none
[W2K16] Fileserver am Remotestandort mit BitLocker verschlüsseln RRS feed

  • Frage

  • Servus Community,

    wir philosophieren gerade darüber, wie wir einen an einem Remotestandort gespiegelten Fileserver adäquat mit BitLocker so verschlüsseln können, dass man auf die Daten weder im eingeschalteten Zustand, noch im zwischenzeitlich ausgeschalteten Zustand zugreifen kann. Ersteres wird durch die Vergabe eines ausreichend sicheren Passwort bereits auch ohne Verschlüsselung gewährleistet sein. Da jedoch auf die Maschine auch physikalischer Zugriff besteht, wäre auch durchaus ein Szenario denkbar, dass man mit einer NT-Passwort Recovery CD das lokale Admin Passwort zurücksetzt und sich dann mit diesem geknackten Passwort Zutritt zum System verschaffen kann. Wäre wahrscheinlich zu verhindern, wenn man auch das Systemlaufwerk verschlüsselt, aber dann befürchten wir, dass wir den Server am Remotestandort nicht mehr neu starten können, ohne vor Ort zu sein, um das Passwort einzugeben.

    Gibt es eine Möglichkeit, das so abzuwickeln, dass der Server sicher ist und wir kein Passwort eingeben müssen, solange kein Zugriff auf den Remotedesktop des Servers besteht?

    Thx & Bye Tom

    Mittwoch, 11. Dezember 2019 14:45

Antworten

  • Moin,

    das Stichwort heißt "Network Unlock".


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 11. Dezember 2019 14:59
  • Oder noch einfacher: TPM drin? Dann https://gpsearch.azurewebsites.net/#2598 aktivieren und die PIN-Abfrage ausschalten. Wenn einer den kompletten Server klaut, kann er natürlich Offline-Attacken dagegen fahren, daher lokalen Admin deaktivieren (oder langes Kennwort und das irgendwo sicher verwahren) und Cached Credentials auf 0.

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Donnerstag, 12. Dezember 2019 16:21

Alle Antworten

  • Moin,

    das Stichwort heißt "Network Unlock".


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 11. Dezember 2019 14:59
  • Oder noch einfacher: TPM drin? Dann https://gpsearch.azurewebsites.net/#2598 aktivieren und die PIN-Abfrage ausschalten. Wenn einer den kompletten Server klaut, kann er natürlich Offline-Attacken dagegen fahren, daher lokalen Admin deaktivieren (oder langes Kennwort und das irgendwo sicher verwahren) und Cached Credentials auf 0.

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Donnerstag, 12. Dezember 2019 16:21