Jump to content

Bitlocker - Server Migration


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

wir haben unsere Server von 2003 auf 2012 migriert.

Bevor ich das Bitlockerfeature einspiele, wollte ich jetzt fragen ob ich hierbei noch irgendetwas beachten muss.

Mir fällt momentan nichts ein und auch bei MS habe ich nicht s gefunden.

Ich wollte dennoch auf Nummer sichergehen, nicht, dass es schiefläuft und die Clients nichtmehr arbeiten können oder ähnliches.

 

Gruß

Link zu diesem Kommentar

...hilft auf jeden Fall gegen Serverklau und Forensics "von außen". ich kann Deine Ablehnung dagegen grad nicht ganz nachvollziehen...

 

Aber nur wenn man z.B. TPM und Pin konfiguriert. Dann wird es aber schwirig als Server, wenn beim reboot immer jemand vor Ort sein muss.

Wenn automatisch entschlüsselt wird hift Bitlocker auch nicht viel.

Link zu diesem Kommentar

Hi Leute,

 

hab das wohl falsch beschrieben.

Ich möchte das Bitlocker Feature auf den beiden neuen DCs installieren und wollte fragen ob hier Probleme bekannt sind.

Oder ob ich einfach das Feature installieren kann und alles funktioniert wie gehabt!

Nicht, dass auf Grund von einem Fehler o.Ä. alle meine Clients gesperrt werden.

 

Gruß

Link zu diesem Kommentar

Moin,

 

Wenn automatisch entschlüsselt wird hift Bitlocker auch nicht viel.

 

na, das ist so ja nicht richtig. Bitlocker "hilft" in jedem Fall nur gegen Offline-Angriffe. Das laufende System muss man separat absichern.

 

Wenn das Betriebssystem selbst ordentlich abgesichert ist, dann ist Bitlocker mit TPM und ohne PIN durchaus ein sinnvoller Schutz - eben gegen Offline-Angriffe. Mein Lieblingsbeispiel ist der Utilman-Angriff, den man (fast) nur so sinnvoll umgehen kann.

 

@Thomas: "Grundsätzlich" sollte es kein Problem geben, wenn Bitlocker richtig konfiguriert ist. Gerade beim AD würde ich aber versuchen, immer mindestens einen nicht verschlüsselten DC in Betrieb zu haben. Der muss dann natürlich ausreichend physisch abgesichert sein.

 

Dass es im laufenden Betrieb Probleme gibt, ist auszuschließen. Es könnte aber natürlich sein, dass der DC nicht hochfährt ...

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar

Moin,

[bitlocker ohne PIN]

 

na, das ist so ja nicht richtig. Bitlocker "hilft" in jedem Fall nur gegen Offline-Angriffe. Das laufende System muss man separat absichern.

 

Aber auch nur, wenn man nur die Disks klaut. Wenn man sowieso Physikalischen Zugang zum Server hat klaut man diesen und bootet das System ohne Probleme.

 

Wie immer muss man wissen gegen was man geschützt sein will und wie groß der Aufwand sein soll.

Mehr Sicherheit durch PIN Schutz vs. evtl. mehr Downtime, wenn kein Admin verfügbar ist.

Link zu diesem Kommentar

Wenn die BIOS-Einstellungen  korrekt gesichert  und alle externen Anschlüsse wie USB und Floppy deaktiviert  sind, hilft  ein TPM ohne PIN auch was.

Denn die BIOS-Einstellungen können nicht geändert werden, ohne dass der TPM-Chip gesperrt wird.


Hi, es geht darum, das Feature nach einer Migration auf dem neuen DC zu installieren, nicht dass es diesen verschlüsselt, sondern dass es von diesem aus verwaltet werden kann!

 

Ich würde auch einem Server  relativ wenig "verwalten" . Hier  sind  passende Client-System  vorzuziehen. Ansonsten lassen die entsp. Management-Tools natürlich installieren. Warum auch nicht?

Link zu diesem Kommentar

Moin,

 

dann geht es um die Ablage der Recovery-Keys im Active Directory. Da dies i.d.R. nur eine Zusatzoption ist (man kann den Key auch noch separat zur Dokumentation ablegen, soweit ich weiß), kommt es vor allem auf die Management-Prozesse im Unternehmen an.

 

Es ist daher nicht zu erwarten, dass das Feature als solches zu Problemen führt.

 

Aber auch nur, wenn man nur die Disks klaut. Wenn man sowieso Physikalischen Zugang zum Server hat klaut man diesen und bootet das System ohne Probleme.

 

 

sicher. Aber dann muss man eben noch ins Betriebssystem einbrechen. Das könnte man in dem Szenario ja auch gleich direkt tun.

 

Bitlocker mit PIN deckt noch ein zusätzliches Szenario ab, unbestritten. Dadurch wird Bitlocker ohne PIN aber nicht automatisch nutzlos. Kommt halt aufs Konzept an, wie immer in der IT-Security.

 

Dem TO ging es ja aber dann doch um was anderes.

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar

Hallo,

bei der Ablage der Recovery Keys musst du aber aufpassen das andere Benutzer diese nicht auslesen können. Da muss, soweit ich mich erinnere, noch etwas an der Berechtigungsstruktur angepasst werden.

Ganz wichtig auch die GPOs ansehen und richtig konfigurieren. Manche Optionen schließen andere aus. Zudem unbedingt den Recovery Prozess dokumentieren und viel testen. Zur Sicherheit immer einen Wiederherstellungsagent in der Hinterhand haben.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...