17
Bitlocker als normaler Benutzer Win 7 64 Bit
Bitlocker als normaler Benutzer Win 7 64 Bit
Schönen guten Tag,
folgendes: Wir haben hier ein Notebook mit dem OS WIN7 64 Bit Ultimate.
Wir würden nun gerne Bitlocker auf einem Laufwerk verwenden, da der Benutzer mit dem Notebook auch auf Reisen ist. Es soll hierbei eine Partition verschlüsselt werden auf der lediglich Dokumente liegen. Jedoch ist nun folgendes "Problem" Beim Einstellen des Laufwerks und beim Entsperren verlangt Bitlocker immer unseren Domänen Admin.
Geht das nicht als normaler Domänen Benutzer?
folgendes: Wir haben hier ein Notebook mit dem OS WIN7 64 Bit Ultimate.
Wir würden nun gerne Bitlocker auf einem Laufwerk verwenden, da der Benutzer mit dem Notebook auch auf Reisen ist. Es soll hierbei eine Partition verschlüsselt werden auf der lediglich Dokumente liegen. Jedoch ist nun folgendes "Problem" Beim Einstellen des Laufwerks und beim Entsperren verlangt Bitlocker immer unseren Domänen Admin.
Geht das nicht als normaler Domänen Benutzer?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 171003
Url: https://administrator.de/contentid/171003
Printed on: April 18, 2024 at 12:04 o'clock
17 Comments
Latest comment
Gottlob nicht...
Stelle dir mal vor JEDER würde das machen (geht ja auch an PC´s)....
Da könnte man noch einen einstellen, der Daten wieder entschlüsselt, wiederherstellt, wieder verschlüsselt, etc pp...
Gruß
Carsten
Stelle dir mal vor JEDER würde das machen (geht ja auch an PC´s)....
Da könnte man noch einen einstellen, der Daten wieder entschlüsselt, wiederherstellt, wieder verschlüsselt, etc pp...
Gruß
Carsten
Ich würde ja für so etwas truecrypt nehmen.
Aber du könntest es mit einem lokalen Admin versuchen. Das sollte üblicherweise auch gehen.
Aber du könntest es mit einem lokalen Admin versuchen. Das sollte üblicherweise auch gehen.
Zitat von @Lochkartenstanzer:
Ich würde ja für so etwas truecrypt nehmen.
Aber du könntest es mit einem lokalen Admin versuchen. Das sollte üblicherweise auch gehen.
Ich würde ja für so etwas truecrypt nehmen.
Aber du könntest es mit einem lokalen Admin versuchen. Das sollte üblicherweise auch gehen.
Die User sollen keine lokalen Adminrechte erhalten. Wir hatten uns Ultimate deswegen Testweise besorgt, dass die Benutzer die halt wie oben erwähnt unterwegs sind, Ihre Daten in das Laufwerk verschieben können.
Also geht es leider nur mit lokalen Adminrechten?
Zitat von @cardisch:
Gottlob nicht...
Stelle dir mal vor JEDER würde das machen (geht ja auch an PC´s)....
Da könnte man noch einen einstellen, der Daten wieder entschlüsselt, wiederherstellt, wieder verschlüsselt, etc
pp...
Gruß
Carsten
Gottlob nicht...
Stelle dir mal vor JEDER würde das machen (geht ja auch an PC´s)....
Da könnte man noch einen einstellen, der Daten wieder entschlüsselt, wiederherstellt, wieder verschlüsselt, etc
pp...
Gruß
Carsten
Es würde dann halt nur für die Laptops gelten. Bei den Fat Clients im Betrieb ist kein Ultimate installiert.
Hallo,
Ist auch richtig so.
What credentials are required to use BitLocker?
To turn on, turn off, or change configurations of BitLocker on operating system and fixed data drives, membership in the local Administrators group is required. Standard users can turn on, turn off, or change configurations of BitLocker on removable data drives. Disable the Control use of BitLocker on removable drives policy setting (located in Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives) to restrict standard users from turning on or turning off BitLocker on removable data drives.
Gruß,
Peter
Ist auch richtig so.
Also geht es leider nur mit lokalen Adminrechten?
Das Benutzen von Bitlocker erfordert keine Adminrechte. Bitlocker Ein- Ausschalten oder Ändern schon. Bitlocker auf Laptop als Admin eingerichtet und die Benutzer merken davon nichts. So habe ich es auf einige Laptops am laufen. Sie auch Auszug aus http://technet.microsoft.com/en-us/library/ee449438(WS.10).aspx#BKMK_pr ...What credentials are required to use BitLocker?
To turn on, turn off, or change configurations of BitLocker on operating system and fixed data drives, membership in the local Administrators group is required. Standard users can turn on, turn off, or change configurations of BitLocker on removable data drives. Disable the Control use of BitLocker on removable drives policy setting (located in Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives) to restrict standard users from turning on or turning off BitLocker on removable data drives.
Gruß,
Peter
Kollegen,... etwas mehr Fantasie 
! Es geht auch ohne Adminrechte - gewusst wie.
Bitlocker kann man über die Kommandozeile steuern. Erstellt einen Task "Unlock", der mit Systemrechten läuft (Kein Kennwort eingeben, ausführender Nutzer ist "system").
Kommandozeile:
f: ist hierbei die verschlüsselte Partition, 022... ist der Recoverykey (NICHT das Kennwort, damit geht es nicht in der Kommandozeile ,vermutlich ein Bug ). Den Recoverykey findet man in der Textdatei, die bei der Verschlüsselung gezwungenermaßen angelegt wurde.
Nun vergibt man für den gewünschten User Ausführrechte auf c:\windows\system32\tasks\unlock und erstellt ihm eine Batch mit dem Inhalt
fertig!
Achtung: das Laufwerk wird nun gemountet und ist systemweit verfügbar bis zum Neustart. Will man es wieder abschließen, wird ein weiterer Task "Lock" fällig mit
Demnach auch eine weitere ACL-Anpassung und schtasks-Batch:
NÖTIGER Edit:
Noch was zu diesem Vorgehen... was wäre, wenn das Notebook jetzt von einem findigen Menschen gefunden würde, der die Tasks anschaut? Er würde das Recoverykennwort im Klartext finden... Schutz ade. Somit müsste man, wenn man diesen dollen Workaround für non-Admins nutzen möchte, das Kennwort auch verschlüsselt übergeben. Also eine Batch schreiben, die es aus einer Textdatei einliest, die Ihrerseits verschlüsselt ist (verschlüsselt mit dem EFS-Zertifikat des Systemkontos, welches den Task ausführt). Am Ende von der Batch wird diese natürlich gelöscht - so ist es sicher, hat aber den Nachteil, dass der User mal eben ein Kennwort "022759-034210-619410-534754-613052-358468-115588-284493" lernen muss... das ist unmöglich. Leider buggt Bitlocker auf Win7 bei der Option -Password zumindest bei mir... er erklärt es für falsch.
! Es geht auch ohne Adminrechte - gewusst wie.Bitlocker kann man über die Kommandozeile steuern. Erstellt einen Task "Unlock", der mit Systemrechten läuft (Kein Kennwort eingeben, ausführender Nutzer ist "system").
Kommandozeile:
manage-bde -unlock f: -RecoveryPassword 022759-034210-619410-534754-613052-358468-115588-284493Nun vergibt man für den gewünschten User Ausführrechte auf c:\windows\system32\tasks\unlock und erstellt ihm eine Batch mit dem Inhalt
schtasks /run /tn unlock Achtung: das Laufwerk wird nun gemountet und ist systemweit verfügbar bis zum Neustart. Will man es wieder abschließen, wird ein weiterer Task "Lock" fällig mit
manage-bde -lock f:schtasks /run /tn lockNÖTIGER Edit:
Noch was zu diesem Vorgehen... was wäre, wenn das Notebook jetzt von einem findigen Menschen gefunden würde, der die Tasks anschaut? Er würde das Recoverykennwort im Klartext finden... Schutz ade. Somit müsste man, wenn man diesen dollen Workaround für non-Admins nutzen möchte, das Kennwort auch verschlüsselt übergeben. Also eine Batch schreiben, die es aus einer Textdatei einliest, die Ihrerseits verschlüsselt ist (verschlüsselt mit dem EFS-Zertifikat des Systemkontos, welches den Task ausführt).
@Pjordorf
Edit - Beweis... als User ausgeführt:
manage-bde -unlock f: -RecoveryPassword 022759-034210-619410-534754-613052-358468-115588-284493
liefert
Das Benutzen von Bitlocker erfordert keine Adminrechte
Sicher? Das drückt MS missverständlich aus. Natürlich kann ich eine vollverschlüsselte Platte Usern ohne Adminrechte starten lassen, da macht das ein Systemdienst. Ein lokales (non-removable) Volume hingegen interaktiv zu mounten können nur Admins (oder mein Umweg unten).Edit - Beweis... als User ausgeführt:
manage-bde -unlock f: -RecoveryPassword 022759-034210-619410-534754-613052-358468-115588-284493
liefert
ERROR: An attempt to access a required resource was denied.
Check that you have administrative rights on the computer.
Check that you have administrative rights on the computer.
Noch was @Pjordorf
Bitlocker auf Laptop als Admin eingerichtet und die Benutzer merken davon nichts
Nichts? Heißt das, eine PIN müssen sie auch nicht eingeben, sondern TPM-only? Falls ja: das ist unsicher da anfällig gegen Coldboot-Attacken. Nutzt lieber nebem TPM noch die 4-stelligen PINs.
Hallo,
Ja, war so gefordet.
Gruß,
Peter
Ja, war so gefordet.
Falls ja: das ist unsicher da anfällig gegen Coldboot-Attacken. Nutzt lieber nebem TPM noch die 4-stelligen PINs.
Und wie immer ein ist auch hier ein GF der es absolut nicht mit einer PIN will.... Leider.Gruß,
Peter
Zitat von @Pjordorf:
Und wie immer ein ist auch hier ein GF der es absolut nicht mit einer PIN will.... Leider.
Und wie immer ein ist auch hier ein GF der es absolut nicht mit einer PIN will.... Leider.
Dann solltest Du ihm klarmachen, er dann kein Bitlocker braucht.
Und wie immer ein ist auch hier ein GF der es absolut nicht mit einer PIN will.... Leider
http://www.youtube.com/watch?v=JDaicPIgn9U (Autor: Princeton University!) soll sich Dein Chef mal anschauen. Zitat "typically taking only a few minutes" sollte ihn nervös machen.Selbst eine 4-stellige PIN macht diese Attacke unmöglich.
Hallo,
Er behauptet fest und steif das sein Bruder ihm sonst die Festplatte ausbaut und dann in einen anderen PC...... Er ist hier auch auch keine verhandlungsbasis gegeben da er auf Stur schaltet (ich bin der der bezahlt also....)
Gruß,
Peter
Er behauptet fest und steif das sein Bruder ihm sonst die Festplatte ausbaut und dann in einen anderen PC...... Er ist hier auch auch keine verhandlungsbasis gegeben da er auf Stur schaltet (ich bin der der bezahlt also....)
Gruß,
Peter
Hallo,
Nene. Ist nicht mein Chef. ich bin Selbstständig. Ist ein Kunde, der ist allerdings ein alter freund und sehr sehr stur. Wir kennen uns jetzt schon 20 jahre und ich will ihn schon nicht mehr ändern das neue Laptop habe ich schon ohne Bitlocker für ihn gemacht, wobei er das nicht weiss und er ist happy. Sein Sohn hat irgendwann mal angefangen ihm diesen Floh ins ohr zu setzen wobei er selbst von EDV keine Ahnung hat aber genauso stur ist. Hat schon zig Handys verloren, besteht aber darauf keinen PIN usw zu brauchen. Auch I-Phones am Exchange sind schon weg, aber es SOLL nichts geändert werden....
Egal, ist halt ein besonderer Kunde, der schon viel Lehrgeld wegen Datenklau bezahlt hat und immer noch nichts ändern will.
Das Video werde ich ihm allerdings wöchentlich vorführen
Gruß,
Peter
(Ist aber trotzdem mein Kunde und auch mein Freund
Nene. Ist nicht mein Chef. ich bin Selbstständig. Ist ein Kunde, der ist allerdings ein alter freund und sehr sehr stur. Wir kennen uns jetzt schon 20 jahre und ich will ihn schon nicht mehr ändern
das neue Laptop habe ich schon ohne Bitlocker für ihn gemacht, wobei er das nicht weiss und er ist happy. Sein Sohn hat irgendwann mal angefangen ihm diesen Floh ins ohr zu setzen wobei er selbst von EDV keine Ahnung hat aber genauso stur ist. Hat schon zig Handys verloren, besteht aber darauf keinen PIN usw zu brauchen. Auch I-Phones am Exchange sind schon weg, aber es SOLL nichts geändert werden....Egal, ist halt ein besonderer Kunde, der schon viel Lehrgeld wegen Datenklau bezahlt hat und immer noch nichts ändern will.
Das Video werde ich ihm allerdings wöchentlich vorführen
Gruß,
Peter
(Ist aber trotzdem mein Kunde und auch mein Freund
Und noch ein Kommentar...
Truecrypt ist hier von Vorteil, L.K.Stanzer hat Recht. Man kann es, nachdem ein Admin es installiert hat, auch als User nutzen, um Cryptocontainer als Laufwerke zu mounten - kein Adminkennwort erforderlich. Allerdings geben wir als Admins hiermit die Verantwortung für die Sicherheit des Truecrypt-Kennwortes auf, der User kennt es und kann es jederzeit ändern, zudem kann er weitere Daten in neue Container verfrachten und potentiell unwiederbringlich verlieren.
Ich habe meinen langen Beitrag zu Bitlocker nun mal zu Ende gedacht und unten editiert: Bitlocker als normaler Benutzer Win 7 64 Bit
So wird tatsächlich ein Schuh draus und der User kennt das Kennwort nicht einmal geschweige denn, dass er es ändern kann.
FinalEDIT: ABER... so lange das Systemlaufwerk nicht verschlüsselt ist, kann ein Dieb weiterhin Boot-CDs nutzen, um lokaler Admin zu werden und dann natürlich auch den Task betätigen, um zu mounten... da sieht man erneut, dass dies kein vernünftiger Weg ist, falls man keine Adminrechte hat.
Truecrypt ist hier von Vorteil, L.K.Stanzer hat Recht. Man kann es, nachdem ein Admin es installiert hat, auch als User nutzen, um Cryptocontainer als Laufwerke zu mounten - kein Adminkennwort erforderlich. Allerdings geben wir als Admins hiermit die Verantwortung für die Sicherheit des Truecrypt-Kennwortes auf, der User kennt es und kann es jederzeit ändern, zudem kann er weitere Daten in neue Container verfrachten und potentiell unwiederbringlich verlieren.
Ich habe meinen langen Beitrag zu Bitlocker nun mal zu Ende gedacht und unten editiert: Bitlocker als normaler Benutzer Win 7 64 Bit
So wird tatsächlich ein Schuh draus und der User kennt das Kennwort nicht einmal geschweige denn, dass er es ändern kann.
FinalEDIT: ABER... so lange das Systemlaufwerk nicht verschlüsselt ist, kann ein Dieb weiterhin Boot-CDs nutzen, um lokaler Admin zu werden und dann natürlich auch den Task betätigen, um zu mounten... da sieht man erneut, dass dies kein vernünftiger Weg ist, falls man keine Adminrechte hat.
Wenn es nur das ist: Setz ein HDD-Paßwort im BIOS.
Stimmt, das durfte hier nicht fehlen ;)
Dann aber "zur Sicherheit" auch gleich folgende Software mitliefern: http://www.hddunlock.com/
Dann aber "zur Sicherheit" auch gleich folgende Software mitliefern: http://www.hddunlock.com/
Hallo Peter,
bei aller Sturheit will dein Freund doch irgendeinen Vorteil gegenüber dem unverschlüsselten System haben. Den erkenne ich hier nicht.
Schon nur die Datenpartition zu verschlüsseln ist unter Windows 7 unsinnig. Unter XP konnte man die Systempartition als potenzielles Datenleck noch durch entsprechende Konfiguration und EFS einigermaßen abdichten. Hier sind die Gelegenheiten, zu denen Daten auf der Systemplatte landen (vom Nutzerzverhalten ganz abgesehen), nicht mehr überschaubar und ist die Friemelei nicht mehr praktikabel. Es gibt außerdem kaum einen Grund mehr für die unvollständige Verschlüsselung, wenn das System schon eine gegenüber Imaging transparente Verschlüselung mitbringt.
Zudem gibt es gegen TPM-only komfortablere Alternativen zu Cold Boot.
Wenn er etwas gegen PINs hat, schlage doch eine Vollverschlüsselung wenigstens mit TPM+USB-Schlüssel vor.
Grüße
Richard
bei aller Sturheit will dein Freund doch irgendeinen Vorteil gegenüber dem unverschlüsselten System haben. Den erkenne ich hier nicht.
Schon nur die Datenpartition zu verschlüsseln ist unter Windows 7 unsinnig. Unter XP konnte man die Systempartition als potenzielles Datenleck noch durch entsprechende Konfiguration und EFS einigermaßen abdichten. Hier sind die Gelegenheiten, zu denen Daten auf der Systemplatte landen (vom Nutzerzverhalten ganz abgesehen), nicht mehr überschaubar und ist die Friemelei nicht mehr praktikabel. Es gibt außerdem kaum einen Grund mehr für die unvollständige Verschlüsselung, wenn das System schon eine gegenüber Imaging transparente Verschlüselung mitbringt.
Zudem gibt es gegen TPM-only komfortablere Alternativen zu Cold Boot.
Wenn er etwas gegen PINs hat, schlage doch eine Vollverschlüsselung wenigstens mit TPM+USB-Schlüssel vor.
Grüße
Richard
