132501
Apr 30, 2019
3438
17
0
BitLocker im Unternehmen ohne MBAM
Hallo zusammen,
ich habe einige Fragen zum Thema BitLocker im Unternehmen.
Durch die Abkündigung von MBAM bin ich nun gezwungen entweder BitLocker über GPOs und Key in der AD zu steuern, oder ein externes Produkt einzusetzen. Die MS Alternative alles in die Cloud zu verlagern ist hier nicht gewünscht.
Daher folgende Fragen:
1. BitLocker zieht nur bei Domain-joined Clients. Wie sieht es aus wenn der jenige mit seinem Notebook offline ist oder nicht per VPN Verbunden ist. Wir haben viele Außendienstmitarbeiter, die in der Weltgeschichte rumreisen und hier telefonisch nicht immer jemanden erreichen. Wie kommen diese Kollegen im Fall der Fälle an ihren Rec Key bzw. funktioniert diese Methode offline überhaupt?
2. Gibt es irgendeine Möglichkeit abseits von MBAM das zu monitoren?
3. Generell sind bei uns alle Geräte in der Domäne, dennoch gibt es sicher eine Hand voll die es nicht sind. Macht in diesem Fall vielleicht eine Agent basierte Lösung mehr Sinn (ESET Data Encryption oder Sophos SafeGuard)?
Würde mich auch interessieren, wie ihr das in euren Umgebungen umgesetzt habt.
Danke schonmal.
ich habe einige Fragen zum Thema BitLocker im Unternehmen.
Durch die Abkündigung von MBAM bin ich nun gezwungen entweder BitLocker über GPOs und Key in der AD zu steuern, oder ein externes Produkt einzusetzen. Die MS Alternative alles in die Cloud zu verlagern ist hier nicht gewünscht.
Daher folgende Fragen:
1. BitLocker zieht nur bei Domain-joined Clients. Wie sieht es aus wenn der jenige mit seinem Notebook offline ist oder nicht per VPN Verbunden ist. Wir haben viele Außendienstmitarbeiter, die in der Weltgeschichte rumreisen und hier telefonisch nicht immer jemanden erreichen. Wie kommen diese Kollegen im Fall der Fälle an ihren Rec Key bzw. funktioniert diese Methode offline überhaupt?
2. Gibt es irgendeine Möglichkeit abseits von MBAM das zu monitoren?
3. Generell sind bei uns alle Geräte in der Domäne, dennoch gibt es sicher eine Hand voll die es nicht sind. Macht in diesem Fall vielleicht eine Agent basierte Lösung mehr Sinn (ESET Data Encryption oder Sophos SafeGuard)?
Würde mich auch interessieren, wie ihr das in euren Umgebungen umgesetzt habt.
Danke schonmal.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 445955
Url: https://administrator.de/contentid/445955
Printed on: April 20, 2024 at 13:04 o'clock
17 Comments
Latest comment
Hallo @schroedi,
1.
Wenn ein Client offline ist, funktioniert der hinterlegte Key im AD trotzdem. Dieser kann ja dann telefonisch mitgeteilt werden.
2.
Monitoren geht, müsste aber dann etwas per Gruppenrichtlinie gebaut werden.
Abfragen kann man den Status so:
https://www.itnator.net/bitlocker-status-per-powershell-anzeigen/
Den Status lässt du dann in eine Excel schrieben. Ist zwar nicht schön, aber vlt eine Alternative?!
3.
Das ist dann natürlich schwer. Wenn der Key nicht in die Domäne (AD) geschrieben werden kann, müsstest du sie "offline" verwalten.
Lösungen wie von dir beschrieben funktionieren bestimmt auch.
Wir haben (gottseidank) nur Geräte, die im AD sind. Daher lassen wir den Key in das AD schreiben.
https://www.itnator.net/tpm-bitlocker-schlussel-in-active-directory-spei ...
Gruß joehuaba
1.
Wenn ein Client offline ist, funktioniert der hinterlegte Key im AD trotzdem. Dieser kann ja dann telefonisch mitgeteilt werden.
2.
Monitoren geht, müsste aber dann etwas per Gruppenrichtlinie gebaut werden.
Abfragen kann man den Status so:
https://www.itnator.net/bitlocker-status-per-powershell-anzeigen/
Den Status lässt du dann in eine Excel schrieben. Ist zwar nicht schön, aber vlt eine Alternative?!
3.
Das ist dann natürlich schwer. Wenn der Key nicht in die Domäne (AD) geschrieben werden kann, müsstest du sie "offline" verwalten.
Lösungen wie von dir beschrieben funktionieren bestimmt auch.
Wir haben (gottseidank) nur Geräte, die im AD sind. Daher lassen wir den Key in das AD schreiben.
https://www.itnator.net/tpm-bitlocker-schlussel-in-active-directory-spei ...
Gruß joehuaba
Hi.
BL "zieht" nur in der Domäne? Was soll das nun heißen? Das hat mit der Domäne erstmal nichts zu tun.
Recoverykeys per self-service erreichbar zu machen, ist sicherheitstechnisch ein no-Go. Mach das lieber nicht und lass dich stattdessen von denen anrufen im Fall der Fälle. Allerdings sollte dieser Fall nie eintreten, wenn Nutzer sich lediglich eine 6-stellige PIN merken müssen. In meinem nachfolgenden Artikel steht beschrieben, wie Du die PINS erzeugst und notierst
2. ja, siehe Bitlocker-Verschlüsselung und -Monitoring ohne MBAM
3. Das geskriptet zu verschlüsseln ohne Domain-joined zu sein, geht natürlich auch.
BL "zieht" nur in der Domäne? Was soll das nun heißen? Das hat mit der Domäne erstmal nichts zu tun.
Recoverykeys per self-service erreichbar zu machen, ist sicherheitstechnisch ein no-Go. Mach das lieber nicht und lass dich stattdessen von denen anrufen im Fall der Fälle. Allerdings sollte dieser Fall nie eintreten, wenn Nutzer sich lediglich eine 6-stellige PIN merken müssen. In meinem nachfolgenden Artikel steht beschrieben, wie Du die PINS erzeugst und notierst
2. ja, siehe Bitlocker-Verschlüsselung und -Monitoring ohne MBAM
3. Das geskriptet zu verschlüsseln ohne Domain-joined zu sein, geht natürlich auch.
Das habe ich so nicht geschrieben. Ich wollte sagen, dass BitLocker per GPO nur an Domain-joined Clients funktioniert. Das sollte nur eine Einleitung sein.
Anrufen ist schon ok. Allerdings ist die IT nicht 24/7 besetzt. Wenn im Fall der Fälle der Kollege Samstags in China nicht an seine Daten kommt haben wir ein Problem. Aber das ist ein organisatorisches Thema und muss hier nicht besprochen werden. Ich lese mir deinen Beitrag kurz durch.
lokale GPO mal ausgenommen.
Anmerkung zu Deinen Dienstreisenden: Einen Webservice mit Authentifizierung bereitzustellen, ist sicherlich für jeden möglich - nur würde ich dort nicht die Recoverykeys hinterlegen, sondern die PINs. Die Recoverykeys werden quasi nie gebraucht.
Jap auch eine Idee.
Hab ich das richtig verstanden, dass die PIN im BIOS/UEFI gespeichert wird?
Nein, die PIN wird nirgendwo gespeichert. Das Bios speichert nichts von Bitlocker. Der TPM Chip speichert den starken Schlüssel und die PIN stellt den schwachen Schlüssel zum starken Schlüssel dar.
Ok verstanden. Wie läuft das bei Geräten ohne TPM Chip?
Die haben keine PIN. PIN geht nur mit TPM.
Ohne TPM sollte man in gesicherten Umgebungen meiden, da dann ein Kennwort an den Nutzer vergeben werden muss, mit dem er das System nicht nur starten kann, sondern auch manipulieren oder entschlüsseln für ihn möglich wird.
Ohne TPM sollte man in gesicherten Umgebungen meiden, da dann ein Kennwort an den Nutzer vergeben werden muss, mit dem er das System nicht nur starten kann, sondern auch manipulieren oder entschlüsseln für ihn möglich wird.
Ok. Das hilft mir erstmal weiter.
Ich denke nicht das wir noch Geräte haben ohne TPM. Das älteste was mir hier bekannt ist, ist ein Lenovo T430. Der Großteil rennt mit Surface und neurerem Gerät durch die Gegend.
Danke erstmal.
Ich denke nicht das wir noch Geräte haben ohne TPM. Das älteste was mir hier bekannt ist, ist ein Lenovo T430. Der Großteil rennt mit Surface und neurerem Gerät durch die Gegend.
Danke erstmal.
Hallo
Sorry wenn ich kurz dazwischengrätsche, aber hättest Du da evtl. einen Link zu einem entsprechenden Produkt? Oder wie würdest du so einen Webservice realisieren? Selber programmieren?
cu,
ipzipzap
Zitat von @DerWoWusste:
Anmerkung zu Deinen Dienstreisenden: Einen Webservice mit Authentifizierung bereitzustellen, ist sicherlich für jeden möglich - nur würde ich dort nicht die Recoverykeys hinterlegen, sondern die PINs. Die Recoverykeys werden quasi nie gebraucht.
Anmerkung zu Deinen Dienstreisenden: Einen Webservice mit Authentifizierung bereitzustellen, ist sicherlich für jeden möglich - nur würde ich dort nicht die Recoverykeys hinterlegen, sondern die PINs. Die Recoverykeys werden quasi nie gebraucht.
Sorry wenn ich kurz dazwischengrätsche, aber hättest Du da evtl. einen Link zu einem entsprechenden Produkt? Oder wie würdest du so einen Webservice realisieren? Selber programmieren?
cu,
ipzipzap
Das würde ich selbst machen. Entweder einen vertrauten Cloudanbieter nehmen, oder einen eigenen Webserver ins Internet stellen, der Authentifizierung bietet. Man sollte sich aber schon fragen, ob es den Aufwand (und ggf. Sicherheitsverlust) wert ist, denn wer vergisst spontan seine PIN auf der Dienstreise? Das geht doch hart gegen Null.
Wir sind produzierendes Gewerbe und bei uns kommt es schon mal vor das Notebooks mehrere Monate unbenutzt im Schrank liegen. Die Kollegen haben mehrere Geräte. Hier erlebt man praktisch alles.
Ich führe demnächst einen PoC mit ESET durch. Mal sehen, was das so kann.
Ich führe demnächst einen PoC mit ESET durch. Mal sehen, was das so kann.
PIN wegzulassen ist keine Option?
Meinst du, dass die Laufwerke dann mit AD Anmeldung entschlüsselt werden?
Ein BL-Laufwerk wird nie entschlüsselt, sondern aufgeschlossen. Nein, ich meine, du könntest nur den TPM nutzen. Windows bootet bis zur Anmeldemaske, als wäre es gar nicht verschlüsselt. Dennoch sind offline-Attacken unmöglich.
