Bitlocker per GPO - Risiken

[noame]

Hallo,

welche Risiken birgt es wenn ich Bitlocker per GPO auf allen Rechnern in der Firma aktiviere?

Würde dies gern wie in folgendem Tutorial beschrieben machen:

http://accc.uic.edu/answer/how-do-i-configure-active-directory-store-bitlocker-recovery-information

Das Tutorial der Website nochmal als PDF im Anhang, falls dieses Website mal nichtmehr erreichbar ist.

Gruß und Dankeschön

 

Tutorial Bitlocker per GPO.pdf

[SilentDemise]

und warum willst du das?

[Gast Uhu]

vor 12 Stunden schrieb ddebrich:

welche Risiken birgt es wenn ich Bitlocker per GPO auf allen Rechnern in der Firma aktiviere?

Zumindest Generierung von Aufwand für den Support, wenn Leute Passwörter vergessen oder ihr Hardware an den Geräten wechseln müsst. Wisst ihr schon wie ihr damit umgeht? Wenn ihr sehr viele Mitarbeiter habt solltet ihr das vorher verproben (sollte man eigentlich immer, dann aber ganz besonders, da sich solche Fälle sehr schnell multiplizieren können).

Die Frage nach dem warum würde ich mir hier tatsächlich auch stellen. Notebooks verschlüsseln weil man nicht immer ins Firmennetz kommt keine Frage. Bei Workstations sollten wichtige Daten allerdings auf Netzlaufwerke gespeichert werden und nicht lokal. Workstations sind auch nicht derart Diebstahl gefährdet ...

Wenn ihr das nicht für Zertifizierungen braucht, dann ist eine Kostennutzenanalyse in jedem Fall ratsam.

Bearbeitet 8. Juli 2016 von Uhu

[Thanks-and-Goodbye]

Man beachte bitte auch, dass:

• Zusätzlich zum Bitlocker auch ein Suspend to RAM auf den Geräten deaktiviert werden muss, sonst werden Notebooks einfach nur zugeklappt und die ganze schöne Verschlüsselung ist für den Müll
• Bitlocker und TPM eine grosse Zicke vor dem Herrn sein können was die Bootreihenfolge betrifft. Mal den falschen USB Stick - nämlich bootfähigen - während des Bootvorganges am Gerät und man braucht den Wiederherstellungsschlüssel und eine administrative Entsperrung (Bitlocker anhalten, Gerät neu starten, Bitlocker wieder fortsetzen)
• Hardware und BIOS-Stand auf ALLEN Geräten muss auch passen. Ich kenne Konstellationen, bei denen die Eingabe des Bitlocker PINS an einem zugeklappten Notebook in der Dockingstation per USB-Tastatur und externem Bildschirm nicht möglich ist. Erst BIOS-Update am Notebook UND Firmwareupdate der Dockingstation brachten da Linderung.
• Änderungen von Rechnernamen sind ab sofort tabu. Rechner aus der Domain entfernen, umbenennen und neu in die Domain aufnehmen bedeutet, dass die TPMOwnerInformation im AD-Objekt des Rechners fehlen, wie auch der Bitlocker-Wiederherstellungsschlüssel. In so einem Fall MUSS das Gerät komplett entschlüsselt werden, das TPM gelöscht werden, TPM neu aktiviert werden und das Gerät neu verschlüsselt werden.

[noame]

vor 21 Stunden schrieb SilentDemise:

und warum willst du das?

Es sollen alle Laptops verschlüsselt werden da Mitarbeiter die Möglichkeit haben Laptops mit heim zu nehmen um von dort aus zu arbeiten.

Auf den Laptops liegen lokal Daten die nicht an unberechtigte dritte gelangen sollen, daher ist eine Verschlüsslung auf jedenfalls sinnvoll.

 

vor 19 Stunden schrieb Uhu:

Zumindest Generierung von Aufwand für den Support, wenn Leute Passwörter vergessen oder ihr Hardware an den Geräten wechseln müsst. Wisst ihr schon wie ihr damit umgeht? Wenn ihr sehr viele Mitarbeiter habt solltet ihr das vorher verproben (sollte man eigentlich immer, dann aber ganz besonders, da sich solche Fälle sehr schnell multiplizieren können).

Die Frage nach dem warum würde ich mir hier tatsächlich auch stellen. Notebooks verschlüsseln weil man nicht immer ins Firmennetz kommt keine Frage. Bei Workstations sollten wichtige Daten allerdings auf Netzlaufwerke gespeichert werden und nicht lokal. Workstations sind auch nicht derart Diebstahl gefährdet ...

Wenn ihr das nicht für Zertifizierungen braucht, dann ist eine Kostennutzenanalyse in jedem Fall ratsam.

Ist die "Überwachung" der Hardwareänderung am Gerät immer aktiv?

Lässt sich diese nicht deaktivieren und nur die Festplatte verschlüsseln, ohne das Hardwareänderungen (getäuschtes DVD-Laufwerk, angeschlossene USB-Geräte) zur gezwungenen Eingabe des Wiederherstellungsschlüssels führen?

 

@Chief Wiggum und natürlich auch alle anderen: Vielen Dank für die Mühe, ihr seid mir eine große Hilfe!

Im Betrieb werden Dockingstations verwendet. Wenn also der Mitarbeiter den PC zu Feierabend aus der Station entfernt und zu Hause ohne die Dockingstation verwendet ist dies eine Hardwareänderung die zur gezwungenen Schlüsseleingabe führt.

Somit wäre die "Hardwareüberwachung" sehr umpraktikabel.

Oder sehe ich das Falsch?

[Thanks-and-Goodbye]

Wo habe ich gesagt, dass das Entfernen eines Notebooks aus einer Dockingstation eine Bitlockersperre auslöst?

[noame]

vor 2 Minuten schrieb Chief Wiggum:

Wo habe ich gesagt, dass das Entfernen eines Notebooks aus einer Dockingstation eine Bitlockersperre auslöst?

Der Kommentar ging nicht an dich, sondern war eine allgemeine Frage.

Habe hier den Einschub 

vor 28 Minuten schrieb ddebrich:

@Chief Wiggum und natürlich auch alle anderen: Vielen Dank für die Mühe, ihr seid mir eine große Hilfe!

ein wenig ungünstig platziert, sorry.

[Thanks-and-Goodbye]

OK. Anders formuliert:

Niemand hat behauptet, dass das Entfernen eines Notebooks aus der Dockingstation eine Bitlockersperre auslöst - weil es eben so ist, dass Notebooks durchaus auch mit aktivem Bitlocker sowohl im Dock wie ausserhalb des Docks verwendet werden können.

Was problematisch ist: Austausch des Mainboards, da Bitlocker auf ein aktiviertes TPM zurückgreift.

---------------

Anmerkung am Rande: hohl dir einen externen Berater in die Firma, Bitlocker rollt man nicht mal so eben zwischen Tür und Angel aus.

[Gast Uhu]

Man müsste dann ggf. TPM vollständig deaktiveren. Ist natürlich dann leichter knackbar da die Integrität der Plattform dann keine Rolle mehr spielt...

[noame]

Ich kenn es aus der alten Firma so das eine kleinste Änderung an der Hardware (Beispiel USB-Stick wird vorm hochfahren eingesteckt) dazu führt das der Schlüssel eingegeben wird.

Daher frage ich inwiefern eine Dockingstation da mitwirkt und ob diese Funktion komplett deaktivierbar ist.

[Thanks-and-Goodbye]

Ein eingesteckter USB-Stick ist keine Änderung an der Hardware. Natürlich können Notebooks auch mit eingestecktem USB Stick und aktivem Bitlocker sauber hochfahren - wenn man sie richtig konfiguriert. Dass ein USB-Stick den Bitlocker beim Boot sperrt ist dann gegeben, wenn das Gerät zuerst versucht vom USB-Stick zu booten. Boot from USB darf halt nicht als erstes Bootdevice im BIOS stehen.

Die Fehlermeldung vom Bitlocker sagt das dann übrigens auch deutlich. Sollte man schon wissen, wenn man bereits Erfahrungen mit Bitlocker gemacht hat.

[noame]

Da ich keine weiteren Erfahrungen mit Bitlocker gemacht habe, außer den Schlüssel einzugeben, frage ich hier.

Es wäre nett wenn solche Kommentare in Zukunft einfach ausbleiben, da ich hier lediglich hilft suche.

Wenn ich Erfahrung mit dem Thema hätte würde ich nicht Fragen.

________________________________________________________________________________

Back to Topic:

Ich denke ich aktiviere Bitlocker mal testweise per GPO auf einem PC und probiere ein wenig rum was wann und wie passiert.

Danach kann ich besser Urteilen wie sich das Problem äußert oder vielleicht auch nicht.

 

Ich gebe dann hier mal Rückmeldung.

Bearbeitet 6. September 2017 von StefanE

[Gast Uhu]

vor einer Stunde schrieb ddebrich:

Ich kenn es aus der alten Firma so das eine kleinste Änderung an der Hardware (Beispiel USB-Stick wird vorm hochfahren eingesteckt) dazu führt das der Schlüssel eingegeben wird.

Daher frage ich inwiefern eine Dockingstation da mitwirkt und ob diese Funktion komplett deaktivierbar ist.

Mit einer Dockingstation sollte es im Regelfall keine Probleme geben. Ausnahmen gibt es natürlich ggf. wie Chief Wiggum an einem Beispiel darstellte. Im Normalfall kannst du das Notebook aber an- und abziehen wie du möchtest.

Es handelt sich hier nicht um eine Überwachungsfunktion, es ist viel mehr so, dass Bitlocker die Schlüssel bei aktivierten TPM über die Hardware "verteilt". Stimmt dann eine Hardwarekomponente nicht die daran beteiligt ist, passt der Schlüssel nicht mehr und du wirst zur Eingabe des Recovery-Keys gebeten. Möchtest du das deine Verschlüsselung ohne "Hardware-Verteilung" arbeitet, musst du wie gesagt TPM außen vor lassen bzw. deaktivieren. Das hat dann natürlich zur Folge, dass du gegen Kompromittierung der Hardware ("mitschnüffeln") nicht geschützt bist. Ob das überhaupt eine relevante Entscheidungsgröße für euer Unternehmen ist weiß ich nicht natürlich nicht.

Bearbeitet 9. Juli 2016 von Uhu

[noame]

Hätte da noch eine Frage bezüglich des TPMs:

Das TPM ist Standardmäßig im BIOS deaktiviert. Ich muss also jeden PC herunterfahren und im BIOS das TPM manuell aktivieren.

Gibt es eine andere Möglichkeit?

Eine Möglichkeit das TPM per Remote zu aktivieren ohne das der Nutzer gestört wird.

[SilentDemise]

On 7/9/2016 at 5:18 PM, ddebrich said:

Es sollen alle Laptops verschlüsselt werden da Mitarbeiter die Möglichkeit haben Laptops mit heim zu nehmen um von dort aus zu arbeiten.

Auf den Laptops liegen lokal Daten die nicht an unberechtigte dritte gelangen sollen, daher ist eine Verschlüsslung auf jedenfalls sinnvoll.

 

Und hier geht das elend dann los. Ich persönlich, bin da ein Fan von der Trennung - Verschlüsselung mittels TPM nur für die C: Platte, Verschlüsselung der Datenpartition mittels Zertifikaten (abgesichert durch smartcards)

Dateien an unberechtigte Dritte zu verlieren hört nicht bei Plattenverschlüsselung auf, hier wäre eher was Richtung Microsoft RMS die sinnvolle Wahl.