Die Festplattenverschlüsselung Microsoft BitLocker schützt sensible Daten auf internen und externen Laufwerken vor fremden Zugriffen und sollte deshalb immer aktiviert sein. Dieses eBook zeigt Ihnen, wie Sie die BitLocker-Schlüssel zentral verwalten, welche Bordmittel dafür zur Verfügung stehen und wie Sie den BitLocker-Einsatz effizient planen.
Inhalt:
BitLocker ist eine proprietäre Lösung zur Festplattenverschlüsselung, die zum Lieferumfang von Microsoft Windows gehört. Dabei kommt ein zweistufiges symmetrisches Verschlüsselungskonzept zum Einsatz: Die Sektoren eines Laufwerks werden mit dem Full Volume Encryption Key (FVEK) verschlüsselt, dieser wiederum mit dem Volume Master Key (VMK). Der VMK selbst ist durch sogenannte Protectors vor unautorisierten Zugriffen geschützt. Als Protector kann unter anderem das Trusted Platform Module (TPM) mit oder ohne PIN oder Start-Key, ein Passwort oder der bei der Aktivierung erstellte 48-stellige Wiederherstellungsschlüssel verwendet werden.
Die Verwaltung der Schlüssel sollte in Unternehmen zentral erfolgen, um Sicherheitsrisiken zu vermeiden und Helpdesk-Anfragen wegen vergessener Zugangsdaten zu minimieren. Wie Sie diese Verwaltung mit den Gruppenrichtlinien, Powershell und manage-bde umsetzen können, das erfahren Sie im vorliegenden eBook.
Es zeigt Ihnen unter anderem:
- Wie Sie BitLocker automatisiert aktivieren, überwachen und prüfen.
- Was Sie bei der Verwaltung der BitLocker Key Protectors beachten sollten.
- Wie Sie das Active Directory für die Schlüsselverwaltung nutzen können.
- Wie Sie die Defizite der Microsoft-Bordmittel überwinden.
Originalauszug aus dem Dokument:
Protectors verwalten
Microsoft sieht für das Management der Key Protectors ein Zusammenspiel von Gruppenrichtlinien und PowerShell bzw. manage-bde vor. Für alle drei Typen von Datenträgern existiert die GPO-Einstellung Festlegen, wie BitLocker-geschützte Laufwerke wiederhergestellt werden können.
Dort kann man Recovery Agents, Wiederherstellungspasswörter und externe Recovery Keys zulassen, erzwingen oder verbieten.
Für Betriebssystemlaufwerke existieren zusätzlich die Einstellungen Netzwerkentsperrung beim Start zulassen sowie Zusätzliche Authentifizierung beim Start anfordern.
Die erste bezieht sich auf den Network Unlock und die zweite behandelt solche Protectors, die BitLocker für Daten- und Wechsellaufwerke nicht unterstützt. Dies betrifft die Kombinationen aus TPM, PIN und Startup-Schlüssel.
Die in den Gruppenrichtlinien vorgenommenen Einstellungen bestimmen das Verhalten des Assistenten zum Aktivieren von BitLocker, den man in der Systemsteuerung findet. Abhängig von den konfigurierten Richtlinien bietet er die blockierten Protectors nicht mehr an oder fordert umgekehrt das Festlegen einer PIN oder eines Passworts, wenn diese genutzt werden müssen.
Die Gruppenrichtlinien blockieren auch das Anlegen von nicht zulässigen Protectors, wenn Benutzer dafür PowerShell oder manage-bde verwenden wollen. Die Group Policies berücksichtigen allerdings nicht alle Protectors, so dass man etwa Auto Unlock oder SID-Protectors damit nicht verhindern kann.