Notebooks verschlüsseln

[lindi200000 12]

im Energiespar Modus, den viele Mitarbeiter leider gerne nehmen, bleibt alles im RAM. Somit wird beim wieder anschalten des Notebooks kein PIN abgefragt.

Im Ruhezustand wird ja alles auf die Festplatte vom RAM geschrieben, somit muss erst der Bitlocker Pin abgefragt werden, bevor alles wieder zurück in den RAM geht.

[NorbertFe 2.034]

Ja, und? Das ist kein technisches Problem, sondern prinzipbedingt ein Userproblem. Das wäre MIT JEDEM anderen Festplattenverschlüsselungswerkzeug identisch.

[lindi200000 12]

Genau deswegen suche ich ja in den GPO entsprechende Einstellungen was den etwa "Energie Sparen" abschaltet bzw. nach einiger Zeit von Energie Sparen auf Ruhezustand umschaltet.

 

Den Usern kann man viel erzählen und zeigen, aber Gewohnheiten kann man leider schlecht ablegen.

[NorbertFe 2.034]

Deine User klicken bewußt auf "Energiesparen"? Oder klappen die einfach das Notebook zu?

[lindi200000 12]

Beides,

Einerseits klappen sie den Deckel einfach zu, die Aktion dahinter kann ich in der GPO ja einstellen,

Und sie gehen auch manchmal direkt in den Energiesparmodus. Das habe ich noch nicht gefunden wo man es deaktivieren kann. Am Laptop direkt geht es einzustellen, aber über GPO?

[NilsK 2.934]

Moin,

 

den Einwand höre ich immer mal wieder, aber wie Norbert schon sagt: Das ist eine prinzipielle Frage, die auf das Funktionsprinzip einer Festplattenverschlüsselung abzielt.

 

Die Festplattenverschlüsselung - speziell Bitlocker, aber im Prinzip auch die anderen - soll "Data at rest" schützen, also die Offline-Daten auf der Festplatte. Es soll nicht möglich sein, die Platte in einen anderen Rechner einzubauen und dort zu lesen. Ebenso soll es nicht möglich sein, den Rechner mit einem anderen Betriebssystem zu starten und die Daten damit zu lesen. Sobald der Rechner gestartet ist und das zugelassene Betriebssystem läuft, ist dieses für den Schutz der Daten verantwortlich. Die reine Verschlüsselung nützt also wenig, wenn das Betriebssystem nicht ausreichend sicher konfiguriert ist.

 

Im Energiesparmodus läuft aus dieser Perspektive das Betriebssystem weiter. Der Zustand unterscheidet sich aus Sicht der Festplattenverschlüsselung also nicht von einem laufenden Betriebssystem - Windows muss dafür sorgen, dass nur autorisierte Zugriffe stattfinden.

 

Oder anders gesagt; Jede (marktübliche) Festplattenverschlüsselung zielt nur auf bestimmte Szenarien, typischerweise auf Offline-Angriffe. Für alle anderen Szenarien müssen andere Schutzmechanismen ergänzt werden.

 

Oder noch anders gesagt: Der Energeisparmodus umgeht Bitlocker nicht, und er ist auch nicht per se ein Sicherheitsproblem.

 

Gruß, Nils

 

bearbeitet 23. März 2018 von NilsK

[Lian 2.421]

vor 4 Minuten schrieb lindi200000:

Und sie gehen auch manchmal direkt in den Energiesparmodus. Das habe ich noch nicht gefunden wo man es deaktivieren kann. Am Laptop direkt geht es einzustellen, aber über GPO?

Schau mal hier: https://gpsearch.azurewebsites.net/ (Sprache entsprechend auswählen)

[Weltalltrauma 15]

Moin Moin zusammen,

 

bezüglich Ausrollung von Bitlocker habe ich eine gute Anleitung gefunden, welche für den einen oder anderen interessant ist.

 

http://adameyob.com/2016/12/08/zero-touch-bitlocker-deployments/

 

 

bearbeitet 23. März 2018 von Weltalltrauma

[Sunny61 806]

Du kannst den Geräten ein selbst erstelltes Energieschema per GPO verpassen, darin deaktivierst Du einfach das alles, was dir nicht passt.

[websurfer83 0]

Ich werfe mal eine kostenpflichtige Alternative zu BitLocker in den Raum, mit der ich bisher sehr gute Erfahrungen gemacht habe: SecureDoc von der Firma WinMagic. Eine zentrale Verwaltung ist möglich, ebenso das Anlegen eines Admin-Accounts, welcher das Gerät entsperren kann, wenn der User seine Credentials vergessen hat. Außerdem kommt das Tool auch mit TCG OPAL zurecht und es muss NICHT wie bei BitLocker üblich erst umständlich über einen Secure Erase zur Aktivierung bereit gemacht werden.