CyberTim 0 Geschrieben 9. Juni 2017 Melden Teilen Geschrieben 9. Juni 2017 (bearbeitet) Hallo zusammen, wir bereiten bei uns gerade die Einführung von Win10 vor. In dem Zusammenhang steht auch BitLocker im Raum. Mein Ansatz ist der: Wir verschlüsseln mit Bitlocker und stützen uns dabei auf TPM. Um die ganzen Wiederhestellungsinfos nicht gesondert verwalten zu müssen, speichern wir diese im AD. Anleitungen gibt es dazu genüge. Die Bitlocker-Infos landen auch im AD und sind auslesbar. Die TPM Owner Infos kommen aber nicht im AD an. Nach etwas Recherche habe ich nun schon herausgefunden, dass MS hier etwas mit Win10 1607 geändert hat, so dass das beobachtete Verhalten normal ist. Ich bin mir jetzt nur nicht ganz sicher, ob ich es richtig verstanden habe. Nach meinem Verständnis, brauche ich (zumindest für die Fälle, die mir einfallen) diese Infos auch gar nicht. Bitlocker verschlüsselt die Platte. Beim Systemstart gibt TPM den Schlüssel frei, so dass auf die Platte zugegriffen werden kann. 1. Wenn das Gerät gestohlen wird (und es aus ist), kann der Dieb nichts damit anfangen: An Windows kann er sich ohne Passwort nicht anmelden und das Passwort eines lokalen Users kann er nicht auf den üblichen Wegen knacken. Der Schutz ist also gegeben. 2. Wenn das Gerät kaputt geht und ich die Platte in ein anderes Gerät einbauen muss, reichen mir die BitLocker-Infos, die ins AD geschrieben wurden, um auf die Platte zugreifen zu können. Der Notfall wäre also abgedeckt. 3. Wenn der TPM-Chip kaputt gehen sollte, siehe 2. Wo fehlen mir also die TPM Owner Infos? In welchen Fällen, könnte ich sie konkret brauchen? Gruß Tim bearbeitet 9. Juni 2017 von CyberTim Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 9. Juni 2017 Melden Teilen Geschrieben 9. Juni 2017 Auch wenns bequem ist, aber ein gebootetes windows bietet immer noch genügend potentielle Schwachstellen. Ein Grund, warum mobile Geräte bei uns tpm und Pin nutzen müssen. Ansonsten hast du alles richtig zusammengefasst. Bye Norbert Zitieren Link zu diesem Kommentar
CyberTim 0 Geschrieben 9. Juni 2017 Autor Melden Teilen Geschrieben 9. Juni 2017 D.h. die Owner Infos sind praktisch unrelevant. Und klar, wenn es gebootet ist, ist es nicht anders wie ein unverschlüsseltes System. Die Frage ist halt immer die, gegen wen/was man sich schützen und welchen Aufwand man treiben möchte. Sehr interessant in diesem Zusammenhang ist die Präsentation von Sami Laiho: https://channel9.msdn.com/Events/TechEd/NorthAmerica/2014/WIN-B314 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.