BitLocker Festplattenverschlüsselung unter Windows 10
Und hier die Herausforderung:
Eine Festplatte nach den bekannten Regeln der Kunst sicher verschlüsseln -
UND GLEICHZEITIG eine hohe Verfügbar insbesondere mobiler Arbeitssplätze sicher stellen - bei minimalem administrativen Aufwand!
In Bezug auf den Einsatz der Microsoft Festplattenverschlüsselung BitLocker in Unternehmensumgebungen gibt es diverse Herausforderungen.
Da ist zum einen der grundsätzliche Bedarf verschlüsselte Geräten verwalten zu können.
Hierbei können durchaus schon die Microsoft eigenen Bordmittel unterstützen.
Zum anderen ist es i.d.R. hilfreich, wenn ein Rechner nach einem Reboot selbständig wieder hochfährt, d.h. OHNE dass ein Benutzer manuell eingreifen muss.
Außerdem sollte es ein sicheres und einfaches Verfahren für den Fall geben, dass ein Anwender sein Passwort für den TPM PIN vergessen hat (benötigt die Microsoft Implementierung von Bitlocker zur sicheren Festplattenverschlüsselung), und noch wichtiger: Es sollte eine einfache Möglichkeit zur Wiederherstellung eines vergessenen Windows-Passworts geben - und zwar auch für den Fall, wenn sich das Endgerät NICHT in der lokalen Unternehmensumgebung befindet - Stichwort:Home-Office!
Die "Gretchenfrage": Komfortabel oder sicher?
Die Microsoft-Bordmittel kommen allerdings spätestens dann an ihre Grenzen, wenn es um maximale Sicherheit auf der einen, und Komfort (= minimale Betriebskosten) auf der andere Seite ankommt, und wann tut es das nicht?!
Wenn die TPM PIN-Abfrage eingeschaltet ist (maximale Sicherheit), und z.B. im Rahmen einer Patch-Installation der Rechner einen Neustart durchführen muss, fährt der Rechner nur dann wieder hoch, wenn ein Anwender davor sitzt und manuell den TPM-PIN eingibt.
Das ist im Einzelfall natürlich eine Möglichkeit, aber in großen Umgebungen ... eher sub-optimal.
Bei einem mobilen Einsatz von Endgeräten wird es insbesondere dann schwierig, wenn der Anwender sein Windows Anmeldepasswort vergessen hat.
Er muss sich ja ohnehin schon zwei Passwörter merken, nämlich das für die TPM PIN-Abfrage, und das für die Anmeldung an Windows.
Spätestens wenn der Anwender sein Windows Anmelde-Passwort vergessen hat, kann er sich nicht mehr an seinem System anmelden, d.h er kann nicht arbeiten und ist damit unproduktiv.
Abschalten der TPM PIN ... ist das wirklich eine gute Idee?
Viele Unternehmen deaktivieren aus diesen Gründen gerne mal die TPM PIN-Abfrage.
Aber dadurch wird das System sehr leicht angreifbar (ein solches System kann innerhalb weniger Minuten durch einen versierten Laien gehackt werden), und ist dann auch nicht mehr DSGVO konform!
Aber selbst bei Abschaltung der TPM PIN-Abfrage bleibt das Problem mit dem vergessenen Windows Anmelde-Passwort. Ohne dass das entsprechende Endgerät ins Office gebracht und in das dortige LAN gehängt wird, kann das Passwort nicht mehr zurückgesetzt werden (ohne Anmeldung an Windows kann auch keine im Home-Office ansonsten mögliche VPN Verbindung ins Office aufgebaut werden).
"Secure Disk": Bitlocker komfortabel UND sicher!
Eine einzige Authentisierung (Passworteingabe) während der Pre-Boot Phase ermöglicht einerseits den sicheren Zugriff auf die Daten der Festplatte - bei GLEICHZEITIGER benutzerfreundlicher Anmeldung an Windows - ohne irgendein Passwort erneut eingeben zu müssen!
Hat der Benutzer sein (einziges) Passwort vergessen, unterstützt eine ebenso sichere wie bequeme Off-Line Help-Desk Funktionalität beim Zurücksetzen des Passworts, der Rechner muss dafür nicht ins Office zurückgebracht werden, d.h. der entsprechende Mitarbeiter ist sehr schnell wieder arbeitsfähig!
Unsere Lösung: Secure Disk von CryptWare
Secure Disk for BitLocker
Zentrales Management für BitLocker Umgebungen
Inkl. umfassender PreBoot-Authentisierung
Viele Unternehmen werden zukünftig, insbesondere in Verbindung mit Windows 10, Microsoft BitLocker einsetzen, und sehen sich dabei mit zusätzlichen Anforderungen konfrontiert, um einen reibungslosen Betrieb im professionellen und heterogenen Umfeld gewährleisten zu können.
Weiterhin fordert die EU DSGVO den bestmöglichen Schutz von Daten, Unternehmen müssen ihre IT Security diesen Regelungen anpassen.
CryptoPro Secure Disk for BitLocker ist eine Erweiterung für Bitlocker, die es Kunden erlaubt, ihre bisherigen etablierten Authentisierungsmethoden (User-ID/Passwort, Biometrie, Smartcard/PIN), HelpDesk-Szenarien und Softwareverteil-Prozesse weiterhin in gewohnter Weise abbilden zu können!
Funktionen von CryptPro "Secure Disk for BitLocker"
- BitLocker PreBoot-Authentisierung (PBA)
- Multi-User Support in der PBA
- Authentisierung mit User-ID und Passwort in der PBA
- Entfall der Doppelanmeldung durch optionales Single SignOn an Windows
- Smartcard- und Smartcard-Reader -Support in der PBA
- Smartphone Authentisierung / Self Service (2-Faktor-Alternative)
- Helpdesk in der PBA (Challenge-Response Verfahren, keine Wiederherstellungsschlüssel)
- Betriebskonzept „ohne“ Recovery Keys
- Netzwerkfähigkeit in der PBA
- Recovery-Key´s werden in zentraler Datenbank verwaltet
- Wake-on-LAN Support für gesicherte Softwareverteilung
- Sicherer Betrieb auch ohne TPM und ohne USB-Stick möglich (Russland, China)
- Friendly Network Mode – sicherer Betrieb ohne PBA, auch mit WLAN und 802.1x Support
- Automatisierte Softwareverteilung ohne TPM Einschränkungen
- 802.1x Support für sichere Hardware Authentisierung
- Unterstützung von 22 Landessprachen für die Benutzerdialoge
- Support von Tablet´s mit Touchpad
- In-place upgrade Unterstützung von Windows 10
- Single SignOn ans Betriebssystem
- Recovery-Key´s werden in zentraler Datenbank verwaltet
- Wake-on-LAN Support für gesicherte Softwareverteilung
- Automatischer Wiederanlauf und Aktivierung, wenn BitLocker angehalten wurde
- Zeitgesteuerter ShutDown in der PBA
- Zeitgesteuerte Netzwerkentsperrung für Softwareverteilung außerhalb der Bürozeiten
- Mandantenfähige zentrale Management-Konsole
- Reduzierung der operativen Kosten im HelpDesk und bei der Softwareverteilung
- Integrierte Ausfallsicherheit und Lastverteilung der Management-Konsole
- Und vieles mehr – Demo anfordern
Besonderheiten beim Rollout des Secure Disk Agents
- Einfache Client-Installation ohne Veränderungen an der bestehenden BitLocker Verschlüsselung
- Installationsdauer des Agents ca. 3 Minuten