies ist AD integriert. Nun möchte wir verhindern das ein lokaler Laptop Administrator Bitlocker anhalten oder deinstallieren kann. Über die Policy haben wir das Ausführen des manage-bde Tools gesperrt. Nun suche ich eine Möglich, wie ich die Funktion in der Systemsteuerung (Bitlocker-Laufwerksverschlüsselung -> Schutz anhalten) abgeschalten werden kann. Das Ausblenden des Symbol aus der Systemsteuerung reicht nicht aus. Habt Ihr andere Ideen. Viele Grüße Thomas Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 6. Oktober 2010 Melden Teilen Geschrieben 6. Oktober 2010 Nimm den Leuten die Adminrechte. Zitieren Link zu diesem Kommentar
DiDDY24 10 Geschrieben 6. Oktober 2010 Melden Teilen Geschrieben 6. Oktober 2010 Welches Server OS benutzt du ? Server 2008 oder 2008 R2 ? Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 6. Oktober 2010 Melden Teilen Geschrieben 6. Oktober 2010 @Diddy24, was hat das mit dem Fakt zu tun, dass die User lokale Adminrechte haben ? Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 7. Oktober 2010 Melden Teilen Geschrieben 7. Oktober 2010 Du könntest versuchen den BitLocker Dienst per GPO auf Starttyp "Automatisch" zu setzen. Nimm den Leuten die Adminrechte. Das ist die sinnvollste Variante! Falls das aus politischen Gründen nicht möglich ist, braucht Deine Firma Nutzungsrichtlinien die im Zweifelsfall auch arbeitsrechtliche Konsequenzen nach sich ziehen. Nicht jedes menschliche Problem lässt sich durch Technik lösen. Zitieren Link zu diesem Kommentar
Gast Geschrieben 7. Oktober 2010 Melden Teilen Geschrieben 7. Oktober 2010 Wir setzen bei uns Windows 7 ein. Unsere DCs haben Win2k8 R2. Adminrechte können dem normalen User nicht weggenommen werden, da viele Mitarbeiter durch Entwicklungstätigkeiten Veränderungen am System vornehmen. Den Bitlocker-Dienst werde ich gleich mal Testen. Vielen Dank für den Tipp Viele Grüße Thomas Zitieren Link zu diesem Kommentar
Gast Geschrieben 7. Oktober 2010 Melden Teilen Geschrieben 7. Oktober 2010 Leider hat reicht das Sperren des Dienstes "Bitlocker" nicht aus. Der lokale Admin kann weiterhin über die Systemsteuerung Bitlocker anhalten, aber nicht wieder starten. Das Anhalten müsste aber auch gesperrt werden. Gibts noch andere Ideen. Viele Grüße Thomas Zitieren Link zu diesem Kommentar
Gulp 260 Geschrieben 7. Oktober 2010 Melden Teilen Geschrieben 7. Oktober 2010 Nicht mit einem Account mit lokalen Administratorrechten. Auch wenn Dienste etc gesperrt werden, kann der lokale Admin dies alles wieder gangbar machen. Was Du da vorhast funktioniert nur, wenn die User keine lokalen Adminrechte haben. Grüsse Gulp Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 7. Oktober 2010 Melden Teilen Geschrieben 7. Oktober 2010 Du könntest versuchen den BitLocker Dienst per GPO auf Starttyp "Automatisch" zu setzen. Wenn der Benutzer Admin ist, dann deaktiviert er ihn einfach. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 7. Oktober 2010 Melden Teilen Geschrieben 7. Oktober 2010 Wir hatten hier ähnlich Probleme mit Entwicklern. Obwohl man ihnen sagt, was sie mit dem NB alles nicht dürfen... Jetzt gibt es zur Strafe von uns vorkonfigurierte NB's inkl. der Entwicklungsumgebung. Und man darf dann keine andere Software mehr ausführen ;) Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 7. Oktober 2010 Melden Teilen Geschrieben 7. Oktober 2010 Was für Entwicklungstätigkeiten und Systemumkonfigurierungen sind das denn? Evtl. kann man das anpassen, dass dies ohne Admin Rechte läuft. Zitieren Link zu diesem Kommentar
Gast Geschrieben 7. Oktober 2010 Melden Teilen Geschrieben 7. Oktober 2010 Vielen Dank für den Tipps, der werde ich wohl diese Dinge so an unsere Sicherheitsabteilung weitergeben. @Gulp, sunny61 Die Dienste werden per GPO so eingestellt, das Änderungen an System-Diensten nur von DomainAdmins ausgeführt werden dürfen. Selbst lokale Administratoren dürfen am Laptop diesen Dienst nicht stoppen oder starten. Viele Grüße & Dank Thomas Zitieren Link zu diesem Kommentar
fumanschu 10 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 Hallo Kollegen, ich hab einen Weg gefunden, den Usern in unserer Firma trotz lokalen Adminrechten die Konfiguration/Deaktivierung von Bitlocker zu unterbinden. Das Systemsteuerungsapplet Bitlocker wird von fvecpl.dll (liegt in System32) gesteuert, um den Aufruf zu unterbinden muss man lediglich dem betroffenen User die Berechtigung Vollzugriff verweigern verpassen, genau so wie der manage-bde.exe. Ich hab im AD eine Gruppe erstellt in der alle unsere User Mitglied sind, und diese Gruppe hat auf den beiden Files fvecpl.dll und manage-bde.exe Vollzugriff verbieten Berechtigungen. Vorher muss man den Besitz der beiden Dateien übernehmen, der Standardbesitzer ist die Gruppe TrustedInstaller. Um die User daran zu hindern, den Besitz zu übernehmen und die Berechtigungen wieder zu ändern habe ich die GPO Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > lokale Richtlinien > Übernehmen des Besitzes von Dateien und Objekten aktiviert, sodass nur der Domainadmin das Recht hat, den Besitz zu übernehmen - voila, that's it, wenn der User jetzt auf Bitlocker in der Systemsteuerung klickt passiert gar nichts, wenn er die Berechtigungen ändern oder manage-bde.exe über die Command Line aufrufen möchte bekommt er "Zugriff verweigert", somit hat er keine Möglichkeit mehr Bitlocker anzuhalten Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 Wie schon geschrieben, kann ein User mit Adminrechten alle diese Änderungen wieder rückgängig machen. Auch wenn Du noch ein paar Tricks findest. Das ist wie mit den Windmühlen... -Zahni Zitieren Link zu diesem Kommentar
fumanschu 10 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 Hallo Zahni, vielen Dank für dein Feedback, aber das kann er nicht rückgängig machen. Die NTFS Berechtigungen sieht er gar nicht weil er die Meldung erhält "Sie sind nicht berechtigt, die Berechtigungseinstellungen des Objekts anzuzeigen oder zu bearbeiten" - wenn er den Besitz des Objektes übernehmen möchte um sich das Recht zu verschaffen, die Sicherheitseinstellungen zu ändern, bekommt er die Meldung "Zugriff verweigert", weil ihm das Recht dazu per Domainrichtlinie entzogen wurde, er kann also in der lokalen Sicherheitsrichtlinie auf seinem Notebook keine Einstellungen ändern, somit hat er keine Chance das zu umgehen, er bräuchte das Domainadmin Passwort um sich anzumelden und den Besitz zu übernehmen. Hier noch kurz die genaue Vorgehensweise: 1) User zum lokalen Admin machen und eine Domaingruppe erstellen wo er Mitglied ist 2) den Dateien C:\windows\system32\fvecpl.dll und C:\Windows\system32\manage-bde.exe die Gruppe zuweisen und auf Vollzugriff verweigern setzen 3) eine Domainpolicy erstellen und die Einstellung Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > lokale Richtlinien > Übernehmen des Besitzes von Dateien und Objekten setzen dass nur der Domainadmin das Recht besitzt, damit kann er es in der lokalen Sicherheitsrichtlinie auf seinem Notebook nicht ändern, er hat also auf beiden Files kein Recht sie auszuführen und auch kein Recht, sich die Rechte zu beschaffen, also wie soll er das umgehen können? Ich habe das jetzt gut 6 Stunden getestet als User und versucht, mir die Rechte zurückzuholen, und ich bin kläglich gescheitert, also wenn ich das als Netzwerkadmin in einem großen Rechenzentrum nicht schaffe werden es unsere Entwickler auch nicht schaffen. Mit besten Grüßen Christian Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.