Umfrage - Welches Konzept für Notebooks?

[andrewo 10]

Hallo zusammen,

 

ich brauch mal wieder euren Rat. Wir werden verstärkt in diesem Jahr User mit Notebooks ausstatten (Vertrieb etc.). Zum Umgang mit solchen Usern gibt es unterschiedliche Meinungen. Ich stell einfach einmal ein paar Fragen in den Raum:

 

Sollen die Notebooks in die Domäne oder nicht?

Soll der User lokaler Admin sein um ggf. irgendwas wichtiges nachinstallieren zu können?

Wie sichert ihr eure NB´s gegen Datenklau bzw. bei Verlust des NB eine mögliche Nutzung der Daten ab?

Gibt es eine Möglichkeit dem User zu erlauben nur bestimmte Dateien für einen eingeschränkten Zeitraum lokal zu speichern?

 

Es gibt da mit Sicherheit noch mehr zu hinterfragen und zu beachten. Ich bin für alle Antworten und Vorschläge dankbar!

 

Gruß Andre

[phoenixcp 10]

1.) Wie oft kommen die Leute bei euch ins Netz? Sprich: "sterben" die Maschinenkonten in der Domäne oder sind die Leute 1 bis 2 Mal im Monat da?

2.) Es sollte zumindest nen Weg geben um was zu installieren, aber zum arbeiten immer nen eingeschränkten Account nehmen... Muss man den Nutzern entsprechend vermitteln, auch wenn es nicht unbedingt einfach ist.

3.) BIOS-Passwort (firmeneinheitlich) + Festplattenverschlüsslung. Gerade beim Thema Verschlüsslung gibts verschiedene Möglichkeiten, von EFS über Truecrypt bis hin zu tausenden anderen Lösungen... Ist halt die Frage wie sensibel die Daten sind, welche Kriterien ihr an die Sicherheit habt.

 

Weitere Fragen? Immer stellen. Es gibt keine dumme Fragen, nur dumme Antworten.

[andrewo 10]

Danke!

Was hält man von Token ohne die eine Anmeldung an der Maschine nicht möglich ist?

[phoenixcp 10]

Kann man alles machen. Da gibts auch zusätzliche Verfahren, wie Smartcard oder Fingerprint. Aber selbst dann sollte man sich noch zusätzliche Gedanken machen, wie man die Daten verschlüsselt. Wenn mir ne lokale Anmeldung nicht gelingt, kann ich die Platte ja immer noch ausbauen und woanders einhängen.

[phoenixcp 10]

Weil es mir grade wieder einfiel: Windows Server How-To Guides: Notebook Security - ServerHowTo.de

[Frank_Steinmetz 10]

Guten Morgen,

 

schau Dir mal SafeBoot an.

 

Das setzen wir hier ein - ist nicht schlecht.

Eigenes Boot-Passwort und die HDD ist auch verschlüsselt.

 

Gruss,

Frank

[Dr.Melzer 191]

Nachdem neue Notebooks nur mit Vista erhältlich sind werfe ich mal dei Bootverschlüsselung von Vista in den Raum und für den Schutz der Domäne Network Access Protection (NAP) des neuen Server 2008, in Verbindung mit Vista und XP SP3.

[technikber 10]

Naja das mit Vista stimmt nicht ganz. Wir verkaufen Notebooks und können noch mit Windows XP Prof und Vista Business downgrade Geräte liefern

[deadcandance 10]

- Notebooks in die Domäne

- Vernünftige Passwortrichtlinie in der Domäne

- wenn es möglich ist die User ohne Adminrechte arbeiten lassen, ist aber nicht immer möglich. Installieren können sie dann mit dem lokalen Adminaccount

- Festplatte verschlüsseln (wichtig ist dabei die PreBoot Authentifizierung), wir testen gerade Utimace Safeguard und die neueste Version von TrueCrypt kann auch die komplett Platte verschlüsseln. TrueCrypt ist Open Source, sollte man sich unbedingt anschauen. Freeware gab es auch noch von Compusec was.

 

BIOS und Festplattenpasswort ist zu unsicher, kann man knacken.

 

Von Fingerprint und SmartCard halte ich persönlich nicht so viel, genauso wie USB token.

Ich habe zwar keine echten Erfahrungen damit, aber so ein USB Teil das permanent am Notebook raussteht geht mit hoher wahrscheinlichkeit irgendwann kaput. und meist dann wenn der user das notebook besonders dringend benötigt. Fingerprint funktioniert doch auch nicht richtig, das nervt doch wenn man den finger ein paarmal über den scanner ziehen muss.

Aber das sind nur meine persönlichen Gedanken.

 

Gibts da nicht auch solche "Spiellereien" wo man ein geklautes notebook remote unbrauchbar machen kann, sobald es ne internetverbindung aufbaut?

[goscho 11]

Von Fingerprint und SmartCard halte ich persönlich nicht so viel, genauso wie USB token.

Ich habe zwar keine echten Erfahrungen damit, aber so ein USB Teil das permanent am Notebook raussteht geht mit hoher wahrscheinlichkeit irgendwann kaput. und meist dann wenn der user das notebook besonders dringend benötigt. Fingerprint funktioniert doch auch nicht richtig, das nervt doch wenn man den finger ein paarmal über den scanner ziehen muss.

Aber das sind nur meine persönlichen Gedanken.

Die Fingerprintgeschichte (integriert natürlich) in Verbindung mit einem TPM-Chip und einer vernünftigen Laufwerksverschlüsselung ist schon in Ordnung.

BTW: Nerviger als ein 3-maliges "Finger-über-den-Scanner-Ziehen" ist est, wenn ich bei einem Notebook das Passwort X-Mal eingeben muss, weil ich nicht gleich merke, dass der Nummernblock aktiviert war etc.

 

@Doc Melzer,

das Notebooks nur mit Vista ausgeliefert werden, war vor 4-8 Monaten mal. Alle Markenhersteller sind zurückgerudert und bieten alle Business-Linien sowohl mit Vista Business, als auch XP Pro oder wenigstens als integrierte Downgrade-Variante (wie FSC) an.

Auch ist die Bitlocker-Laufwerksverschlüsselung nur bei Vista Ultimate und Enterprise verfügbar. Damit ist - IMHO - kein Standard-Notebook ausgestattet, was man heutzutage bekommt. Dies muss erst per Lizenz erworben (Enterprise bekommt dabei auch nicht jeder Kunde) oder per AnytimeUpgrade erweitert werden.

[zahni 521]

Die Vista-Verschlüsselung ist wirklich nicht schlecht. Und vor allen Dingen sehr flott.

 

Falls der NB einen TPM-Chip hat, kann man sich den USB-Stick mit dem Schlüssel sparen (ist aber auch ein nettes Feature, kann man als eine Art Token sehen). Der TPM-Chip bindest die HD auch fest an den jeweiligen NB.

 

-Zahni

[deadcandance 10]

Der TPM-Chip bindest die HD auch fest an den jeweiligen NB.

-Zahni

 

heißt das, wenn das notebook mal defekt ist, kann ich die festplate auch wegschmeissen?

kann man so ein notebook mit ner BartPE cd booten und auf die platte zugreifen?

[goscho 11]

heißt das, wenn das notebook mal defekt ist, kann ich die festplate auch wegschmeissen?

kann man so ein notebook mit ner BartPE cd booten und auf die platte zugreifen?

Ob das mit Bart PE geht, weiß ich jetzt nicht, aber wegschmeißen musst du sie nicht, wenn du den Schlüssel vorher woanders abgespeichert hast.

Ich benutze diverse HP Business PCs. Dort habe ich erst zuletzt diesen TPM-Chip aktiviert (mit den HP Protect Tools). Dieser erstellte Schlüssel wird natürlich gesichert und kann in solchen Fällen wieder genommen werden (Notebook defekt aber HDD noch ganz).

So sehe ich das jedenfalls.

 

Das das TPM-Modul die HDD an das Notebook binden kann, wusste ich nicht.

 

BTW, könnte ich so auf die Laufwerksverschlüsselung verzichten, wenn ich TPM aktiviere und booten ohne biometrische Merkmale verbiete?

Dann kann ja auch niemend an die Daten ran oder wie soll ich das sonst verstehen?