Jump to content

Notebooks verschlüsseln


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich bin auf der Suche wie ich in unserer Firma am effektivsten die Notebooks verschlüsseln kann.

Notebooks haben alle Win 10 Prof.

Voraussetzung sind eigentlich "nur":

  • eine zentrale Verwaltungsmöglichkeit
  • dem User ein Notfall Passwort geben, auch wenn er nicht im Netzwerk aktuell ist
  • Jederzeit die Möglichkeit zu haben über einen "höheren" Account (Admin), die Verschlüsselung rückgängig machen zu können

 

Das einfachste wäre ja Bitlocker, aber mir fehlt es da irgendwie an Software für die zentrale Verwaltung. Microsoft bietet MBAM an, aber wenn ich danach Google, bekomme ich Beiträge mit Downloads von 2014 mit Version 2.5 . Ist das noch aktuell?

Hat vielleicht wer eine Empfehlung für eine bestimmte Software?

 

Alternativ gibt es ja auch komplett 3. Anbieter für Verschlüsselung. Kaspersky z.b. bietet es in seinem großen Packet mit an. Da gibt es aber noch viel mehr.

 

Habt ihr Erfahrung in die Richtung? Empfehlungen?

 

Kurz zu unserer Infrastruktur. Windows Domain, 50 Notebooks, manche Notebooks sind nur einmal alle halbe Jahre in der Firma.

 

Ich hoffe ihr könnt mir paar Tipps geben.

 

Gruß

Lindi

 

bearbeitet von lindi200000
Link zu diesem Kommentar

Bitlocker sollte man zusammen mit einem TPM & PIN einsetzen.

Hier gibt es dann eine feste (!) Pin. Wir die vergessen bzw. mehrfach falsch eingegeben, möchte der Bitklocker seinen Recovery-Key haben. Da gibt es kein anderes  "Notfall-Password".

Den kann man im AD speichern. Mit lokalen Admin-Rechten und einem erfolgreich gestarteten Gerät kann man die Verschlüsselung "anhalten" oder entfernen.

Das war es so ungefähr.

 

Von Mcafee gibt es z.B. Drive-Encryption, das wohl auch mit Bitlocker zusammenarbeitet. Was  dann "besser"  funktioniert, entzieht sich meiner Kenntnis:

https://kc.mcafee.com/corporate/index?page=content&id=KB79784

 

Ansonsten gibt es von ehemalig Utimaco  noch Safeguard:

 

https://www.sophos.com/de-de/products/safeguard-encryption.aspx

 

Damit kann man wohl einige der Anforderungen umsetzen. Ich mag die Software aber nicht.

Je komplexer eine Lösung  ist, desto mehr Angriffsfläche gibt es. Auch für den Admin, der irgendwas falsch konfigurieren könnte....

 

 

 

Link zu diesem Kommentar
  • 3 Wochen später...

Ich habe viel hin und her getestet und bin nun doch wieder bei Bitlocker angekommen :D

"Problem" stellst sich nur mit den wenigen Notebooks, die von mehreren Usern benutzt werden, die müssen sich den PIN untereinander teilen.

 

Ich hatte auch 3. Anbieter Software, wo die Verschlüsselungsanmeldung über das AD Konto geht, aber da bin ich am Ende bei den Kosten gescheitert, das Geld kann ich gut wo anders einsetzen.

Link zu diesem Kommentar

Moin,

 

in deinen ursprünglichen Anforderungen steht nichts von einer Pre-boot Authentication. Du könntest, sofern das zutrifft, also schlicht auf den PIN verzichten.

 

Bevor jetzt alle an die Decke gehen: Das ist ein typischer Fall, in dem man die Anforderungen genau klären muss. Bitlocker (oder eine andere Lösung) ohne PIN (aber mit TPM) sichert "Data at rest", also die Daten auf der abgeschalteten Platte. Bleibt die Platte im selben Gerät, kann jeder sie starten, dann geht der Schutzbedarf auf das laufende Windows über. Das kann ausreichen und es kann nicht ausreichen - das muss der TO klären.

 

Eine Methode, die Pre-Boot-Auth erfordert und gleichzeitig für wechselnde Anwender geeignet ist, wäre mir zumindest nicht bekannt. Mag sein, dass es welche gibt, aber ich vermute mal, dass es dann teuer wird.

 

Gruß, Nils

 

Link zu diesem Kommentar

Hallo Nils,

 

ja diese Anforderung ist mir später bei meinen Tests dann auch erst aufgefallen.

Ein Produkt was es kann, ist z.B.: Kaspersky, aber das ist kosten technisch nicht gerade wenig.

Am Ende sind es aber nicht 100 Geräte wo mehrere User dran sind, sondern im einstelligen Bereich. Somit ist der Pin eher eine Organisatorische Angelegenheit. 

 

VG

Lindi

Link zu diesem Kommentar

Hallo,

also ich freunde mich gerade immer mehr mit Bitlocker an, aber damit es ordentlich unter Win 10 funktioniert, braucht es noch ein paar GPO Einstellungen, die ich nicht finde oder diese gibt es gar nicht.

Win 10 hat ja eine schöne Option, die fast jeder gern benutzt: Energie sparen. Das Notebook ist aus und man kann es sehr schnell reaktivieren. Nur umgeht diese Option den Bitlocker Schutz.

Alternativ ist der Ruhezustand.

Nun zu meinem Problem. Wie kann ich etwa:

a) per GPO Energie sparen komplett deaktivieren und nur den Ruhezustand verfügbar machen (in Win 10 selber unter Energieoptionen geht das)

oder 

b) Energiesparen bleibt da, wenn das Notebook aber min 30 Minuten nicht aktiviert wurde, wechselt es von Energie sparen in den Ruhezustand.

 

Variante B hat den Vorteil, das der Mitarbeiter sein Notebook in Energiesparen schaltet, zu einem Meeting hingeht und es sofort wieder verfügbar hat. Wenn er zum Auto geht und zu einen Kunden fährt oder nach hause, dann ist die Zeit meist solang das es im Ruhezustand gelangt. 

 

Kann mir da wer einen Tipp geben, oder vielleicht könnt ihr mir aus euren Erfahrungen sagen wie ihr das so macht.

 

VG

Lindi

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...