none
BTG BitlockerToGo - Verwaltung auf Wechseldatenträger für Benutzer mittels Gruppenrichtlinie beschränken RRS feed

  • Frage

  • Hallo Zusammen,

    hoffe wieder hier Hilfe zu finden...

    Umfeld:

    + AD-Domain Gesamt/Domain Level Windows 2008 R2,
    + Windows 7 Enterprise Clients
    + Bitlocker Funktionen und KeyProtectorID und Recoverpassword Speicherung im AD vorhanden und funktionsfähig.

    Aufgabenbeschreibung:

    Für die Nutzung von USB-Sticks mit BitlockerToGo (Siehe BTG) wurden diese zentral vorbereitet und mit den folgenden "KeyProtector" ausgestatet:

    KeyProtector         : {RecoveryPassword, Password, AdAccountOrGroup}

    Die Speicherung von PasswordID und RecoveryPassword erfolgt erfolgreich ins AD.

    Die Empfänger des USB-Sticks erhalten das Entsperr-Kennwort "Password" und sollen dies auch auf ein persönliches ändern können. Für den zukünftigen Einsatz mit Windows 8x, 10x ist die Nutzung mit einer AD-Gruppe vorgesehen.

    Alles soweit möglich ...

     Problemstellung:

    Nach der Eingabe des Entsperr-Kennworts können der Empfänger aber durch die Bitlocker-Verwaltung den "RecoveryPassword" auslesen (Wiederherstellungsschlüssel erneut speichern oder drucken) was ich gerne verhindern möchte (denke macht Sinn)!



    Leider finde ich bei den Gruppenrichtlinien zum Bitlocker keine Möglichkeit dazu oder ich finde die Einstellung nicht?
    Dachte evtl. diese würde helfen, jedoch ohne Erfolg.


    Frage:

    Ist dies mittels Bitlocker-GPO überhaupt möglich?
    Gibt es einfache alternativen ( RegKey etc)?

    Vielen Dank im Voraus, für jede Art der Unterstützung.


    Manfred Schüler

    Mittwoch, 16. September 2015 07:37

Antworten

  • Hi,
     
    Am 16.09.2015 um 09:37 schrieb MSchueler:
    > Nach der Eingabe des Entsperr-Kennworts können der Empfänger aber durch
    > die Bitlocker-Verwaltung den "RecoveryPassword" auslesen
    > (Wiederherstellungsschlüssel erneut speichern oder drucken) was ich
    > gerne verhindern möchte (denke macht Sinn)!
     
    An der Stelle haben sie wohl keine Trennung vorgenommen, was ein
    "Besitzer" des Kennworts darf.
     
    Wer das Kennwort hat ist dafür verantwortlich. Wer das Recover Kennwort
    und sein eigenes ändert oder verliert ist selber schuld. Ich fürchte das
    ist eher über eine Arbeitsanweisung zu regeln.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Donnerstag, 17. September 2015 09:56

Alle Antworten

  • Hallo Manfred,

    ich bin nicht so kompetent aber vielleicht den folgenden Artikel wird Ihnen schon ein bisschen weiter helfen.

    Active Directory and BitLocker – Part 3: Group Policy settings

    Und vielleicht ein Blick auf diesem werfen:

    Best Practices for BitLocker in Windows 7

    Gruß,

    Teodora


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Donnerstag, 17. September 2015 07:18
    Moderator
  • Hi,
     
    Am 16.09.2015 um 09:37 schrieb MSchueler:
    > Nach der Eingabe des Entsperr-Kennworts können der Empfänger aber durch
    > die Bitlocker-Verwaltung den "RecoveryPassword" auslesen
    > (Wiederherstellungsschlüssel erneut speichern oder drucken) was ich
    > gerne verhindern möchte (denke macht Sinn)!
     
    An der Stelle haben sie wohl keine Trennung vorgenommen, was ein
    "Besitzer" des Kennworts darf.
     
    Wer das Kennwort hat ist dafür verantwortlich. Wer das Recover Kennwort
    und sein eigenes ändert oder verliert ist selber schuld. Ich fürchte das
    ist eher über eine Arbeitsanweisung zu regeln.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Donnerstag, 17. September 2015 09:56
  • Hallo Mark,

    danke für deine Antwort.

    Ich kenne deine tolle GPO-Webseite und hätte gerade deshalb gedacht, es wäre möglich die "Bitlocker Verwaltung" auf die Wechseldatenträger, zumindest bei den eigenen Systemen, etwas einschränken zu können (kein Ausdruck/Speichern, etc.).

    Ich gebe dir Recht, wer Zugriff auf den Bitlocker verschlüsselten Wechseldatenträger oder Datenträger allgemein erlangt, kann ja auch die Bitlocker Informationen mittel PS oder manage-bde auslesen!
    Habe dazu schon eine Arbeitsanweisung geschrieben, aber du weißt ja, dass steht ja "nur" auf Papier ;-)

    Nun dann vielleicht in der Zukunft...

    Bis dann


    Manfred Schüler

    Donnerstag, 24. September 2015 12:06
  • Hi,
     
    Am 24.09.2015 um 14:06 schrieb MSchueler:
    > Ich kenne deine tolle GPO-Webseite
     
    Danke für die Blumen!
     
    > und hätte gerade deshalb gedacht, es wäre möglich die "Bitlocker
    > Verwaltung" auf die Wechseldatenträger, zumindest bei den eigenen
    > Systemen, etwas einschränken zu können (kein Ausdruck/Speichern,
    > etc.).
     
    Ich find die Idee gut. Pack es als Wunsch in das Windows 10 Feedback
    Tool, ich werde es "liken". :-)
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Freitag, 25. September 2015 07:42
  • Hallo Mark,

    "Windows 10 Feedback"?

    Würde ich gerne Web basierend machen, nur wo?
    oder meinst du  Start Symbol „Start“ und dann Einstellungen > Datenschutz > Feedback und Diagnose ?

    Schöne WE und LG


    Manfred Schüler

    Freitag, 25. September 2015 13:46
  • Hi,
     
    Am 25.09.2015 um 15:46 schrieb MSchueler:
    > Würde ich gerne Web basierend machen, nur wo?
     
    Geht nicht. Geht nur über die App in Windows 10 :-(
     
    Habe ich hier direkt unter Programme "Windows Feedback"
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Freitag, 25. September 2015 14:29
  • Hallo Mark,

    wollte noch sagen, das die Übermittlung des "Windows Feedback", vermutlich durch meine Privatsphäre / Datenschutz Einstellungen, nicht möglich ist bzw. einfach "Weiß" bleibt !?!

    Ein "Microsoft Feedback WebLink" wäre wohl auch zu einfach ....

    Dennoch alles Gute und Tschöö oder auch Tschau :-)


    Manfred Schüler

    Freitag, 9. Oktober 2015 09:48