Bitlocker - Server Migration

[ThomasAnderson 0]

Hi,

 

wir haben unsere Server von 2003 auf 2012 migriert.

Bevor ich das Bitlockerfeature einspiele, wollte ich jetzt fragen ob ich hierbei noch irgendetwas beachten muss.

Mir fällt momentan nichts ein und auch bei MS habe ich nicht s gefunden.

Ich wollte dennoch auf Nummer sichergehen, nicht, dass es schiefläuft und die Clients nichtmehr arbeiten können oder ähnliches.

 

Gruß

[zahni 521]

Die Frage wäre: Warum willst Du Bitlocker auf einem Server einsetzen? Was willst Du damit erreichen?

Ist die Tür zum Serverraum aus "Pappe"?

[daabm 1.187]

Nicht jeder hat jeden Server in einem abgesicherten Bereich stehen... Auch wenn er sollte :cool:

[zahni 521]

Darum meine Fraje. Bitlocker macht auf einem Server nur begrenzt Sinn. Die Angriffsszenarien sind bei einem laufenden Server vielfältig. Der Bitlocker hilft dann auch nicht.

[daabm 1.187]

...hilft auf jeden Fall gegen Serverklau und Forensics "von außen". ich kann Deine Ablehnung dagegen grad nicht ganz nachvollziehen...

[Dukel 436]

...hilft auf jeden Fall gegen Serverklau und Forensics "von außen". ich kann Deine Ablehnung dagegen grad nicht ganz nachvollziehen...

 

Aber nur wenn man z.B. TPM und Pin konfiguriert. Dann wird es aber schwirig als Server, wenn beim reboot immer jemand vor Ort sein muss.

Wenn automatisch entschlüsselt wird hift Bitlocker auch nicht viel.

[tesso 360]

Ich kenne Kunden die das mit PIN für Server im Einsatz haben. Dank ILO muß beim booten auch keiner vor Ort sein. Es muß sich allerdings jemand auf den Server verbinden und den PIN eingeben.

[ThomasAnderson 0]

^{Hi Leute,}

 

^{hab das wohl falsch beschrieben.}

^{Ich möchte das Bitlocker Feature auf den beiden neuen DCs installieren und wollte fragen ob hier Probleme bekannt sind.}

^{Oder ob ich einfach das Feature installieren kann und alles funktioniert wie gehabt!}

^{Nicht, dass auf Grund von einem Fehler o.Ä. alle meine Clients gesperrt werden.}

 

^Gruß

[NilsK 2.789]

Moin,

 

Wenn automatisch entschlüsselt wird hift Bitlocker auch nicht viel.

 

na, das ist so ja nicht richtig. Bitlocker "hilft" in jedem Fall nur gegen Offline-Angriffe. Das laufende System muss man separat absichern.

 

Wenn das Betriebssystem selbst ordentlich abgesichert ist, dann ist Bitlocker mit TPM und ohne PIN durchaus ein sinnvoller Schutz - eben gegen Offline-Angriffe. Mein Lieblingsbeispiel ist der Utilman-Angriff, den man (fast) nur so sinnvoll umgehen kann.

 

@Thomas: "Grundsätzlich" sollte es kein Problem geben, wenn Bitlocker richtig konfiguriert ist. Gerade beim AD würde ich aber versuchen, immer mindestens einen nicht verschlüsselten DC in Betrieb zu haben. Der muss dann natürlich ausreichend physisch abgesichert sein.

 

Dass es im laufenden Betrieb Probleme gibt, ist auszuschließen. Es könnte aber natürlich sein, dass der DC nicht hochfährt ...

 

Gruß, Nils

bearbeitet 11. November 2014 von NilsK

[Dukel 436]

Moin,

[bitlocker ohne PIN]

 

na, das ist so ja nicht richtig. Bitlocker "hilft" in jedem Fall nur gegen Offline-Angriffe. Das laufende System muss man separat absichern.

 

Aber auch nur, wenn man nur die Disks klaut. Wenn man sowieso Physikalischen Zugang zum Server hat klaut man diesen und bootet das System ohne Probleme.

 

Wie immer muss man wissen gegen was man geschützt sein will und wie groß der Aufwand sein soll.

Mehr Sicherheit durch PIN Schutz vs. evtl. mehr Downtime, wenn kein Admin verfügbar ist.

[ThomasAnderson 0]

Hi, es geht darum, das Feature nach einer Migration auf dem neuen DC zu installieren, nicht dass es diesen verschlüsselt, sondern dass es von diesem aus verwaltet werden kann!

[zahni 521]

Wenn die BIOS-Einstellungen  korrekt gesichert  und alle externen Anschlüsse wie USB und Floppy deaktiviert  sind, hilft  ein TPM ohne PIN auch was.

Denn die BIOS-Einstellungen können nicht geändert werden, ohne dass der TPM-Chip gesperrt wird.

Hi, es geht darum, das Feature nach einer Migration auf dem neuen DC zu installieren, nicht dass es diesen verschlüsselt, sondern dass es von diesem aus verwaltet werden kann!

 

Ich würde auch einem Server  relativ wenig "verwalten" . Hier  sind  passende Client-System  vorzuziehen. Ansonsten lassen die entsp. Management-Tools natürlich installieren. Warum auch nicht?

[Dukel 436]

Wieso sagst du das nicht am Anfang des Threads?

Ich würde das nicht auf einem DC installieren sondern auf einem Management Server. Was genau willst du Verwalten?

[NilsK 2.789]

Moin,

 

dann geht es um die Ablage der Recovery-Keys im Active Directory. Da dies i.d.R. nur eine Zusatzoption ist (man kann den Key auch noch separat zur Dokumentation ablegen, soweit ich weiß), kommt es vor allem auf die Management-Prozesse im Unternehmen an.

 

Es ist daher nicht zu erwarten, dass das Feature als solches zu Problemen führt.

 

Aber auch nur, wenn man nur die Disks klaut. Wenn man sowieso Physikalischen Zugang zum Server hat klaut man diesen und bootet das System ohne Probleme.

 

 

sicher. Aber dann muss man eben noch ins Betriebssystem einbrechen. Das könnte man in dem Szenario ja auch gleich direkt tun.

 

Bitlocker mit PIN deckt noch ein zusätzliches Szenario ab, unbestritten. Dadurch wird Bitlocker ohne PIN aber nicht automatisch nutzlos. Kommt halt aufs Konzept an, wie immer in der IT-Security.

 

Dem TO ging es ja aber dann doch um was anderes.

 

Gruß, Nils

bearbeitet 11. November 2014 von NilsK

[speer 16]

Hallo,

bei der Ablage der Recovery Keys musst du aber aufpassen das andere Benutzer diese nicht auslesen können. Da muss, soweit ich mich erinnere, noch etwas an der Berechtigungsstruktur angepasst werden.

Ganz wichtig auch die GPOs ansehen und richtig konfigurieren. Manche Optionen schließen andere aus. Zudem unbedingt den Recovery Prozess dokumentieren und viel testen. Zur Sicherheit immer einen Wiederherstellungsagent in der Hinterhand haben.