Mo - Fr – 08:00 - 16:00

Tel: +49 6151 629 169 0

Hilpertstr. 20, 64295 Darmstadt

Festplattenverschlüsselung

Microsofts BitLocker Technologie ist eine sichere Lösung und praktischerweise bereits in Windows 10 integriert.
Für die Herausforderungen im Unternehmenseinsatz gibt es verschiedene Lösungsansätze – wir zeigen Ihnen welche!

BitLocker Festplattenverschlüsselung unter Windows 10

Die Herausforderung:

Eine Festplatte nach den bekannten Regeln der Kunst sicher verschlüsseln

 

UND GLEICHZEITIG

 

eine hohe Verfügbarkeit insbesondere mobiler Arbeitsplätze sicherstellen -

bei minimalem administrativen Aufwand!

Festplatten-Verschlüsselung mit
BitLocker + SecureDisk

Mit Sicherheit das Richtige tun!

Image

Gestohlene oder verlorene mobile oder stationäre Endgeräte führen immer wieder zu großen Datenverlusten und Imageschäden, letzteres insbesondere, wenn sie der Presse bekannt werden (u.U. sind Sie sogar zu einer Veröffentlichung verpflichtet).

Eine Festplattenverschlüsselung sichert Ihren Wettbewerbsvorsprung sowie das Vertrauen Ihrer Kunden und Geschäftspartner.

Bei der Wahl einer solchen Lösung müssen Unternehmen und Behörden stets auf maximale Sicherheit, höchste Benutzertransparenz und eine effiziente Administrierbarkeit achten. Lösungen, bei denen die Anwender in ihrer Arbeit eingeschränkt oder gestört werden, finden selten Akzeptanz.

Wir zeigen Ihnen gerne, wie Sie eine sichere Lösung mit hohem Nutzen einführen und Ihre Unternehmensrichtlinien und gesetzliche Anforderungen schnell und konsequent durchsetzen können.

Nehmen Sie einfach Kontakt zu uns auf.

Die „Gretchenfrage“:
Komfortabel ODER sicher?

In Bezug auf den Einsatz der Microsoft Festplattenverschlüsselung BitLocker in Unternehmensumgebungen gibt es diverse Herausforderungen.

Da ist zum einen der grundsätzliche Bedarf verschlüsselte Geräten verwalten zu können.
Hierbei können durchaus schon die Microsoft eigenen Bordmittel unterstützen.

Zum anderen ist es i. d. R. hilfreich, wenn ein Rechner nach einem Reboot selbständig wieder hochfährt, d. h. ohne, dass ein Benutzer manuell eingreifen muss.

Außerdem sollte es ein sicheres und einfaches Verfahren für den Fall geben, dass ein Anwender sein Passwort für den TPM PIN vergessen hat (benötigt die Microsoft Implementierung von BitLocker zur sicheren Festplattenverschlüsselung), und noch wichtiger:

Es sollte eine einfache Möglichkeit zur Wiederherstellung eines vergessenen Windows-Passworts geben – und zwar auch für den Fall, wenn sich das Endgerät NICHT in der lokalen Unternehmensumgebung befindet – Stichwort: Home-Office!

 

Die „Gretchenfrage“: Komfortabel oder sicher?

 

Die Microsoft-Bordmittel kommen allerdings spätestens dann an ihre Grenzen, wenn es um maximale Sicherheit auf der einen, und Komfort (= minimale Betriebskosten) auf der anderen Seite ankommt, und wann tut es das nicht?

Wenn die TPM PIN-Abfrage eingeschaltet ist (maximale Sicherheit), und z. B. im Rahmen einer Patch-Installation der Rechner einen Neustart durchführen muss, fährt der Rechner nur dann wieder hoch, wenn ein Anwender davor sitzt und manuell die TPM-PIN eingibt.

Das ist im Einzelfall natürlich eine Möglichkeit, aber in großen Umgebungen … eher suboptimal.

Bei einem mobilen Einsatz von Endgeräten wird es insbesondere dann schwierig, wenn der Anwender sein Windows Anmeldepasswort vergessen hat.

Er muss sich ja ohnehin schon zwei Passwörter merken, nämlich das für die TPM PIN-Abfrage, und das für die Anmeldung an Windows.

Spätestens wenn der Anwender sein Windows Anmeldepasswort vergessen hat, kann er sich nicht mehr an seinem System anmelden, d. h. er kann nicht arbeiten und ist damit unproduktiv.

 

Abschalten der TPM PIN … ist das wirklich eine gute Idee?

 

Viele Unternehmen deaktivieren aus diesen Gründen gerne mal die TPM PIN-Abfrage.

Aber dadurch wird das System sehr leicht angreifbar (ein solches System kann innerhalb weniger Minuten durch einen versierten Laien gehackt werden) und ist dann auch nicht mehr DSGVO-konform!

Aber selbst bei Abschaltung der TPM PIN-Abfrage bleibt das Problem mit dem vergessenen Windows Anmeldepasswort. Ohne dass das entsprechende Endgerät ins Office gebracht und in das dortige LAN gehängt wird, kann das Passwort nicht mehr zurückgesetzt werden (ohne Anmeldung an Windows kann auch keine im Home-Office ansonsten mögliche VPN-Verbindung ins Office aufgebaut werden).

 

"Secure Disk": BitLocker komfortabel UND sicher!

 

Eine einzige Authentisierung (Passworteingabe) während der Pre-Boot Phase ermöglicht einerseits den sicheren Zugriff auf die Daten der Festplatte  bei GLEICHZEITIGER benutzerfreundlicher Anmeldung an Windows  ohne irgendein Passwort erneut eingeben zu müssen!

Hat der Benutzer sein (einziges) Passwort vergessen, unterstützt eine ebenso sichere wie bequeme Offline Help-Desk Funktionalität beim Zurücksetzen des Passworts, der Rechner muss dafür nicht ins Office zurückgebracht werden, d. h. der entsprechende Mitarbeiter ist sehr schnell wieder arbeitsfähig!

BitLocker + SecureDisk:
Komfortabel UND sicher

BitLocker im Unternehmenseinsatz

  Keine zusätzlichen Kosten für FileDiskEncryption-Lösungen
     (sofern Enterprise Windows 7 Lizenz, bzw. Windows 10)

  Integraler Bestandteil von Windows
     (stabile, schnelle und robuste Integration ins Betriebssystem)

√  Kompatibilität: Nähe von Microsoft zur Hardware-Industrie

  Zukunftssicherer Investitionsschutz (Windows 10, …)

  Standardisierung der IT Umgebung

  Keine Hardware-Abhängigkeit

  Keine Export- bzw. Import-Restriktionen
»Ausnahme: TPM in Russland und China …

  Kompatibel zu Windows 10 Inplace Updates

  Gute Argumente für den Vorstand

Einschränkungen BitLocker native

  Wiederherstellungsfall: Herausgabe des nativen BitLocker

     Wiederherstellungsschlüssels notwendig

  Kein Multi-User-Betrieb möglich (nur Maschinen Kennwort)

  Kein Challenge/Response für vergessene TPM-PIN

  Doppelte Anmeldung (Geräte PIN und Windows-Anmeldung)

  Kein Smartcard- bzw. Token-Support für die Startpartition

  Keine Anmeldung mit Name und Passwort möglich

  Umständliche Softwareverteilung (Wake-on-LAN, Reboots etc.)

  Kein offline Help-Desk für vergessene Passworte oder blockiertes

    TPM

  Keine PIN- bzw. Passwort-Richtlinien für TPM

  Eingeschränkte zentrale Administration

  Kein automatischer Wiederanlauf, wenn BitLocker gestoppt

     wurde (sicherheitskritisch)

  Kein Network Unlock unter Windows 7

Lösungen von Cryptware

Secure Disk for BitLocker

Zentrales Management für BitLocker Umgebungen

Inkl. Umfassender PreBoot-Authentisierung

Viele Unternehmen werden zukünftig, insbesondere in Verbindung mit Windows 10, Microsoft BitLocker einsetzen, und sehen sich dabei mit zusätzlichen Anforderungen konfrontiert, um einen reibungslosen Betrieb im professionellen und heterogenen Umfeld gewährleisten zu können.

Weiterhin fordert die EU DSGVO den bestmöglichen Schutz von Daten, Unternehmen müssen ihre IT-Security diesen Regelungen anpassen.

CryptoPro Secure Disk for BitLocker ist eine Erweiterung für BitLocker, die es Kunden erlaubt, ihre bisherigen etablierten Authentisierungsmethoden (User-ID/Passwort, Biometrie, Smartcard/PIN), Helpdesk-Szenarien und Softwareverteil-Prozesse weiterhin in gewohnter Weise abbilden zu können!

Funktionen von CryptPro "Secure Disk for BitLocker"

  • BitLocker PreBoot-Authentisierung (PBA)
  • Multi-User Support in der PBA
  • Authentisierung mit User-ID und Passwort in der PBA
  • Entfall der Doppelanmeldung durch optionales Single SignOn an Windows
  • Smartcard- und Smartcard-Reader -Support in der PBA
  • Smartphone Authentisierung / Self Service (2-Faktor-Alternative)
  • Helpdesk in der PBA (Challenge-Response Verfahren, keine Wiederherstellungsschlüssel)
  • Betriebskonzept „ohne“ Recovery Keys
  • Netzwerkfähigkeit in der PBA
  • Recovery-Key's werden in zentraler Datenbank verwaltet
  • Wake-on-LAN Support für gesicherte Softwareverteilung
  • Sicherer Betrieb auch ohne TPM und ohne USB-Stick möglich (Russland, China)
  • Friendly Network Mode – sicherer Betrieb ohne PBA, auch mit WLAN und 802.1x Support
  • Automatisierte Softwareverteilung ohne TPM Einschränkungen
  • 802.1x Support für sichere Hardware Authentisierung
  • Unterstützung von 22 Landessprachen für die Benutzerdialoge
  • Support von Tablets mit Touchpad
  • In-place upgrade Unterstützung von Windows 10
  • Single SignOn ans Betriebssystem
  • Recovery-Keys werden in zentraler Datenbank verwaltet
  • Wake-on-LAN Support für gesicherte Softwareverteilung
  • Automatischer Wiederanlauf und Aktivierung, wenn BitLocker angehalten wurde
  • Zeitgesteuerter ShutDown in der PBA
  • Zeitgesteuerte Netzwerkentsperrung für Softwareverteilung außerhalb der Bürozeiten
  • Mandantenfähige zentrale Management-Konsole
  • Reduzierung der operativen Kosten im HelpDesk und bei der Softwareverteilung
  • Integrierte Ausfallsicherheit und Lastverteilung der Management-Konsole
  • Und vieles mehr – Demo anfordern

Besonderheiten beim Rollout des Secure Disk Agents

  • Einfache Client-Installation ohne Veränderungen an der bestehenden BitLocker Verschlüsselung
  • Installationsdauer des Agents ca. 3 Minuten
Secure Disk for Enterprise

PreBoot-Authentisierung

mit eigener AES 256 Verschlüsselung

CryptoPro Secure Disk schützt Ihre Daten durch eine transparente und sichere Verschlüsselung auf Basis anerkannter und geprüfter Verschlüsselungsalgorithmen und stellt flexible gesicherte Authentisierungsmethoden für die Endanwender zur Verfügung.

Eine Festplattenverschlüsselung sichert Ihren Wettbewerbsvorsprung sowie das Vertrauen Ihrer Kunden und Geschäftspartner.

Bei der Wahl einer solchen Lösung müssen Unternehmen stets auf maximale Sicherheit, höchste Benutzertransparenz und eine effiziente Administrierbarkeit achten. Lösungen, bei denen die Anwender in ihrer Arbeit eingeschränkt oder gestört werden, finden selten Akzeptanz.

Wir zeigen Ihnen gerne, wie Sie eine sichere Lösung mit hohem Nutzen einführen, und Ihre Unternehmensrichtlinien und gesetzliche Anforderungen schnell und konsequent durchsetzen können.

Mehr und mehr etabliert sich, die in Windows integrierte, "BitLocker  Drive Encryption" als De facto Standard für die Verschlüsselung von Notebooks und Desktops.

Für Kunden, die nicht im Besitz einer Windows 7 Ultimate oder Windows Enterprise Lizenz sind, oder auf den Einsatz US-amerikanischer Verschlüsselungstechnologie verzichten möchten, bieten wir die Lösung CryptoPro Secure Disk Enterprise mit eigenem integrierten AES256 an.

BitLocker Administration: Bordmittel oder 3rd Party Tools?

Die Komponenten CryptoPro Secure Disk for BitLocker und Microsoft MBAM können Ergänzungen zueinander sein, erfüllen jedoch unterschiedliche Aufgabenstellungen.

Die Hauptaufgabe von Secure Disk ist die Benutzerauthentisierung und Help-Desk Funktionen, mittels einer eigenen BitLocker integrierten PreBoot-Technologie (PBA). In der PBA werden unterschiedliche Authentisierungsmethoden wie Name/Passwort (Windows credentials), Smartcard/Zertifikat, Biometrie und das Smartphone unterstützt.

Zusätzlich stehen dem Anwender umfängliche Help-Desk Mechanismen zur Verfügung, wenn er seine Authentisierung credentials vergessen hat, damit er im offline Betrieb jederzeit an seine Daten gelangen kann. Mit der zentralen Management-Komponente werden Security Policies für die Endgeräte und deren Zuordnung auf Maschinen erstellt und verteilt.

MBAM konzentriert sich auf die zentrale Administration der BitLocker-Einstellungen, deren Verteilung, Überwachung und der Zuordnung unterschiedlicher Administrations-Rollen. Des Weiteren liegt ein Hauptbestandteil in dem Management des TPM und der Recovery-Key ́s in Verbindung mit BitLocker. Die nachfolgende Darstellung gibt einen Überblick über die aktuellen Funktionen beider Technologien.

Sichere Anmeldung an BitLocker/Windows per Smartphone

CryptWare´s „Secure Disk Authenticator-App“ ermöglicht nun die Anmeldung an BitLocker und Windows per Smartphone.
Das erhöht die Sicherheit und vereinfacht die Anmeldung.

Mit der APP Secure Disk Authenticator gibt es jetzt eine moderne und innovative Zwei-Faktor Authentisierung (Besitz und Wissen), ohne dass am PC/Laptop weitere Geräte zur Authentisierung angeschlossen bzw. verfügbar sein müssen, wie z. B. bei der Smartcard-Anmeldung – Lesegerät und Karte.

CryptWare verlagert damit die Authentifikation – weg vom Wissen über das Kennwort, hin zu einem komplett anderen Gerät.

Die Kommunikation zwischen dem Smartphone und Secure Disk geschieht verschlüsselt und ist mit AES 256 abgesichert.

Dieser Service steht ab sofort bereit (5/2018, bzw. Secure Disk 6.0).

Die APP steht separat im IOS und Android Store zur Verfügung.

Zentral verwaltete Offline-Anti-Viren-Lösung

Zentral verwaltete Offline-Anti-Viren-Lösung

Viren werden immer raffinierter und intelligenter.

Ihre Entwicklung geschieht im professionellen Umfeld, finanzielle Mittel und qualifiziertes Personal stehen ausreichend zur Verfügung. Ein Ziel des Schädlings ist es, neben seiner eigentlichen Aufgabe, für die er entwickelt wurde, vom Virenscanner unentdeckt zu bleiben oder sich erneut zu aktivieren, wenn er „entfernt“ wurde.

Die meisten Antivirus-Hersteller bieten ihren Kunden einen bootfähigen Notfall-USB-Stick an, der es erlaubt Schädlinge zu entfernen, auch wenn der Rechner nicht mehr lauffähig ist, oder sich der Schädling im laufenden Windows Betriebssystem nicht entfernen lässt. Hierzu wird über das externe Medium (CD oder USB-Stick) der lokale Rechner mit einem Linux-basierenden Betriebssystem gebootet und der Virenscanner gestartet. Dank integrierter Updatefunktion ist der Virenscanner, bevor er seine Arbeit beginnt, auf dem aktuellen Stand der Virensignaturen.

 

Diese Methode, infizierte Rechner oder Daten zu retten, ist oftmals der letzte Rettungsanker!

Des Weiteren ist diese Methode die einzige, Viren zu entfernen, die sich selbst wiederherstellen, da sie sich in gesperrten, nicht löschbaren Dateien befinden oder sich als Systemdienst eingetragen haben. Die Stealth-Viren (Tarnkappen-Viren) versuchen ihre Entdeckung systematisch zu verhindern. So können sie sich z. B. vor einem Virenscan selbst aus der Datei entfernen und infizieren diese Datei nach der Überprüfung erneut. Das Gleiche gilt für Rootkits, Programme, die sich im System verstecken und dem Virenscanner das Bild eines nicht infizierten Rechners vorspiegeln.

Da die Anwendung der „Rescue CD/Stick“ von einem lokalen Booten des Rechners über ein externes Medium ausgeht, ist dies zwar für einzelne Rechner eine brauchbare Lösung, nicht jedoch für eine großflächige Überprüfung im Enterprise Umfeld.

Der Wunsch nach einer zeitgesteuerten, zentral administrierbaren Lösung liegt auf der Hand, um den nachfolgenden Fragestellungen gerecht zu werden:

  • Wie sieht das Notfall-Szenario aus, wenn 5.000 oder 50.000 oder > 100.000 … Rechner infiziert sind?
  • Ist es logistisch und technisch möglich, alle Rechner in allen Lokationen und Landesorganisationen lokal zu booten und zu scannen?
  • Was geschieht nach dem Booten, wenn die Festplatte mit Bitlocker verschlüsselt ist?

Secure Disk DesInfect ist ein zentral gemanagtes Boot-System mit integrierter Antivirus Scan-Engine, welches auf der lokalen Festplatte des Endgerätes installiert wird.

Secure Disk DesInfect kann über Wake-on-LAN oder über die Managementkonsole gesteuert, gestartet und administriert werden. Hierbei wird das Linux-basierte System auf der Festplatte gestartet und nimmt zunächst, über einen geschützten Kanal, Kontakt mit dem Management-Server auf, um sich dort die aktuellen Virensignaturen abzuholen.

CryptWare setzt bei der integrierten Scan-Engine auf etablierte Antivieren-Hersteller des Marktes. Die in Secure Disk DesInfect integrierte BitLocker-Protektor-Technologie erlaubt nun den Zugriff auf das BitLocker Schlüsselmaterial und der Virenscanner ist in der Lage die BitLocker verschlüsselte Festplatte zu scannen.

Vorteile von Secure Disk DesInfect

  • Virus-Scan der Festplatte nach Linux-PreBoot bei nicht aktivem Windows
  • Erkennung von Schädlingen, die sich bei aktivem Windows verstecken oder wieder aktivieren
  • Zeitgesteuerter Start einer Virensuche (Full-Scan) über Wake-on-LAN oder Aktivierung über die Management-Konsole
  • Zentrales Management (welches Endgerät, welche OUs, welche virtuelle OUs)
  • Erhöhung der Sicherheit durch die Verwendung einer zweiten Scan-Engine
  • PreBoot basierter Virus-Scan von BitLocker verschlüsselten Festplatten
  • Unterstützung verschiedener Antivirus Anbieter (Scan Engine) möglich

Funktionen von Secure Disk DesInfect

  • Scannen von BitLocker verschlüsselten Festplatten bei inaktivem Windows
  • Zentrale Administration der Policy
  • Zentrales Dashboard für die Ansicht der Scan-Ergebnisse
  • Zentrales Auswahl der Rechner, die gescannt werden sollen
  • Direkter Start des Scan-Vorganges über Management-Konsole
  • Policy für gefundene Viren (verschieben in Quarantäne, Report only, usw.)

Kundenanforderungen

BitLocker nativ

PreBoot Authentisierung mit Name/Passwort

Nein, nur Maschine (TPM-PIN)

PreBoot Authentisierung mit  Smartcard/Zertifikat

Nein

Multi-User-fähige PreBoot-Authentisierung

Nein, TPM-PIN immer gleich

Single SignOn „PBA an Betriebssystem“

Nein

Rollentrennung: IT-Admin. und Security-Admin.

Nein

Zentrale Administration

Nein, nur mit Zusatzprodukt

Offline HelpDesk für vergessene Windows-Passworte

Nein

Challenge/Response HelpDesk (Einmal-Passworte)

Nein, nur Recovery-Key (= Security-Problem)

Störungsfreier Betrieb und - Softwareverteilung

Nein, TPM schränkt ein und behindert

Statusreport der Verschlüsselung (Compliance)

Nein, nur mit Zusatzprodukt

Schneller Festplattentausch (HD in Neugerät)

Nein, TPM verhindert dies

Recovery Key´s nicht im AD speichern

Nein, nur mit Zusatzprodukt

Network Unlock mit WLAN und 802.1x (NAC)

Nein, nur kabelgebunden (ab Windows 8.x)

Sicherer Betrieb auch ohne TPM möglich

(China, Russland: TPM is restricted by law)

Nein

Virtuelle Tastatur für Tablets in der PBA

Nein

Mandantenfähigkeit

(unterschiedliche Administratoren, pro Rechner, pro OU)

Nein

Schutz vor unberechtigtem BitLocker suspend

Nein

Barrierefreiheit (Sprachausgabe in der PBA)

Nein

Smartcard-Middleware 

Um eine Smartcard auf einem PC nutzen zu können, ist eine Smartcard-Middleware notwendig.

Dabei handelt es sich um einen Connector, der die Smartcard mit einer Anwendung verbindet.

Der Kern einer Smartcard-Middleware ist ein Treiber, der gegenüber der Anwendung eine Krypto-Schnittstelle zur Verfügung stellt, und diese gegenüber der Karte auf elementare Befehle abbildet.

Für die Kunden ist diese Middleware eine elementare Software, da sie sich nicht auf eine Smartcard oder einen Smartcard-Leser festlegen können, und bei einem Wechsel auf eine andere Smartcard keine Änderungen oder Anpassungen an ihren Applikationen vornehmen möchten.

Demnach wird eine Middleware gesucht, die alle gängigen heutigen und zukünftigen Smartcards und Leser mit ihren, teilweise individuellen Profilen, unterstützt.


Je breiter die Middleware aufgestellt ist, (unterschiedliche Smartcards, Profile, unterstützte Betriebssysteme, Leser-Varianten etc.) und je besser die Wahl der System-Architektur, desto unproblematischer ist der Betrieb und eine Migration auf Nachfolgesysteme.

Unsere Smartcard Middleware gehört zu den umfangreichsten Adaptionen des gesamten Marktes! 

logo.png
Wir managen Windows Endgeräte –
professionell - sicher - kostengünstig

Hilpertstr. 20
D-64295 Darmstadt
info@softtailor.de
© Copyright 2022 SOFTTAILOR GmbH