lindi200000 12 Geschrieben 20. Februar 2018 Melden Teilen Geschrieben 20. Februar 2018 (bearbeitet) Hallo, ich bin auf der Suche wie ich in unserer Firma am effektivsten die Notebooks verschlüsseln kann. Notebooks haben alle Win 10 Prof. Voraussetzung sind eigentlich "nur": eine zentrale Verwaltungsmöglichkeit dem User ein Notfall Passwort geben, auch wenn er nicht im Netzwerk aktuell ist Jederzeit die Möglichkeit zu haben über einen "höheren" Account (Admin), die Verschlüsselung rückgängig machen zu können Das einfachste wäre ja Bitlocker, aber mir fehlt es da irgendwie an Software für die zentrale Verwaltung. Microsoft bietet MBAM an, aber wenn ich danach Google, bekomme ich Beiträge mit Downloads von 2014 mit Version 2.5 . Ist das noch aktuell? Hat vielleicht wer eine Empfehlung für eine bestimmte Software? Alternativ gibt es ja auch komplett 3. Anbieter für Verschlüsselung. Kaspersky z.b. bietet es in seinem großen Packet mit an. Da gibt es aber noch viel mehr. Habt ihr Erfahrung in die Richtung? Empfehlungen? Kurz zu unserer Infrastruktur. Windows Domain, 50 Notebooks, manche Notebooks sind nur einmal alle halbe Jahre in der Firma. Ich hoffe ihr könnt mir paar Tipps geben. Gruß Lindi bearbeitet 20. Februar 2018 von lindi200000 Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 20. Februar 2018 Melden Teilen Geschrieben 20. Februar 2018 Hi, vor 3 Minuten schrieb lindi200000: Das einfachste wäre ja Bitlocker, aber mir fehlt es da irgendwie an Software für die zentrale Verwaltung. Active Directory / GPO? Gruß Jan Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 20. Februar 2018 Melden Teilen Geschrieben 20. Februar 2018 Naja nur Reporting und "Erzwingen" ist halt nicht immer ganz so schön, wie man es gern hätte. ;) Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 20. Februar 2018 Melden Teilen Geschrieben 20. Februar 2018 Bitlocker sollte man zusammen mit einem TPM & PIN einsetzen. Hier gibt es dann eine feste (!) Pin. Wir die vergessen bzw. mehrfach falsch eingegeben, möchte der Bitklocker seinen Recovery-Key haben. Da gibt es kein anderes "Notfall-Password". Den kann man im AD speichern. Mit lokalen Admin-Rechten und einem erfolgreich gestarteten Gerät kann man die Verschlüsselung "anhalten" oder entfernen. Das war es so ungefähr. Von Mcafee gibt es z.B. Drive-Encryption, das wohl auch mit Bitlocker zusammenarbeitet. Was dann "besser" funktioniert, entzieht sich meiner Kenntnis: https://kc.mcafee.com/corporate/index?page=content&id=KB79784 Ansonsten gibt es von ehemalig Utimaco noch Safeguard: https://www.sophos.com/de-de/products/safeguard-encryption.aspx Damit kann man wohl einige der Anforderungen umsetzen. Ich mag die Software aber nicht. Je komplexer eine Lösung ist, desto mehr Angriffsfläche gibt es. Auch für den Admin, der irgendwas falsch konfigurieren könnte.... Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 20. Februar 2018 Melden Teilen Geschrieben 20. Februar 2018 eventuell bringen die verschiedenen Mobile-Device-Management-Lösungen da etwas mit. Entweder die Crypto oder eine Verwaltung für Bitlocker. Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 12. März 2018 Melden Teilen Geschrieben 12. März 2018 Das Thema hängt auch daran ob die eingesetzten HDD / SSD Hardware-Encryption mitbringen. Dann hat man weniger Performance-Impact. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 12. März 2018 Melden Teilen Geschrieben 12. März 2018 Was möchtest Du wie verwalten? Was stellst Du dir vor? Per WMI kann man sehr viel abfragen und in eine DB schreiben. Die Verschlüsselung kannst Du per GPO vorbereiten: https://www.gruppenrichtlinien.de/artikel/bitlocker-mit-tpm-einrichten-speicherung-des-wiederherstellungsschluessel-im-active-directory/ Zitieren Link zu diesem Kommentar
lindi200000 12 Geschrieben 13. März 2018 Autor Melden Teilen Geschrieben 13. März 2018 Ich habe viel hin und her getestet und bin nun doch wieder bei Bitlocker angekommen "Problem" stellst sich nur mit den wenigen Notebooks, die von mehreren Usern benutzt werden, die müssen sich den PIN untereinander teilen. Ich hatte auch 3. Anbieter Software, wo die Verschlüsselungsanmeldung über das AD Konto geht, aber da bin ich am Ende bei den Kosten gescheitert, das Geld kann ich gut wo anders einsetzen. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 14. März 2018 Melden Teilen Geschrieben 14. März 2018 Moin, in deinen ursprünglichen Anforderungen steht nichts von einer Pre-boot Authentication. Du könntest, sofern das zutrifft, also schlicht auf den PIN verzichten. Bevor jetzt alle an die Decke gehen: Das ist ein typischer Fall, in dem man die Anforderungen genau klären muss. Bitlocker (oder eine andere Lösung) ohne PIN (aber mit TPM) sichert "Data at rest", also die Daten auf der abgeschalteten Platte. Bleibt die Platte im selben Gerät, kann jeder sie starten, dann geht der Schutzbedarf auf das laufende Windows über. Das kann ausreichen und es kann nicht ausreichen - das muss der TO klären. Eine Methode, die Pre-Boot-Auth erfordert und gleichzeitig für wechselnde Anwender geeignet ist, wäre mir zumindest nicht bekannt. Mag sein, dass es welche gibt, aber ich vermute mal, dass es dann teuer wird. Gruß, Nils Zitieren Link zu diesem Kommentar
lindi200000 12 Geschrieben 14. März 2018 Autor Melden Teilen Geschrieben 14. März 2018 Hallo Nils, ja diese Anforderung ist mir später bei meinen Tests dann auch erst aufgefallen. Ein Produkt was es kann, ist z.B.: Kaspersky, aber das ist kosten technisch nicht gerade wenig. Am Ende sind es aber nicht 100 Geräte wo mehrere User dran sind, sondern im einstelligen Bereich. Somit ist der Pin eher eine Organisatorische Angelegenheit. VG Lindi Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 14. März 2018 Melden Teilen Geschrieben 14. März 2018 Ich stelle mal einen Link ein: https://www.sophos.com/de-de/products/safeguard-encryption.aspx Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 14. März 2018 Melden Teilen Geschrieben 14. März 2018 Bei mehreren wechselnden Anwendern wird wohl über kurz oder lang der PIN irgendwo sehr deutlich auf dem Gerät angebracht. Ob das dann die Sicherheit verbessert? Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 15. März 2018 Melden Teilen Geschrieben 15. März 2018 gibts nicht sowas wie LUKS für windows? da kann man mehrere Passwörter vergeben. Zitieren Link zu diesem Kommentar
lindi200000 12 Geschrieben 23. März 2018 Autor Melden Teilen Geschrieben 23. März 2018 Hallo, also ich freunde mich gerade immer mehr mit Bitlocker an, aber damit es ordentlich unter Win 10 funktioniert, braucht es noch ein paar GPO Einstellungen, die ich nicht finde oder diese gibt es gar nicht. Win 10 hat ja eine schöne Option, die fast jeder gern benutzt: Energie sparen. Das Notebook ist aus und man kann es sehr schnell reaktivieren. Nur umgeht diese Option den Bitlocker Schutz. Alternativ ist der Ruhezustand. Nun zu meinem Problem. Wie kann ich etwa: a) per GPO Energie sparen komplett deaktivieren und nur den Ruhezustand verfügbar machen (in Win 10 selber unter Energieoptionen geht das) oder b) Energiesparen bleibt da, wenn das Notebook aber min 30 Minuten nicht aktiviert wurde, wechselt es von Energie sparen in den Ruhezustand. Variante B hat den Vorteil, das der Mitarbeiter sein Notebook in Energiesparen schaltet, zu einem Meeting hingeht und es sofort wieder verfügbar hat. Wenn er zum Auto geht und zu einen Kunden fährt oder nach hause, dann ist die Zeit meist solang das es im Ruhezustand gelangt. Kann mir da wer einen Tipp geben, oder vielleicht könnt ihr mir aus euren Erfahrungen sagen wie ihr das so macht. VG Lindi Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 23. März 2018 Melden Teilen Geschrieben 23. März 2018 Wieso umgeht diese Option den Bitlockerschutz? Das sind zwei vollkommen verschiedene Ebenen und wenn ich meinen PC in den Ruhezustand setze, werde ich logischerweise nach der PIN gefragt. Wenn ich den PC nicht ausschalte, ist logischerweise Bitlocker freigeschaltet. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.