Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Bitlocker als normaler Benutzer Win 7 64 Bit

Frage Microsoft

Mitglied: derophan

derophan (Level 1) - Jetzt verbinden

05.08.2011, aktualisiert 18.10.2012, 11135 Aufrufe, 17 Kommentare

Bitlocker als normaler Benutzer Win 7 64 Bit

Schönen guten Tag,

folgendes: Wir haben hier ein Notebook mit dem OS WIN7 64 Bit Ultimate.
Wir würden nun gerne Bitlocker auf einem Laufwerk verwenden, da der Benutzer mit dem Notebook auch auf Reisen ist. Es soll hierbei eine Partition verschlüsselt werden auf der lediglich Dokumente liegen. Jedoch ist nun folgendes "Problem" Beim Einstellen des Laufwerks und beim Entsperren verlangt Bitlocker immer unseren Domänen Admin.
Geht das nicht als normaler Domänen Benutzer?
Mitglied: cardisch
05.08.2011 um 12:40 Uhr
Gottlob nicht...
Stelle dir mal vor JEDER würde das machen (geht ja auch an PC´s)....
Da könnte man noch einen einstellen, der Daten wieder entschlüsselt, wiederherstellt, wieder verschlüsselt, etc pp...

Gruß

Carsten
Bitte warten ..
Mitglied: Lochkartenstanzer
05.08.2011 um 13:03 Uhr
Ich würde ja für so etwas truecrypt nehmen.

Aber du könntest es mit einem lokalen Admin versuchen. Das sollte üblicherweise auch gehen.
Bitte warten ..
Mitglied: derophan
05.08.2011 um 13:23 Uhr
Zitat von Lochkartenstanzer:
Ich würde ja für so etwas truecrypt nehmen.

Aber du könntest es mit einem lokalen Admin versuchen. Das sollte üblicherweise auch gehen.

Die User sollen keine lokalen Adminrechte erhalten. Wir hatten uns Ultimate deswegen Testweise besorgt, dass die Benutzer die halt wie oben erwähnt unterwegs sind, Ihre Daten in das Laufwerk verschieben können.
Also geht es leider nur mit lokalen Adminrechten?
Bitte warten ..
Mitglied: derophan
05.08.2011 um 13:24 Uhr
Zitat von cardisch:
Gottlob nicht...
Stelle dir mal vor JEDER würde das machen (geht ja auch an PC´s)....
Da könnte man noch einen einstellen, der Daten wieder entschlüsselt, wiederherstellt, wieder verschlüsselt, etc
pp...

Gruß

Carsten

Es würde dann halt nur für die Laptops gelten. Bei den Fat Clients im Betrieb ist kein Ultimate installiert.
Bitte warten ..
Mitglied: Pjordorf
05.08.2011 um 16:17 Uhr
Hallo,

Zitat von derophan:
Die User sollen keine lokalen Adminrechte erhalten.
Ist auch richtig so.

Also geht es leider nur mit lokalen Adminrechten?
Das Benutzen von Bitlocker erfordert keine Adminrechte. Bitlocker Ein- Ausschalten oder Ändern schon. Bitlocker auf Laptop als Admin eingerichtet und die Benutzer merken davon nichts. So habe ich es auf einige Laptops am laufen. Sie auch Auszug aus http://technet.microsoft.com/en-us/library/ee449438(WS.10).aspx#BKMK_pr ...
What credentials are required to use BitLocker?
To turn on, turn off, or change configurations of BitLocker on operating system and fixed data drives, membership in the local Administrators group is required. Standard users can turn on, turn off, or change configurations of BitLocker on removable data drives. Disable the Control use of BitLocker on removable drives policy setting (located in Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives) to restrict standard users from turning on or turning off BitLocker on removable data drives.

Gruß,
Peter
Bitte warten ..
Mitglied: DerWoWusste
05.08.2011 um 16:21 Uhr
Kollegen,... etwas mehr Fantasie ! Es geht auch ohne Adminrechte - gewusst wie.

Bitlocker kann man über die Kommandozeile steuern. Erstellt einen Task "Unlock", der mit Systemrechten läuft (Kein Kennwort eingeben, ausführender Nutzer ist "system").
Kommandozeile:
01.
manage-bde -unlock f: -RecoveryPassword 022759-034210-619410-534754-613052-358468-115588-284493
f: ist hierbei die verschlüsselte Partition, 022... ist der Recoverykey (NICHT das Kennwort, damit geht es nicht in der Kommandozeile ,vermutlich ein Bug ). Den Recoverykey findet man in der Textdatei, die bei der Verschlüsselung gezwungenermaßen angelegt wurde.

Nun vergibt man für den gewünschten User Ausführrechte auf c:\windows\system32\tasks\unlock und erstellt ihm eine Batch mit dem Inhalt
01.
schtasks /run /tn unlock 
fertig!

Achtung: das Laufwerk wird nun gemountet und ist systemweit verfügbar bis zum Neustart. Will man es wieder abschließen, wird ein weiterer Task "Lock" fällig mit
01.
manage-bde -lock f:
Demnach auch eine weitere ACL-Anpassung und schtasks-Batch:
01.
schtasks /run /tn lock
NÖTIGER Edit:
Noch was zu diesem Vorgehen... was wäre, wenn das Notebook jetzt von einem findigen Menschen gefunden würde, der die Tasks anschaut? Er würde das Recoverykennwort im Klartext finden... Schutz ade. Somit müsste man, wenn man diesen dollen Workaround für non-Admins nutzen möchte, das Kennwort auch verschlüsselt übergeben. Also eine Batch schreiben, die es aus einer Textdatei einliest, die Ihrerseits verschlüsselt ist (verschlüsselt mit dem EFS-Zertifikat des Systemkontos, welches den Task ausführt). Am Ende von der Batch wird diese natürlich gelöscht - so ist es sicher, hat aber den Nachteil, dass der User mal eben ein Kennwort "022759-034210-619410-534754-613052-358468-115588-284493" lernen muss... das ist unmöglich. Leider buggt Bitlocker auf Win7 bei der Option -Password zumindest bei mir... er erklärt es für falsch.
Bitte warten ..
Mitglied: DerWoWusste
05.08.2011 um 16:24 Uhr
@Pjordorf
Das Benutzen von Bitlocker erfordert keine Adminrechte
Sicher? Das drückt MS missverständlich aus. Natürlich kann ich eine vollverschlüsselte Platte Usern ohne Adminrechte starten lassen, da macht das ein Systemdienst. Ein lokales (non-removable) Volume hingegen interaktiv zu mounten können nur Admins (oder mein Umweg unten).
Edit - Beweis... als User ausgeführt:
manage-bde -unlock f: -RecoveryPassword 022759-034210-619410-534754-613052-358468-115588-284493
liefert
ERROR: An attempt to access a required resource was denied.

Check that you have administrative rights on the computer.
Bitte warten ..
Mitglied: DerWoWusste
05.08.2011 um 16:31 Uhr
Noch was @Pjordorf
Bitlocker auf Laptop als Admin eingerichtet und die Benutzer merken davon nichts
Nichts? Heißt das, eine PIN müssen sie auch nicht eingeben, sondern TPM-only? Falls ja: das ist unsicher da anfällig gegen Coldboot-Attacken. Nutzt lieber nebem TPM noch die 4-stelligen PINs.
Bitte warten ..
Mitglied: Pjordorf
05.08.2011 um 16:38 Uhr
Hallo,

Zitat von DerWoWusste:
sondern TPM-only?
Ja, war so gefordet.

Falls ja: das ist unsicher da anfällig gegen Coldboot-Attacken. Nutzt lieber nebem TPM noch die 4-stelligen PINs.
Und wie immer ein ist auch hier ein GF der es absolut nicht mit einer PIN will.... Leider.

Gruß,
Peter
Bitte warten ..
Mitglied: Lochkartenstanzer
05.08.2011 um 16:42 Uhr
Zitat von Pjordorf:
Und wie immer ein ist auch hier ein GF der es absolut nicht mit einer PIN will.... Leider.

Dann solltest Du ihm klarmachen, er dann kein Bitlocker braucht.
Bitte warten ..
Mitglied: DerWoWusste
05.08.2011 um 16:44 Uhr
Und wie immer ein ist auch hier ein GF der es absolut nicht mit einer PIN will.... Leider
http://www.youtube.com/watch?v=JDaicPIgn9U (Autor: Princeton University!) soll sich Dein Chef mal anschauen. Zitat "typically taking only a few minutes" sollte ihn nervös machen.
Selbst eine 4-stellige PIN macht diese Attacke unmöglich.
Bitte warten ..
Mitglied: Pjordorf
05.08.2011 um 16:51 Uhr
Hallo,

Zitat von Lochkartenstanzer:
Dann solltest Du ihm klarmachen, er dann kein Bitlocker braucht.
Er behauptet fest und steif das sein Bruder ihm sonst die Festplatte ausbaut und dann in einen anderen PC...... Er ist hier auch auch keine verhandlungsbasis gegeben da er auf Stur schaltet (ich bin der der bezahlt also....)

Gruß,
Peter
Bitte warten ..
Mitglied: Pjordorf
05.08.2011 um 16:58 Uhr
Hallo,

Zitat von DerWoWusste:
soll sich Dein Chef mal anschauen.
Nene. Ist nicht mein Chef. ich bin Selbstständig. Ist ein Kunde, der ist allerdings ein alter freund und sehr sehr stur. Wir kennen uns jetzt schon 20 jahre und ich will ihn schon nicht mehr ändern das neue Laptop habe ich schon ohne Bitlocker für ihn gemacht, wobei er das nicht weiss und er ist happy. Sein Sohn hat irgendwann mal angefangen ihm diesen Floh ins ohr zu setzen wobei er selbst von EDV keine Ahnung hat aber genauso stur ist. Hat schon zig Handys verloren, besteht aber darauf keinen PIN usw zu brauchen. Auch I-Phones am Exchange sind schon weg, aber es SOLL nichts geändert werden....

Egal, ist halt ein besonderer Kunde, der schon viel Lehrgeld wegen Datenklau bezahlt hat und immer noch nichts ändern will.

Das Video werde ich ihm allerdings wöchentlich vorführen

Gruß,
Peter

(Ist aber trotzdem mein Kunde und auch mein Freund
Bitte warten ..
Mitglied: DerWoWusste
05.08.2011, aktualisiert 18.10.2012
Und noch ein Kommentar...
Truecrypt ist hier von Vorteil, L.K.Stanzer hat Recht. Man kann es, nachdem ein Admin es installiert hat, auch als User nutzen, um Cryptocontainer als Laufwerke zu mounten - kein Adminkennwort erforderlich. Allerdings geben wir als Admins hiermit die Verantwortung für die Sicherheit des Truecrypt-Kennwortes auf, der User kennt es und kann es jederzeit ändern, zudem kann er weitere Daten in neue Container verfrachten und potentiell unwiederbringlich verlieren.

Ich habe meinen langen Beitrag zu Bitlocker nun mal zu Ende gedacht und unten editiert: http://www.administrator.de/forum/bitlocker-als-normaler-benutzer-win-7 ...
So wird tatsächlich ein Schuh draus und der User kennt das Kennwort nicht einmal geschweige denn, dass er es ändern kann.
FinalEDIT: ABER... so lange das Systemlaufwerk nicht verschlüsselt ist, kann ein Dieb weiterhin Boot-CDs nutzen, um lokaler Admin zu werden und dann natürlich auch den Task betätigen, um zu mounten... da sieht man erneut, dass dies kein vernünftiger Weg ist, falls man keine Adminrechte hat.
Bitte warten ..
Mitglied: Lochkartenstanzer
05.08.2011 um 19:32 Uhr
Wenn es nur das ist: Setz ein HDD-Paßwort im BIOS.
Bitte warten ..
Mitglied: DerWoWusste
05.08.2011 um 19:43 Uhr
Stimmt, das durfte hier nicht fehlen ;)
Dann aber "zur Sicherheit" auch gleich folgende Software mitliefern: http://www.hddunlock.com/
Bitte warten ..
Mitglied: C.R.S.
06.08.2011 um 21:20 Uhr
Hallo Peter,

bei aller Sturheit will dein Freund doch irgendeinen Vorteil gegenüber dem unverschlüsselten System haben. Den erkenne ich hier nicht.

Schon nur die Datenpartition zu verschlüsseln ist unter Windows 7 unsinnig. Unter XP konnte man die Systempartition als potenzielles Datenleck noch durch entsprechende Konfiguration und EFS einigermaßen abdichten. Hier sind die Gelegenheiten, zu denen Daten auf der Systemplatte landen (vom Nutzerzverhalten ganz abgesehen), nicht mehr überschaubar und ist die Friemelei nicht mehr praktikabel. Es gibt außerdem kaum einen Grund mehr für die unvollständige Verschlüsselung, wenn das System schon eine gegenüber Imaging transparente Verschlüselung mitbringt.
Zudem gibt es gegen TPM-only komfortablere Alternativen zu Cold Boot.

Wenn er etwas gegen PINs hat, schlage doch eine Vollverschlüsselung wenigstens mit TPM+USB-Schlüssel vor.

Grüße
Richard
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Microsoft Office
32 Bit CAD Programm und Excel 64 Bit geht nicht (5)

Frage von GrueneSosseMitSpeck zum Thema Microsoft Office ...

Windows 10
gelöst MacBook Air Intel HD 3000 und Windows 10 64 bit? (8)

Frage von NeXiaL-Computers zum Thema Windows 10 ...

Windows 10
gelöst Windows 10 Pro 64 Bit "Schnellstart aktivieren" abschalten per GPO (6)

Frage von maxpoint zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (15)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...