Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Bitlocker für AD unter Server 2008

Mitglied: JackHammer

JackHammer (Level 1) - Jetzt verbinden

21.07.2010 um 14:11 Uhr, 8795 Aufrufe, 4 Kommentare

Habe bereits ein Handbuch zur Hilfe genommen (Windows Server 2008 - Serveradministration) und bin die Schritte durchgegangen, wie ich ein einen Windows 2008 Enterprise Server mit Bitlocker ohne TPM Chip verschlüssel.
Der Server dient als DC und stellt die Dienste DHCP, DNS und ADS bereit. Habe bereits einen Clientcomputer mit Windows 7 Ent installiert eine Partition verschlüsselt und bei der Frage ob ich die Textdatei mit dem Wiederherstellungsschlüssel speicher will habe ich diese bestätigt und auf dem Server ein Verzeichnis für diesen Schlüssel in einem Ordner mit Computernamen gespeichert.

Da das Microsoft Training Handbuch nichts weiter als die Verschlüsselung des Server selber bescheibt und im Internet auf verschiedenste Artikel gestoßen bin woltle ich meine Problematik direkt hier schilder.
Ist es möglich das Active Directory dort mit ins Spiel zu bringen. Z.B. durch Gruppenrichtlinien oder den Computerkonten welche sich im AD befinden. Was ich mir darunter vorstellen könnte, ist das Verschlüsselungsinformation oder die Bitlocker Systemstartdateien für einen USB stick direkt im AD hitnerlegt werden sobald eine Verschlüsselung des Clients gestartet wird?
Habe unter den lokalen Gruppenrichtlinien unter Computerkonfiguration-->Administrative Vorlagen --> Windowskomponenten --> Bitlocker-Laufwerkverschlüsselung einige Punkte wie:
Bitlocker-Sicherung in Active Directory-Domänendienste aktivieren
Systemsteuerungssetup: Wiederherstellungsordner konfigurieren
welche mich noch interessieren, ich aber nicht genau weiß wie diese Richtlinien Arbeiten bzw ob diese überhaupt was mit den Clientcomputern zu tun haben.
Bin für sämtliche Hinweise, Tipps und auch Anleitungen wie man so etwas in einem Netzwerk mit Domäne einbinden kann dankbar.
MfG
Philipp
Mitglied: DerWoWusste
21.07.2010 um 14:46 Uhr
Hi Philipp.

Schreib doch nebenbei auch deutlich auf, was Du erreichen willst und wobei Du nicht weiterkommst oder Verständnisprobleme hast.
Du möchtest Clients verschlüsseln (ohne TPM) und dabei Schlüssel zentral speichern, um was zu erreichen?
Nebenbei: es gibt bei MS ausführliche Anleitungen zum Rollout von Bitlocker - hast Du diese gefunden und gelesen?

Nebenbeinebenbei:
-ohne TPM->USB Stick erforderlich->sehr unkomfortabel, wenn es dennoch sicher sein soll
-schon nachgedacht über Kennwortwechsel?
-schon nachgedacht über Sicherheit gegen Cold boot attacks? Dagegen braucht Bitlocker nämlich zusätzlich eine PIN - und die gibt's nicht ohne TPM. Somit ist ohne TPM evtl. gar nicht die Sicherheit zu erreichen, die Ihr benötigt, ohne auf andere Software auszuweichen.
-wollt Ihr überhaupt Enterprise lizenzieren? Das ist teuer und eine Überlegung wäre somit, Pro zu nehmen und eine andere Verschlüsselung zu kaufen. mein Tipp: PGP Wholedisk 10.
Bitte warten ..
Mitglied: JackHammer
21.07.2010 um 17:40 Uhr
Erreichen würde ich gerne, dass wenn ich Clients verschlüssele diese Verschlüsselungsinformationen ob per USB Stick oder TPM Chip mit im AD hitnerlegt werden können. Habe bereits davon gelesen das sowas möglich sein soll, aber noch nciht herausfinden können wie das umsetzbar sein soll. Die Schlüssel will ich zentral speichern, da die Mitarbeiter hier im Haus gerne mal ihre Sachen verliehren. Da wäre es von Vorteil den clientcomputer nicht wieder entschlüsseln zu müssen sondern nur die Sicherung mit den textdateien wieder auf einen neuen usb stick zu kopieren.
Ohne TPM ist das zwar unsicherer aber haben nicht alle Notebooks die hier im Einsatz sind einen und deswegen halt mit usb.
Bei dem Kennwort wechsel weiß ich gerade nicht genau was du meinst... sorry
Über einen Cold Boot Attack hab ich mir noch keine Gedanken bzw sorgen gemacht. Aber ja du hast da schon recht. Die nächste Generation an Notebooks werden diesen Chip auch haben. Schätzungsweise wird noch ende des Jahres angeschafft.
Haben auch vor Enterprise zu Lizensieren. Wurden jedenfalls schon einige Lizenzen gekauft. Wir nutzen nähmlich bereits eine andere Verschlüsselung und zwar von Datev.
Habe auch gerade mal was über Rollout nachgelesen finde da aber nur parrallelen wieder bezüglich für TPM Chips. Wenn ich schlecht gegoogelt habe schicke mir doch bitte mal einen Link.
Nochmals danke für die Hilfe und Geduld

Gruß
Philipp
Bitte warten ..
Mitglied: DerWoWusste
21.07.2010 um 18:16 Uhr
Ich rate Dir, erstmal zu hinterfragen, was für eine Sicherheitsanforderung Du hast. USB-Schlüssel finde ich sehr unschön. Die sind doch immer beim PC - ein Dieb wird diese oft genug mit vorfinden.
Über die Links stolperst Du, wenn Du nach bitlocker deployment googelst.
http://technet.microsoft.com/en-us/library/cc766015(WS.10).aspx
http://www.microsoft.com/downloads/details.aspx?familyid=41BA0CF0-57D6- ...
Bitte warten ..
Mitglied: JackHammer
04.08.2010 um 10:01 Uhr
Nachdem mir die Links auch weitergeholfen haben bin ich nun auf ein weiteres Problem gestoßen.
Ich habe das AD und das Notebook so vorbereitet, dass die TPM wiederherstellungsinformationen an das AD übermittelt werden. Neue Reiter und den Benutzerkonten tauchen auch auf.
Darunter auch der Attribut-Editor bei dem in dem Attribut ms-TPMOwnerinformation die TPM informationen vom Client geschrieben werden sollen.
Das passiert leider noch nicht deswegen werden ich nochmal ein weiteres Notebook verschlüsseln da die Reiter diesmla schon vorhanden sind.
Ebenso habe ich noch das Problem dass ich die Registerkarte Bitlocker-Wiederherstellung nicht unter dem Computerkonto hinzufügen kann.
hier nochmal der Link von dem ich diese Informationen habe. Falls jemandem noch etwas einfällt wäre das super
Wegen der Registerkarte bei Schritt 4 gucken
http://www.ntsystems.it/post/TPM-BitLocker-Schlussel-in-AD-DS-speichern ...
Bitte warten ..
Ähnliche Inhalte
Windows Tools

BitLocker - Wiederherstellungsschlüssel werden nicht im AD gespeichert

gelöst Frage von emeriksWindows Tools20 Kommentare

Hi, wenn wir eine Partition mit BitLocker verschlüsseln, dann wird er Wiederherstellungsschlüssel nicht im AD gespeichert, obwohl m.E. alles ...

Windows 10

Bitlocker und AD: Keine Passwortabfrage

gelöst Frage von honeybeeWindows 105 Kommentare

Hallo, ich habe auf einem PC mit Windows 10 Bitlocker eingerichtet. Die Installation verlief problemlos und fehlerfrei. Der PC ...

Windows Server

2008er Server mit AD soll mit Memberserver 2012R2 hochgestuft werden mit AD

gelöst Frage von krischeuWindows Server2 Kommentare

Hallo, ich würde gerne einen neuen 2012er Memberserver hochstufen, daß er auch das ActiveDirecory hat (als Fallback für den ...

Windows Netzwerk

VPN unter Windows Server 2008 ohne AD

Frage von borstelixWindows Netzwerk2 Kommentare

Hallo Fachleute, letze Woche bin ich auf ein Problem gestoßen, welches ich so vorher noch nicht hatte. Beim Einrichten ...

Neue Wissensbeiträge
Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 1 TagWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 1 TagSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 1 TagMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 1 TagHardware12 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

Heiß diskutierte Inhalte
C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++27 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux27 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless22 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL19 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...