8
GPO - BitLocker
Hallo zusammen,
ich bin mal wieder etwas verwirrter und nach zirka einer woche probieren und trixen etc. zu keinem zufriedenstellenden Ergebnis gekommen.
Also, hier zur Problematik:
DIe Geschäftsführung meiner Firma möchte innerhalb diesen Jahres von W7 auf W10 upgraden, in diesem Zuge soll auch von der TC-Verschlüsselung auf BitLocker mit TPM umgestiegen werden.
Die GPOs dafür funktionieren auch ohne Probleme.
Jetzt zum Problem: da wir viele Mitarbeiter haben die in anderen Städten weit entfernt arbeiten oder kollegen die oft und gerne was installieren müssen gibt es hier eine GPO die den Usern lokale Administrative rechte geben.
Ja, ich weiß das ist nicht toll und das war nicht meine entscheidung. - nur um den Shitstorm direkt zu entgehen.
Jetzt zum Problem (ich denke die schlauen unter euch können sich das Problem bereits denken):
Wir, als IT-Abteilung, möchten verhindern dass die Mitarbeiter die BitLocker verschlüsseln deaktivieren bzw.diese zeitweise aussetzten können.
Was ich bisher probiert habe:
- Auf Dateiebene die Rechte so modifiziert das Jeder keinen Zugriff mehr hat: dies hatte zur folge, dass Obwohl die Administratoren die Rechte haben nicht mehr machen konnten (einschließlich der IT-Abteilung)
- Auf Dateiebene die Rechte so modifiziert das "VORDIFINIERT\Benutzer" keinen Zugriff mehr hat: Gleicher Effekt wie Jeder
- Auf Dateiebene die Rechte modifziert, sodass nur noch die IT-Abteilung, "VORDEFINIERT\Administratoren" und SYSTEM enthalten ist: gleiches Ergebnis wie oben.
Was bisher geklappt hat:
- Die "Deviceencryption"-Einstellung in der Settingsapp versteckt
Hat jemand eine Idee ob und wie man das ganze umgehen kann ohne den Nutzern die Adminrechte zu entziehen?
Denn dies wird von der Geschäftsführung nicht akzeptiert (bereits versucht).
Viele Grüße
ich bin mal wieder etwas verwirrter und nach zirka einer woche probieren und trixen etc. zu keinem zufriedenstellenden Ergebnis gekommen.
Also, hier zur Problematik:
DIe Geschäftsführung meiner Firma möchte innerhalb diesen Jahres von W7 auf W10 upgraden, in diesem Zuge soll auch von der TC-Verschlüsselung auf BitLocker mit TPM umgestiegen werden.
Die GPOs dafür funktionieren auch ohne Probleme.
Jetzt zum Problem: da wir viele Mitarbeiter haben die in anderen Städten weit entfernt arbeiten oder kollegen die oft und gerne was installieren müssen gibt es hier eine GPO die den Usern lokale Administrative rechte geben.
Ja, ich weiß das ist nicht toll und das war nicht meine entscheidung. - nur um den Shitstorm direkt zu entgehen.
Jetzt zum Problem (ich denke die schlauen unter euch können sich das Problem bereits denken):
Wir, als IT-Abteilung, möchten verhindern dass die Mitarbeiter die BitLocker verschlüsseln deaktivieren bzw.diese zeitweise aussetzten können.
Was ich bisher probiert habe:
- Auf Dateiebene die Rechte so modifiziert das Jeder keinen Zugriff mehr hat: dies hatte zur folge, dass Obwohl die Administratoren die Rechte haben nicht mehr machen konnten (einschließlich der IT-Abteilung)
- Auf Dateiebene die Rechte so modifiziert das "VORDIFINIERT\Benutzer" keinen Zugriff mehr hat: Gleicher Effekt wie Jeder
- Auf Dateiebene die Rechte modifziert, sodass nur noch die IT-Abteilung, "VORDEFINIERT\Administratoren" und SYSTEM enthalten ist: gleiches Ergebnis wie oben.
Was bisher geklappt hat:
- Die "Deviceencryption"-Einstellung in der Settingsapp versteckt
Hat jemand eine Idee ob und wie man das ganze umgehen kann ohne den Nutzern die Adminrechte zu entziehen?
Denn dies wird von der Geschäftsführung nicht akzeptiert (bereits versucht).
Viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 394542
Url: https://administrator.de/contentid/394542
Printed on: April 19, 2024 at 04:04 o'clock
8 Comments
Latest comment
Moin,
das würde mich interessieren, ob das klappt:
https://www.mcseboard.de/topic/170468-win7-bitlocker-bitlocker-anhaltend ...
Ganz unten der letzte Beitrag beschreibt, wie es angeblich geht. Bitte Bescheid geben, ob das wirklich geht.
hth
Erik
das würde mich interessieren, ob das klappt:
https://www.mcseboard.de/topic/170468-win7-bitlocker-bitlocker-anhaltend ...
Ganz unten der letzte Beitrag beschreibt, wie es angeblich geht. Bitte Bescheid geben, ob das wirklich geht.
hth
Erik
1
Hi,
einfache Logik. Wenn das ein "großer" Admin aus dem RZ war, dann hatte er 2010 noch nicht sio viel Know-How. Das zu umgehen, wenn man lokaler Admin ist, ist ein Kinderspiel. Natürlich nur, wenn man weiß wie. Insofern könnte man seiner Logik mit dem "dummen" lokalen Admin folgen. Aber Sicherheit bedeutet das nicht.
Man könnte einen geheimen Dienst schreiben und installieren, welcher das permament überprüft und immer wieder aktiviert.
Oder besser - keine lokalen Admins.
Oder man könnte das wenigstens z.B. per Scheduled Task abfragen und per Mail alarmieren, wenn abgeschaltet. Folge: Ermahnung oder gar Abmahnung. Alles eine Frage der Organisation.
E.
einfache Logik. Wenn das ein "großer" Admin aus dem RZ war, dann hatte er 2010 noch nicht sio viel Know-How. Das zu umgehen, wenn man lokaler Admin ist, ist ein Kinderspiel. Natürlich nur, wenn man weiß wie. Insofern könnte man seiner Logik mit dem "dummen" lokalen Admin folgen. Aber Sicherheit bedeutet das nicht.
Man könnte einen geheimen Dienst schreiben und installieren, welcher das permament überprüft und immer wieder aktiviert.
Oder besser - keine lokalen Admins.
Oder man könnte das wenigstens z.B. per Scheduled Task abfragen und per Mail alarmieren, wenn abgeschaltet. Folge: Ermahnung oder gar Abmahnung. Alles eine Frage der Organisation.
E.
1
N'Abend.
Versuch:
Den Usern gar nix davon sagen - wer nicht gezielt nach schaut, wird nix von der Verschlüsselung merken (zumindest, wenn du auf PreBoot-Authentication verzichtest).
Cheers,
jsysde
Zitat von @VerwirrterUser:
Hat jemand eine Idee ob und wie man das ganze umgehen kann ohne den Nutzern die Adminrechte zu entziehen?
Gar nicht - ein Admin kann sich jedes Recht einfach wieder geben. Davon abgesehen ist das "Verstecken" von GUIs irgendwo Symptome bekämpt, das Entschlüsseln geht per Einzeiler in der PowerShell.Hat jemand eine Idee ob und wie man das ganze umgehen kann ohne den Nutzern die Adminrechte zu entziehen?
Denn dies wird von der Geschäftsführung nicht akzeptiert (bereits versucht).
Dranbleiben. Es gibt keinen Grund, Usern Admin-Rechte zu vergeben.Versuch:
Den Usern gar nix davon sagen - wer nicht gezielt nach schaut, wird nix von der Verschlüsselung merken (zumindest, wenn du auf PreBoot-Authentication verzichtest).
Cheers,
jsysde
1
Ja, das habe ich auch gefunden, hat aber nicht das gewünschte Ergebnis gebracht. Da selbst ich als erlaubte Gruppe dann keine Rechte mehr darauf hatte.
Ja also es ist so, dass die Mitarbeiter davon nichts merken. Das ist auch gut so.
Das Problem ist allerdings, dass es Mitarbeiter gibt die explizit Sachen versuchen um sich der Kontrolle der IT-Abteilung zu entgehen. Um aber wenigstens sicherzustellen, dass bei Verlust das Gerät weiterhin verschlüsselt bleibt wollten wir versuchen eben genau das zu verhindern mit ein paar Tricks / Griffen.
Wir hatten das Thema gestern wieder und leider beharrt die Geschäftsführung auf Verschlüsselung, unmodifizierbarkeit dessen UND Administrativen Rechten.
Es muss doch eine möglichkeit geben, dass zu steuern wie alles andere auch.
Das Problem ist allerdings, dass es Mitarbeiter gibt die explizit Sachen versuchen um sich der Kontrolle der IT-Abteilung zu entgehen. Um aber wenigstens sicherzustellen, dass bei Verlust das Gerät weiterhin verschlüsselt bleibt wollten wir versuchen eben genau das zu verhindern mit ein paar Tricks / Griffen.
Wir hatten das Thema gestern wieder und leider beharrt die Geschäftsführung auf Verschlüsselung, unmodifizierbarkeit dessen UND Administrativen Rechten.
Es muss doch eine möglichkeit geben, dass zu steuern wie alles andere auch.
Kann man dafür eine Aufgabe / ein Skript schreiben?
VG
VG
Sicher.
Ansätze:
Get Bitlocker Protection Status of Drive C:\
Script to enable bitlocker in All Drive
Send-MailMessage: E-Mails versenden mit PowerShell
Das müsste man natürlich noch anpassen und ausbauen.
Ansätze:
Get Bitlocker Protection Status of Drive C:\
Script to enable bitlocker in All Drive
Send-MailMessage: E-Mails versenden mit PowerShell
Das müsste man natürlich noch anpassen und ausbauen.
N'Abend.
Cheers,
jsysde
Zitat von @VerwirrterUser:
[…]leider beharrt die Geschäftsführung auf Verschlüsselung, unmodifizierbarkeit dessen UND Administrativen Rechten.
Das ist die Quadratur des Kreises und genau wie selbige unmöglich. Der "Trick" hier heisst: Keine Admin-Rechte für die User, nur so kann das sichergestellt werden.[…]leider beharrt die Geschäftsführung auf Verschlüsselung, unmodifizierbarkeit dessen UND Administrativen Rechten.
Cheers,
jsysde
