scuzzy
Goto Top

Automatisierte BitLocker Ver- und Entschlüsselung?

Guten Morgen Leute ! face-smile

Ist es möglich, eine automatisierte BitLocker Ver- und Entschlüsselung zu integrieren?


Als Beispiel:

Ein Mitarbeiter ist auf Geschäftsreise. In manchen Ländern ist es Verboten mit verschlüsselten Daten einzureisen. Also muss der BitLocker deaktiviert/entfernt werden.


Möglichkeiten?

Wäre es möglich, über einen Webshop eine aktivierung und deaktivieren des BitLockers zu erhalten? Eventuell durch einen Powershell Skript o.Ä?

Oder

Die jeweiligen User in eine andere Benutzergruppe zu verschieben "encrypt" und "decrypt" ?


Ich habe noch so gut wie keine Kenntnisse im Skripte schreiben, also wäre Ich sehr dankbar über mögliche Tipps oder Vorschläge die Ver- und Entschlüsselung zu
automatisieren.


Vielen Dank!

LG Nik face-smile

Content-Key: 271204

Url: https://administrator.de/contentid/271204

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: 117643
117643 06.05.2015 um 08:09:24 Uhr
Goto Top
Das würde die Verschlüsselung ad absurdum führen, Verschlüsselung hat ja den Zweck manuell z.B. ein Passwort einzugeben, welches nirgends im Klartext steht.
Was verschlüsselt Ihr den mit Bitlocker? Externe Festplatten? Und wie erzwingt Ihr derzeit die Verschlüsselung?
Mitglied: AnkhMorpork
AnkhMorpork 06.05.2015 aktualisiert um 08:18:30 Uhr
Goto Top
Hi,

man könnte natürlich einem Skript das Passwort mitgeben. Aber wie @117643 schon schrieb, das wäre kontraproduktiv. In einem Skript wird ein mitgegebenes Passwort immer irgendwie im Klartext erscheinen (bzw. reproduzierbar sein).

Du müsstest schon ein "richtiges" kompiliertes Programm benutzen (C++, C#, Freepascal, Assembler etc.). Und selbst das könnte man dekompilieren.

Gruß

Ankh
Mitglied: DerWoWusste
DerWoWusste 06.05.2015 um 08:42:42 Uhr
Goto Top
Hi.

Darf ich fragen, in welchen Ländern Du das erlebt hast? (nicht nur davon gehört, sondern erlebt)
Ich habe zwar davon gehört, aber das könnte auch nur eins von vielen wilden Gerüchten sein, zumal es immer hieß "Bitlocker hat ja Hintertüren, damit könnt ihr ruhig einreisen, das stört schon keinen Geheimdienst".

Wenn Du es kurzzeitig suspendieren willst, richte dem Mitarbeiter einen Task ein, der mit hohen Rechten arbeitet und es suspendiert. Beim nächsten Start sieht der Laptop aus wie unverschlüsselt. Welche Nachteile das hat, liegt hoffentlich auf der Hand.
Mitglied: Scuzzy
Scuzzy 06.05.2015 um 08:50:20 Uhr
Goto Top
Wir verschlüsseln sämtliche Festplatten der Geräte. (Hauptsächlich handelt es sich bei diesem szenario um notebooks - Ausland).

Eine derzeitige Verschlüsselung gibt es noch nicht, da der Kunde neu ist.

Wenn ein User über den Webshop eine Entschlüsselung bestellt, wäre es möglich das ein skript auf die AD zugreift um den Wiederherstellungskey zu benutzen?
Mitglied: Scuzzy
Scuzzy 06.05.2015 um 08:53:16 Uhr
Goto Top
Ich habe es so von einem Freund erfahren, aber ob es stimmt oder nicht ist derzeit nebensache, da es einfach eine Forderung des Kunden ist.
Mitglied: DerWoWusste
DerWoWusste 06.05.2015 um 09:04:27 Uhr
Goto Top
Bitte, per Webshop bestellen? Warum so kompliziert. Einfach ein Skript an einem geschützten Ort ablegen (c:\windows), dieses Skript nur für das Systemkonto lesbar machen und dort reinschreiben
manage-bde -protectors -disable C:
Dann einen geplanten Task einrichten, der dies bei Bedarf mit Systemrechten startet und die ACL des Tasks so modifizieren, dass der/die User ihn starten (aber nicht ändern!) dürfen - fertig.
Mitglied: Scuzzy
Scuzzy 06.05.2015 aktualisiert um 10:07:53 Uhr
Goto Top
Dann ist aber jeder User in der Lage dies zu machen. Ist ein User eingeloggt, klappt es zu (energieoptionen = beim zuklappen nichts unternehmen - keine abmeldung des users) und vergisst es meinetwegen irgendwo.

Ist natürlich ein eher unwahrscheinliches beispiel aber man muss halt wenn es um sicherheit/Datenschutz geht sowas berücksichtigen.
Das bedeutet, eine Person die auf Datenraub aus ist und sich das Notebook nimmt ist mit Sicherheit in der Lage das Skript auszuführen.


Bestellt der User im Webshop die entschlüsselung, muss dies erst noch durch eine bestimmte Person freigegeben werden, die von der Erlaubnis der Entschlüsselung in Kenntniss gesetzt wurde.


Was Ich nur damit sagen möchte ist, dass das Problematisch sein könnte in Bezug auf Datensicherheit.
Natürlich kann das Notebook auch geklaut werden, wenn es bereits entschlüsselt wurde, aber wenn der Skrip lokal abgespeicher ist, kann jeder das Skript ausführen.
Mitglied: DerWoWusste
DerWoWusste 06.05.2015 um 10:16:38 Uhr
Goto Top
Wenn Du ein Notebook offen rumliegen lässt, entsperrt, dann musst Du Dir um Sicherheit keine Gedanken machen. Energieoptionen wie diese werden auf gesicherten Geräten per GPO unterbunden und eine automatische Sperrung etabliert.

Der Gedanke der bestellbaren Entschlüsselung wäre ein aufwendiger Prozess und so eine Entschlüsselung dauert zumindest bei HDDs lange und kann auch nicht mal eben wieder verschlüsselt werden - dies braucht auch wieder hohe Rechte. Und wenn entschlüsselt ist, kann der User mit der Platte offline machen, was er will - dies kann er nicht, wenn suspendiert ist.
Mitglied: Clijsters
Clijsters 06.05.2015 aktualisiert um 10:38:08 Uhr
Goto Top
Hallo Scuzzy,

Mal in's blaue geschossen...

Ihr habt ein Self Service Portal, über dies die User IT-Services und Hardware bestellen können (find ich supi).

Der User bestellt jetzt "Verschlüsselung HDD".
Ein (ASP/PHP/JS/Whatever) Service auf dem Webserver startet einen automatischen Workflow und verwendet Win32_EncryptableVolume via WMI um der Möhre zu sagen, dass sie Ver-/Entschlüsseln soll. Dies tut er vom Server aus mit sowieso gegen die Domäne authentifizierten, hohen Rechten.
Ihr berechnet 3,90€ für diesen Service.
Ende.

Das ist zwar eine sehr schöne Geschichte.
Aber ich halte es auch für bedenklich. Dazu kommt, dass ihr wahrscheinlich auch schon oder bald auf SSDs umspringt.
Und dazu kommt, dass das Self Service Portal ein hohes Maß an Sicherheitsanforderungen erfüllen muss.

Und das Szenario: Platte entschlüsselt, Notebook genau dann geklaut würde mir auch ein mulmiges Gefühl verleihen.


Beste Grüße
Dominique

P.S.:
Achja, genau. Was macht der Rechner während des Ver-/Entschlüsselungsvorgangs? Gibt er Feedback? muss der User warten? Kann er wissen, wie der aktuelle Status ist?
Mitglied: 117643
117643 06.05.2015 um 10:45:51 Uhr
Goto Top
Ich habe einen Bekanntend er viel nach China reist:
- Hat ein unverschlüsseltes Auslands Notebook auf dem nur das nötigste an Dateien für den Einsatz liegt und ein VPN Client installiert ist
- Hat schon schlechte Erfahrungen mit dem Chineschen Zoll und der GreatFirewall gemacht (Geräte waren mehrere Wochen beschlagnahmt, VPN tut plötzlich nicht mehr etc).


Vielleicht wären solche Auslandsnotebooks das richtige: Nicht die Technik sondern der Prozess als solcher sorgt für die Sicherheit face-smile
Mitglied: Scuzzy
Scuzzy 06.05.2015 um 10:48:21 Uhr
Goto Top
SSDs sind im Notebook.

Der Vorgang soll im background vollzogen werden, sodass der User nichts mitbekommt.
Ich denke, dass es von nöten ist, dass der User nach dem freigeben der Bestelleung warten muss, bis die Entschlüsselung vollständig durchgelaufen ist.
Einen genauen Ablauf kann oder wird natürlich besprochen, sobald es diese Möglichkeit über den Webshop geben sollte.
Mitglied: Scuzzy
Scuzzy 06.05.2015 um 10:51:44 Uhr
Goto Top
Die Mitarbeiter benötigen Ihre Software zum arbeiten, von daher kommt dies nicht in Frage.
Zudem steigen die Kosten.

Wenn das Unternehmen 100 MA hat die im Ausland (seperat) tätig sind, benötigt der Betrieb 100 extra Notebooks.
Ich denke nicht das das die Lösung sein wird, aber danke für den vorschlag! face-smile
Mitglied: Clijsters
Clijsters 06.05.2015 aktualisiert um 11:33:30 Uhr
Goto Top
Nun ja, die Lösung deiner Anforderung habe ich dir ja soeben quasi genannt.

Aber:
Wir haben einige User, die in allen Teilen der Erde unterwegs sind und hatten diese Anforderung noch nie. Es hat auch noch niemand gemeckert...

Und die Anforderung als solche ist nicht sonderlich sinnig, zumal sich Kosten/Nutzen-technisch kein so tiefer Spalt zwischen der Idee selbst und der Anschaffung 100 weiterer Notebooks auftut. Oder 50 weiterer Notebooks, wenn davon auszugehen ist, dass die 100 potenziellen User nicht gleichzeitig reisen. Lass das dann mal 150.000 - 200.000 €uronen kosten. Was soll denn die Implementierung in das Self Service Portal kosten?
Oder, wenn noch keins vorhanden, was soll die Anschaffung eines solchen Portals kosten? (Wenn nur aus diesem Grund)

Beste Grüße


EDIT:
Ich habe dann doch mal kurz Google angeworfen hättest du auch tun können
Mitglied: Scuzzy
Scuzzy 06.05.2015 um 11:46:11 Uhr
Goto Top
Die Kosten der Implementierung ist 0. Der Kunde muss nichts bei der automatisierung bezahlen.
Warum sollte er auch?

Es soll einfach ein viel schnellerer und vereinfachter Prozess daraus werden, anstatt dies immer händisch zu machen (Wiederherstellungskey eintragen + neu verschlüsseln).
Mitglied: Clijsters
Clijsters 06.05.2015 aktualisiert um 12:06:29 Uhr
Goto Top
Die Kosten der Implementierung ist 0.
Also, du baust so einen Kram kostenlos?
Recherchierst in Foren kostenlos?
Betreibst das System und dessen Pflege kostenlos?

Wow, willst du für mich arbeiten?

Aber nochmal zum Mitschreiben:

Wenn du es wirklich so machen möchtest, schau dir die Links an, die ich eingebracht habe und realisiere es.
Oder möchtest du eine andere Lösung?
Mitglied: C.R.S.
C.R.S. 06.05.2015 um 14:57:00 Uhr
Goto Top
Zitat von @117643:

Vielleicht wären solche Auslandsnotebooks das richtige: Nicht die Technik sondern der Prozess als solcher sorgt für die
Sicherheit face-smile

Das wäre am effektivsten. Wobei man sich gerade bei unverschlüsselten Reisegeräten noch fragen sollte, wie die verwaltet werden, wohin sie sich per VPN verbinden und welche Datenträger daran angeschlossen werden. Idealerweise hat das Ausland seinen eigenen Laufstall.

Ein Kompromiss wäre, Notebooks mit wechselbaren Festplatten zu verwenden, die im Ausland verschlüsselten Festplatten dort in einem Schließfach zu hinterlegen und mit leeren Geräten zu reisen. Wenn keine neuen Laptops drin sind: dasselbe mit Linux/Windows To Go über USB3.

Grüße
Richard
Mitglied: DerWoWusste
DerWoWusste 06.05.2015 um 15:03:33 Uhr
Goto Top
Windows To Go
Gute Idee. Die kann man auch bitlocken und kein Flughafenheini der Welt wird jeden USB-Stick in Augenschein nehmen.
Mitglied: Scuzzy
Scuzzy 07.05.2015 aktualisiert um 08:54:01 Uhr
Goto Top
Die Forderung des Kunden ist ja, eine Ver- und entschlüsselung der Festplatten.

Derzeit müssen Wir dies händisch machen.
Das bedeutet Wir haben derzeit den Wunsch des Kunden erfüllt.


Um Uns eine menge Zeit und Aufwand zu sparen, möchten Wir diesen Vorgang "automatisieren/vereinfachen".

Im klartext bezahlt der Kunde nichts dafür, das Wir unsere Arbeit beschleunigen wollen.
Mitglied: Clijsters
Clijsters 07.05.2015 um 08:23:02 Uhr
Goto Top
Gut, das macht Sinn.
Ich würde trotzdem ein saftiges Angebot schreiben und es mit einer imensen Effizienzsteigerung anpreisen face-wink

Hat der Kunde denn schon ein Self Service Portal? Eventuell SharePoint?
Mitglied: Scuzzy
Scuzzy 07.05.2015 um 08:53:20 Uhr
Goto Top
Dem Kunden steht ein Self Service Portal sowie ein Webshop zur Verfügung.
Mitglied: DerWoWusste
DerWoWusste 07.05.2015 aktualisiert um 09:05:14 Uhr
Goto Top
Hi.

Ich wage noch einen Appell an die Vernunft:
Kunden stellen Forderungen - warum auch nicht. Doch sollte man sie soweit beraten können, dass die Forderungen nicht vollkommen blödsinning sind.
Wir haben beispielsweise SINA-Workstations, das sind Speziallaptops mit für Geheimdokumente zugelassener Verschlüsselung, wie sie auch von der Bundeswehr und Bundesregierung genutzt werden, die damit sicherlich auch mal woanders hin reisen. Deren Verschlüsselung kann man nicht entschlüsseln, es ist nicht vorgesehen.
Anfrage unsererseits an den Hersteller Secunet: wenn wir's doch mal brauchen, wie sollen wir zur Entschlüsselung vorgehen?
Secunet: Es gibt keinen Weg. Wurde auch noch nie gebraucht von unseren Kunden.

Was meinst Du dazu: Welcher Staat lässt Dich (oder Dein Gerät) denn nun nicht einreisen, wenn Du mit einem verschlüsselten Lap ankommst? Das ist doch hart an der Grenze zur Urban Legend.
--
Soviel mal zu dem, was Du vermutlich nicht lesen wolltest...zurück zum Thema:
Du kannst auch ohne Recovery-Key entschlüsseln, Du brauchst lediglich einen geplanten Task, der unter dem Systemkonto läuft.
Der von Dir angedachte Prozess des Bewilligens von außen, kann sicherlich abgebildet werden, wenn man nur geschickt vorgeht. Man könnte beispielsweise den Task einen Code oder ein Keyfile abfragen lassen, das vorher per Mail übersendet wird. Könnte ich basteln.

Dennoch würde ich es nicht tun. Denn gerade dort, wo man (warum auch immer) Leute hat, die was gegen Deine Verschlüsselung haben, will man nicht entschlüsseln.

Vorschlag zur Güte: lass Deinen Kunden seine Forderungen mal auf Realitätsbezug prüfen. Wo wurde jemals mal ein Laptop auf Verschlüsselung hin überprüft und warum (- und ist das dort weiterhin gängige Praxis?).
Mitglied: Clijsters
Clijsters 07.05.2015 um 09:08:18 Uhr
Goto Top
Zitat von @Scuzzy:

Dem Kunden steht ein Self Service Portal sowie ein Webshop zur Verfügung.
Gut, wir nähern uns.

Worauf basieren diese Portale?

@DerWoWusste:
ACK
Mitglied: Scuzzy
Scuzzy 07.05.2015 aktualisiert um 09:22:18 Uhr
Goto Top
Der Webshop läuft über Matrix 42 face-smile
Mitglied: Clijsters
Clijsters 07.05.2015 um 09:26:41 Uhr
Goto Top
Gut. Ein Sehr Gut hätte es gegeben, wenn du noch kundgetan hättest, worauf Matrix42 basiert face-wink

Hier ist die Rede von ASP.Net. Gilt das auch für deine Umgebung?
Ist die Software um eigene Module / Workflows erweiterbar?
Mitglied: Scuzzy
Scuzzy 07.05.2015 um 09:34:47 Uhr
Goto Top
Meines Wissens nach ist Matrix42 in der Lage Workflows zu erstellen, erweitern und zu verwalten .
Mitglied: Clijsters
Clijsters 07.05.2015 um 09:38:41 Uhr
Goto Top
Gut. Welche Fragen hast du denn noch oder sind diese alle beantwortet?

Würdest du dir denn zutrauen, das Portal um eine solche Funktion zu erweitern?
Mitglied: Scuzzy
Scuzzy 07.05.2015 aktualisiert um 09:46:14 Uhr
Goto Top
Derzeit bin Ich ein Auzubi und habe noch keine großen Kentnisse im Bereich Skripting.

Es gibt natürlich vorgeschriebene Skripte die Ich nur ändern und implementieren müsste, aber um ehrlich zu sein, denke Ich nicht
dass Ich dazu ohne "große" Vorkentnisse dazu in der Lage sein werde, dies durchzuführen.

Was Ich erreichen möchte ist, dass Ich ein "Konzept/Gerüst" erstellen kann, welches meine Kollegen nur noch umsetzen müssen.

Das bedeutet Ich kann Ihnen sagen, wie das Skript aussehen muss und was beachtet werden muss.

Ich hoffe du weißt was ich meine, wenn nicht dann erläuter ich das einmal im Detail was Ich mit Konzept meine :D
Mitglied: Clijsters
Clijsters 07.05.2015 aktualisiert um 10:07:26 Uhr
Goto Top
Derzeit bin Ich ein Auzubi und habe noch keine großen Kentnisse im Bereich Skripting.
Ok, bist du denn dabei eine Scriptsprache zu lernen?
Es gibt natürlich vorgeschriebene Skripte die Ich nur ändern und implementieren müsste, [...]
warum zeigst du uns diese denn nicht?
Ich hoffe du weißt was ich meine, wenn nicht dann erläuter ich das einmal im Detail was Ich mit Konzept meine :D
Ich denke, zu verstehen.
Wie sehen denn die ersten Entwürfe deines Konzepts aus?

Wir haben dir ja mittlerweile einige Möglichkeiten aufgezeigt. Und selbst, wenn das Portal nicht mitmacht - Du könntest dir ja ein Shortcut auf den Desktop legen, was nach Bestelleingang die gewünschte Aktion aus der Ferne heraus anstartet. Das wäre bereits ein großer Komfortgewinn und vielleicht nicht ganz so wage.

Beschreibe doch mal, wie du dir das im Moment vorstellst.

Entschuldige, mein Firefox hat sich gerade verabschiedet und ich war zu faul, den ganzen schönen Text erneut zu schreiben. Deswegen die Kurzfassung face-wink
Mitglied: Scuzzy
Scuzzy 07.05.2015 um 10:37:23 Uhr
Goto Top
Ich bin derzeit dabei mir die Basics in PowerShell beizubringen.

Mit vorgeschriebenen Scripten meinte Ich nur die Skripte, die in den Links zur Verfügung stehen (als Beispiel).
Tur mir leid, habe mich falsch ausgedrückt...

Der Start meiner Überlegung war es, Ideen für die Umsetzung der Automatisierung zu finden um meinen Arbeitskollegen eine menge Arbeit abzunehemen (händisch).

Diese Ideen habe Ich ja nun von Dir/euch erhalten.
Jetzt gedenke Ich, diese zu Sammeln und meinen Kollegen zu präsentieren.

Nach Rückmeldung meiner Kollegen, die sich hoffentlich mit einer oder zwei Verfahren zu frieden stellen werden oder eher beführworten werden,
habe Ich vor weiter in die Planung zu gehen.

Das soll bedeuten Wie kann Ich dieses Verfahren durchführen? Was benötige Ich? Wie muss der Script aussehen?

Kein Problem, deine Antwort war doch trotzdem auf den Punkt kommend! face-smile
Mitglied: Scuzzy
Scuzzy 07.05.2015 um 11:12:29 Uhr
Goto Top
Kannst du mir eventuell Tipps oder Erfahrungsratschläge geben?
In Bezug auf die Durchsetzung eines Verfahrens?

Was sollte Ich von vornherein Wissen oder auf was sollte ich achten?

Guß
Mitglied: Clijsters
Clijsters 07.05.2015 aktualisiert um 11:41:28 Uhr
Goto Top
Zitat von @Scuzzy:

Kannst du mir eventuell Tipps oder Erfahrungsratschläge geben?
In Bezug auf die Durchsetzung eines Verfahrens?

Was sollte Ich von vornherein Wissen oder auf was sollte ich achten?

Guß
Was meinst du denn mit "Verfahren"?
Das Durchsetzen der Änderung (Also Kollegen überzeugen) oder die technische Realisierung?

EDIT:
Kein Problem, deine Antwort war doch trotzdem auf den Punkt kommend!
Jain, ich hatte ursprünglich sogar ein paar Beispielabläufe verfasst. Gleich, wenn ich mehr Zeit habe, mehr dazu.
Mitglied: Scuzzy
Scuzzy 07.05.2015 um 11:48:57 Uhr
Goto Top
Freu mich schon drauf! face-smile

Eher in die technische Realisierung, da Ich wie gesagt kaum Kenntnisse habe in Skripting und implementierung derer in "Systeme".
Mitglied: Clijsters
Lösung Clijsters 07.05.2015, aktualisiert am 08.05.2015 um 07:37:19 Uhr
Goto Top
Jut...

Szenario Nr. 1 - Leicht umzusetzen, mittelmäßig automatisch dafür nicht ganz so hohes Sicherheitsrisiko
  • Anwender geht in den (bereits existenten) Webshop und bestellt einen (neu angelegten) Artikel - "BDE-Encrypt".
  • Die Bestellung geht bei dir per Mail ein.
  • Du hast ein Script auf deinem Computer, das in etwa so aussieht:

(Nicht für Copy&Paste, reine Demonstration)
<#
Das ist das allersimpelste Konstrukt, was ich mir vorstellen kann.
Es geht davon aus, dass du (aktueller User) die nötigen Rechte dazu bereits hat.
Es geht davon aus, dass der Zielrechner via LAN/VPN erreichbar ist.
Es prüft in keinster Weise auf Fehler.
#>

$computerName = Read-Host "Geben Sie den Rechnernamen/IP an:"  
$type = Read-Host "[V]erschlüsseln oder [E]ntschlüsseln?:"  

switch ($type)
	{
		"V" {manage-bde -on C: -computername $computerName}  
		"E" {manage-bde -off C: -computername $computerName}  

		#Hier eventuell weitere Optionen, Default nicht vergessen...
	}

  • Du gehst in den Webshop und hakst den Auftrag ab. Eventuell wird der Anwender nun (automatisch) über die "Fertigstellung" informiert.
Auch schon mal PsExec angesehen?

Szenario Nr. 2:
  • Auf jedem Client liegt bereits ein Script (vielleicht auch an gewisse Ausnahmen angepasst), welches durch einen Windows-Service gestartet wird (mit SYSTEM-Rechten) und auf dem Desktop agieren darf (z.B. User mit Balloontips benachrichtigen)
  • Stellt ein großes Sicherheitsrisiko dar. Die Hürde ein bereits gestartetes Notebook zu entschlüsseln bestünde also nur noch darin, einen Dienst zu starten. (Darf auch nicht jeder, ist aber nicht ganz zu unterschätzen)
(Dienste können auch über die Ferne gestartet werden.)

Szenario Nr. 3: Das vollautomatische Szenario
  • Dieses Szenario kann auch einiges an Sicherheitstechnischen Hürden bieten.
  • Hängt sehr stark vom Aufbau des bestehenden Webshops ab (Man könnte natürlich einen eigenen Service dafür bauen)
  • Die technische Umsetzung in Codezeilen oder Examples zu beschreiben ist nahezu unmöglich, da ich Matrix42 nicht kenne.

Der Ablauf könnte dieser sein:
  • Anwender bestellt den beschriebenen Artikel
  • Ein Workflow wird vom Webshop gestartet (oder eine eigens programmierte ASPx-Erweiterung...)
  • Er fragt nach einer Genehmigung (vorgesetzte/IT)
  • Der Workflow verwendet am besten ein eigenst eingerichtetes Dienstkonto und startet unter diesen Credentials ein Script, dem der Computername und der Laufwerksbuchstabe übergeben wird.
  • Das Script ent-/verschlüsselt mittels Manage-BDE oder der direkten WMI-Calls das Laufwerk des Zielrechners. (Eventuell kann eine Funktion in den Webshop direkt eingebunden werden)
  • Auf dem Zielrechner könnten Statusinfos ausgegen werden und die Energieoptionen angepasst werden (z.B. möglichst schnell automatisch sperren und bis Vorgang abgeschlossen ist, kein automatischer StandBy). Es wäre auch möglich zu warten, bis das Notebook im Ladebetrieb (Netzstrom angeschlossen) sitzt.
  • Nice-to-have: Ein Timer / Termin wird erstellt, um das Notebook, welches soeben entschlüsselt wird, wieder zu verschlüsseln, bzw. euch daran zu erinnern, dass das gemacht werden muss. Eventuell fragt der Webshop ja nach der Dauer des Aufenthalts?

Also, ich hoffe dir veranschaulicht zu haben, dass es immer mehrere Wege an's Ziel gibt. Welcher für euch der richtige ist, kann ich nicht entscheiden.
Du siehst aber, es ist (theoretisch) mit ein- bis zweizeiligem Code machbar.

Daraus kann aber auch ein großes Projekt werden, welches den grundsätzlichen Ablauf einer Reiseplanung ändert.
Eventuell würde es dann vorgefertigte Templates geben, in die der User nur sein Zielland tippt. Der Webshop entscheidet dann eigenständig, ob eine Entschlüsselung empfehlenswert ist, lässt sich das genehmigen und beginnt zu walten...
Währenddessen bekommt der Anweder seine Reiseadapter und Ersatzhemden per Post geschickt.
Ein Flug wird auch noch gebucht, ein Hotelzimmer reserviert... So unrealistisch ist das gar nicht mal.

Ein bisschen Spinnerei muss auch mal sein face-wink

[...] und implementierung derer in "Systeme".
Nun, [Win]+R->notepad->Script reintippen->Speichern unter->Dateityp: "Alle Dateien(*.*)" -> Namen vergeben, speichern. Draufklicken -> Freuen :D


Vielleicht spielst du erstmal mit einem der verschlüsselten Notebooks. Tippst in die Eingabeaufforderung manage-bde mit den entsprechenden Parametern ein und schaust, was passiert. Ist kein Hexenwerk.
Die Powershell kann das auch ohne Einschränkungen. Plus die CmdLets, die ich bereits verlinkt habe (oder?)

Ich wollte ein Gist Snippet posten, leider habe ich von hieraus keinen Zugriff... :/

Das soll bedeuten Wie kann Ich dieses Verfahren durchführen? Was benötige Ich? Wie muss der Script aussehen?
Um zu beantworten, wie das Script aussieht, müssen wir erst einmal herausfinden, wie der Prozess dahinter aussieht...
Also:
  • Wer entscheidet wann und wie, dass ein NB entschlüsselt werden soll?
  • Wer genehmigt das?
  • Zeitrahmen?
  • ...
Nachdem du dir diese Fragen beantwortet hast, weißt du, wie die Aktion am Ende ablaufen soll.

Dann kommen die technischen Fragen
z.B.:
  • Wie genau sieht die aktuelle BitLocker Konfiguration überhaupt aus?
  • Inwieweit kann man in dem Webshop solche Dinge eventuell direkt einbinden? Workflows an Artikel hängen? -> Eventuell mit Softwarefirma in Verbindung setztn oder selbst gucken.
  • Wo sind die User gerade, wenn sie den Artikel kaufen? (VPN\LAN\Örtliche Gegebenheit)
  • Wie lange machen meine SSDs das technisch überhaupt mit, ohne abzurauchen? Aktuelle Backupsituation prüfen!
  • Wie viele Daten liegen auf den Geräten? Wie lange dauern die Vorgänge?

Was sollte Ich von vornherein Wissen oder auf was sollte ich achten?
Es dauert immer mindestens drei mal so lange, soetwas zu bauen, als man sich vorher überlegt hat.
Wenn ich sage "Das dauert 8 Stunden" heißt das nicht, ein Arbeitstag und gut, sondern "Würde ich theoretisch komplett ungestört und ohne Pause daran arbeiten, könnte es vlt. in 8 Std. fertig werden." Auf Deutsch: Es dauert eine Woche. Weil was nicht geht, wie geplant und weil man ständig vom Daily Doing unterbrochen wird...
Wenn du das also deinen Kollegen vorstellst, sei nicht zu optimistisch.

Und dazu noch etwas:
Fehlerquoten... Du hast sicher schon ewig oft eine Platte verschlüsselt und entschlüsselt und wieder verschl....
Durch die Automatisierung und die Vereinfachung passieren einige Dinge...
Das wichtigste: Die User haben ihr Notebook in ihrer Hand, während der Vorgang läuft. Was passiert, wenn sie es währenddessen durch die Gegend schmeißen?
Dann: Die Anzahl der Vorgänge wird steigen, denn du machst es den Usern einfacher, "mal eben" ihre Laufwerke zu entschlüsseln.
Das ergibt zusammen: Ihr werdet wahrscheinlich öfter mal mit Fehlern konfrontiert, die ihr eventuell noch nicht kennt.

Hiermit erstmal viel Spaß beim Lesen. Nun bin ich von mir selbst erstaunt...
Dabei tun sich sicher nochmal genau so viele neue Fragen auf. Aber ich muss gestehen, mittlerweile finde ich die Idee recht interessant face-smile


Beste Grüße
Dominique

P.S.:
Wenn du jetzt etwas sagen würdest, wie:
Ich habe einen Windows Server zur freien Verfügung, möchte nicht auf die bestehenden Portale zurückgreifen, meine Laptops sind so und so verschlüsselt...
Dann kann man sich hier ganz kreativ etwas ausdenken. (PHP-Code?)
Mitglied: Scuzzy
Scuzzy 08.05.2015 aktualisiert um 07:42:07 Uhr
Goto Top
Vielen Herzlichen Dank! face-smile

Du hast mich aufjedenfall schon einmal einen RIESEN Schritt weiter gebracht face-smile

Wenn du magst, melde Ich mich nächsten Mittwoch bei dir und erzähle dir, mit welchem Verfahren Wir die Sache angehen wollen !

Mit freundlichen Grüßen,
Nik.
Mitglied: DerWoWusste
DerWoWusste 08.05.2015 um 10:41:33 Uhr
Goto Top
Ich sehe, Du bleibst beim Ansinnen, es Umzusetzen. Nun gut. Ich geb auch ein paar Tipps hinzu, etwas anderer Natur.
Du bist Azubi - dies aber ist ein security-Projekt, welches einige Trageweite hat, denn

-Du könntest Daten offenlegen, was nicht erwünscht ist
-Du könntest Daten zerstören/unzugänglich machen
-Du könntest, da Du zur Ver- und Entschlüsselung mit hohen Rechten handeln lässt, die Systemsicherheit untergraben
-Du übermittelst sicherheitskritische Dinge wie Credentials oder Schlüssel über's Internet

Das plant normalerweise kein Azubi, auf gar keinen Fall. Wenn Du jermandem dabei hilfst, der Ahnung und Erfahrung damit hat - schön. Aber versuch es nicht allein.