Jump to content

Empfohlene Beiträge

Hallo,

 

ich bin auf der Suche wie ich in unserer Firma am effektivsten die Notebooks verschlüsseln kann.

Notebooks haben alle Win 10 Prof.

Voraussetzung sind eigentlich "nur":

  • eine zentrale Verwaltungsmöglichkeit
  • dem User ein Notfall Passwort geben, auch wenn er nicht im Netzwerk aktuell ist
  • Jederzeit die Möglichkeit zu haben über einen "höheren" Account (Admin), die Verschlüsselung rückgängig machen zu können

 

Das einfachste wäre ja Bitlocker, aber mir fehlt es da irgendwie an Software für die zentrale Verwaltung. Microsoft bietet MBAM an, aber wenn ich danach Google, bekomme ich Beiträge mit Downloads von 2014 mit Version 2.5 . Ist das noch aktuell?

Hat vielleicht wer eine Empfehlung für eine bestimmte Software?

 

Alternativ gibt es ja auch komplett 3. Anbieter für Verschlüsselung. Kaspersky z.b. bietet es in seinem großen Packet mit an. Da gibt es aber noch viel mehr.

 

Habt ihr Erfahrung in die Richtung? Empfehlungen?

 

Kurz zu unserer Infrastruktur. Windows Domain, 50 Notebooks, manche Notebooks sind nur einmal alle halbe Jahre in der Firma.

 

Ich hoffe ihr könnt mir paar Tipps geben.

 

Gruß

Lindi

 

bearbeitet von lindi200000

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi,

vor 3 Minuten schrieb lindi200000:

Das einfachste wäre ja Bitlocker, aber mir fehlt es da irgendwie an Software für die zentrale Verwaltung.

Active Directory / GPO?

 

Gruß

Jan

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Bitlocker sollte man zusammen mit einem TPM & PIN einsetzen.

Hier gibt es dann eine feste (!) Pin. Wir die vergessen bzw. mehrfach falsch eingegeben, möchte der Bitklocker seinen Recovery-Key haben. Da gibt es kein anderes  "Notfall-Password".

Den kann man im AD speichern. Mit lokalen Admin-Rechten und einem erfolgreich gestarteten Gerät kann man die Verschlüsselung "anhalten" oder entfernen.

Das war es so ungefähr.

 

Von Mcafee gibt es z.B. Drive-Encryption, das wohl auch mit Bitlocker zusammenarbeitet. Was  dann "besser"  funktioniert, entzieht sich meiner Kenntnis:

https://kc.mcafee.com/corporate/index?page=content&id=KB79784

 

Ansonsten gibt es von ehemalig Utimaco  noch Safeguard:

 

https://www.sophos.com/de-de/products/safeguard-encryption.aspx

 

Damit kann man wohl einige der Anforderungen umsetzen. Ich mag die Software aber nicht.

Je komplexer eine Lösung  ist, desto mehr Angriffsfläche gibt es. Auch für den Admin, der irgendwas falsch konfigurieren könnte....

 

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich habe viel hin und her getestet und bin nun doch wieder bei Bitlocker angekommen :D

"Problem" stellst sich nur mit den wenigen Notebooks, die von mehreren Usern benutzt werden, die müssen sich den PIN untereinander teilen.

 

Ich hatte auch 3. Anbieter Software, wo die Verschlüsselungsanmeldung über das AD Konto geht, aber da bin ich am Ende bei den Kosten gescheitert, das Geld kann ich gut wo anders einsetzen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

in deinen ursprünglichen Anforderungen steht nichts von einer Pre-boot Authentication. Du könntest, sofern das zutrifft, also schlicht auf den PIN verzichten.

 

Bevor jetzt alle an die Decke gehen: Das ist ein typischer Fall, in dem man die Anforderungen genau klären muss. Bitlocker (oder eine andere Lösung) ohne PIN (aber mit TPM) sichert "Data at rest", also die Daten auf der abgeschalteten Platte. Bleibt die Platte im selben Gerät, kann jeder sie starten, dann geht der Schutzbedarf auf das laufende Windows über. Das kann ausreichen und es kann nicht ausreichen - das muss der TO klären.

 

Eine Methode, die Pre-Boot-Auth erfordert und gleichzeitig für wechselnde Anwender geeignet ist, wäre mir zumindest nicht bekannt. Mag sein, dass es welche gibt, aber ich vermute mal, dass es dann teuer wird.

 

Gruß, Nils

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo Nils,

 

ja diese Anforderung ist mir später bei meinen Tests dann auch erst aufgefallen.

Ein Produkt was es kann, ist z.B.: Kaspersky, aber das ist kosten technisch nicht gerade wenig.

Am Ende sind es aber nicht 100 Geräte wo mehrere User dran sind, sondern im einstelligen Bereich. Somit ist der Pin eher eine Organisatorische Angelegenheit. 

 

VG

Lindi

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Bei mehreren wechselnden Anwendern wird wohl über kurz oder lang der PIN irgendwo sehr deutlich auf dem Gerät angebracht. Ob das dann die Sicherheit verbessert?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo,

also ich freunde mich gerade immer mehr mit Bitlocker an, aber damit es ordentlich unter Win 10 funktioniert, braucht es noch ein paar GPO Einstellungen, die ich nicht finde oder diese gibt es gar nicht.

Win 10 hat ja eine schöne Option, die fast jeder gern benutzt: Energie sparen. Das Notebook ist aus und man kann es sehr schnell reaktivieren. Nur umgeht diese Option den Bitlocker Schutz.

Alternativ ist der Ruhezustand.

Nun zu meinem Problem. Wie kann ich etwa:

a) per GPO Energie sparen komplett deaktivieren und nur den Ruhezustand verfügbar machen (in Win 10 selber unter Energieoptionen geht das)

oder 

b) Energiesparen bleibt da, wenn das Notebook aber min 30 Minuten nicht aktiviert wurde, wechselt es von Energie sparen in den Ruhezustand.

 

Variante B hat den Vorteil, das der Mitarbeiter sein Notebook in Energiesparen schaltet, zu einem Meeting hingeht und es sofort wieder verfügbar hat. Wenn er zum Auto geht und zu einen Kunden fährt oder nach hause, dann ist die Zeit meist solang das es im Ruhezustand gelangt. 

 

Kann mir da wer einen Tipp geben, oder vielleicht könnt ihr mir aus euren Erfahrungen sagen wie ihr das so macht.

 

VG

Lindi

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wieso umgeht diese Option den Bitlockerschutz? Das sind zwei vollkommen verschiedene Ebenen und wenn ich meinen PC in den Ruhezustand setze, werde ich logischerweise nach der PIN gefragt. Wenn ich den PC nicht ausschalte, ist logischerweise Bitlocker freigeschaltet.

 

Bye

Norbert

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×