Jump to content

Win7 - Bitlocker - Bitlocker anhalten/deinstalliern verbieten


Gast
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

wir planen bei uns Bitlocker einzusetzen. Dies ist AD integriert. Nun möchte wir verhindern das ein lokaler Laptop Administrator Bitlocker anhalten oder deinstallieren kann.

 

Über die Policy haben wir das Ausführen des manage-bde Tools gesperrt. Nun suche ich eine Möglich, wie ich die Funktion in der Systemsteuerung (Bitlocker-Laufwerksverschlüsselung -> Schutz anhalten) abgeschalten werden kann. Das Ausblenden des Symbol aus der Systemsteuerung reicht nicht aus.

 

Habt Ihr andere Ideen.

 

Viele Grüße

Thomas

Link zu diesem Kommentar

Du könntest versuchen den BitLocker Dienst per GPO auf Starttyp "Automatisch" zu setzen.

 

Nimm den Leuten die Adminrechte.

 

Das ist die sinnvollste Variante! Falls das aus politischen Gründen nicht möglich ist, braucht Deine Firma Nutzungsrichtlinien die im Zweifelsfall auch arbeitsrechtliche Konsequenzen nach sich ziehen.

Nicht jedes menschliche Problem lässt sich durch Technik lösen.

Link zu diesem Kommentar

Wir setzen bei uns Windows 7 ein. Unsere DCs haben Win2k8 R2.

Adminrechte können dem normalen User nicht weggenommen werden, da viele Mitarbeiter durch Entwicklungstätigkeiten Veränderungen am System vornehmen.

 

Den Bitlocker-Dienst werde ich gleich mal Testen.

Vielen Dank für den Tipp

 

Viele Grüße

Thomas

Link zu diesem Kommentar

Leider hat reicht das Sperren des Dienstes "Bitlocker" nicht aus. Der lokale Admin kann weiterhin über die Systemsteuerung Bitlocker anhalten, aber nicht wieder starten.

 

Das Anhalten müsste aber auch gesperrt werden.

Gibts noch andere Ideen.

 

Viele Grüße

Thomas

Link zu diesem Kommentar

Vielen Dank für den Tipps, der werde ich wohl diese Dinge so an unsere Sicherheitsabteilung weitergeben.

 

@Gulp, sunny61 Die Dienste werden per GPO so eingestellt, das Änderungen an System-Diensten nur von DomainAdmins ausgeführt werden dürfen. Selbst lokale Administratoren dürfen am Laptop diesen Dienst nicht stoppen oder starten.

 

Viele Grüße & Dank

Thomas

Link zu diesem Kommentar
  • 3 Wochen später...

Hallo Kollegen,

 

ich hab einen Weg gefunden, den Usern in unserer Firma trotz lokalen Adminrechten die Konfiguration/Deaktivierung von Bitlocker zu unterbinden.

 

Das Systemsteuerungsapplet Bitlocker wird von fvecpl.dll (liegt in System32) gesteuert, um den Aufruf zu unterbinden muss man lediglich dem betroffenen User die Berechtigung Vollzugriff verweigern verpassen, genau so wie der manage-bde.exe.

 

Ich hab im AD eine Gruppe erstellt in der alle unsere User Mitglied sind, und diese Gruppe hat auf den beiden Files fvecpl.dll und manage-bde.exe Vollzugriff verbieten Berechtigungen. Vorher muss man den Besitz der beiden Dateien übernehmen, der Standardbesitzer ist die Gruppe TrustedInstaller.

 

Um die User daran zu hindern, den Besitz zu übernehmen und die Berechtigungen wieder zu ändern habe ich die GPO Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > lokale Richtlinien > Übernehmen des Besitzes von Dateien und Objekten aktiviert, sodass nur der Domainadmin das Recht hat, den Besitz zu übernehmen - voila, that's it, wenn der User jetzt auf Bitlocker in der Systemsteuerung klickt passiert gar nichts, wenn er die Berechtigungen ändern oder manage-bde.exe über die Command Line aufrufen möchte bekommt er "Zugriff verweigert", somit hat er keine Möglichkeit mehr Bitlocker anzuhalten

Link zu diesem Kommentar

Hallo Zahni,

 

vielen Dank für dein Feedback, aber das kann er nicht rückgängig machen.

Die NTFS Berechtigungen sieht er gar nicht weil er die Meldung erhält "Sie sind nicht berechtigt, die Berechtigungseinstellungen des Objekts anzuzeigen oder zu bearbeiten" - wenn er den Besitz des Objektes übernehmen möchte um sich das Recht zu verschaffen, die Sicherheitseinstellungen zu ändern, bekommt er die Meldung "Zugriff verweigert", weil ihm das Recht dazu per Domainrichtlinie entzogen wurde, er kann also in der lokalen Sicherheitsrichtlinie auf seinem Notebook keine Einstellungen ändern, somit hat er keine Chance das zu umgehen, er bräuchte das Domainadmin Passwort um sich anzumelden und den Besitz zu übernehmen.

 

Hier noch kurz die genaue Vorgehensweise:

 

1) User zum lokalen Admin machen und eine Domaingruppe erstellen wo er Mitglied ist

2) den Dateien C:\windows\system32\fvecpl.dll und C:\Windows\system32\manage-bde.exe die Gruppe zuweisen und auf Vollzugriff verweigern setzen

3) eine Domainpolicy erstellen und die Einstellung Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > lokale Richtlinien > Übernehmen des Besitzes von Dateien und Objekten setzen dass nur der Domainadmin das Recht besitzt, damit kann er es in der lokalen Sicherheitsrichtlinie auf seinem Notebook nicht ändern, er hat also auf beiden Files kein Recht sie auszuführen und auch kein Recht, sich die Rechte zu beschaffen, also wie soll er das umgehen können?

Ich habe das jetzt gut 6 Stunden getestet als User und versucht, mir die Rechte zurückzuholen, und ich bin kläglich gescheitert, also wenn ich das als Netzwerkadmin in einem großen Rechenzentrum nicht schaffe werden es unsere Entwickler auch nicht schaffen.

 

Mit besten Grüßen

Christian

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...