none
Wie kann BitLocker einen Server schützen? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    .

    ich möchte meine PCs und den Server mit BitLocker verschlüsseln um gegen Datenverlust durch Diebstahl geschützt zu sein.

    Bei den PCs ist es kein Problem - BitLocker einrichten und bei jedem Start kommt die Passwortfrage.

    .

    Aber wie mache ich das am Server?

    Ich könnte BitLocker beim Start nach einem Passwort fragen lassen. Damit habe ich zwar meinen Schutz aber der Server würde nicht mehr selbst durchstarten (nach Stromausfall, Windows-Update, ...)

    .

    Ich könnte auch einen USB-Stick mit dem Key ständig angeschlossen lassen. Dann ist zwar die HDD verschlüsselt aber wenn der Server gestohlen wird ist auch der USB-Stick mit weg. Ich kann dann die HDD des Servers in einen fremden PC hängen und mittels Stick wieder entsperren. Also Quatsch.

    .

    Ganz ähnlich beim TPM-Modul. Das wird ebenso mit dem Server gestohlen. Hier kann ich zwar nicht die Server-HDD in einen anderen PC klemmen aber zumindest startet der Server durch und bietet mir Netzwerkfreigaben und Anmeldemaske -> also Angriffsfläche.

    Und was ist eigentlich wenn ich den Server per Boot-DVD starte. Kann ich dann auf die verschlüsselte HDD drauf, da das TPM ja verfügbar ist?!

    .

    Bleibt nur noch die Variante mit Netzwerkentsperrung. Aber dazu brauche ich ja einen weiteren Server, der die WDS-Rolle übernimmt. Ein bisschen viel Aufwand wenn man ein Netzwerk mit nur 4 PCs hat.

    .

    Ich habe doch sicher irgendwas noch nicht verstanden?!?

    Danke für den entscheidenden Tipp

    Montag, 28. Mai 2018 08:37
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Ich habe doch sicher irgendwas noch nicht verstanden?!?

    Nee, wieso? Soweit ich es überblicken kann, alles richtig:

    • entweder manuelle Entsperrung und beim Booten eingreifen müssen (iLO, iDRAC, iRMC helfen da ganz entscheidend).
    • oder Network Unlock, und innerhalb des AD dann ohne Unterbrechung booten können. Der Network Unlock-Server bildet da natürlich eine Ausnahme.
    • Alles, was den Schlüssel neben das Schloss hängt, ist bei physischem Diebstahl ungeeignet.

    Jetzt mal von den technischen Details abgesehen: Wie hättest Du es Dir sonst gewünscht?

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Montag, 28. Mai 2018 08:50
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Ich habe doch sicher irgendwas noch nicht verstanden?!?

    Nee, wieso? Soweit ich es überblicken kann, alles richtig:

    • entweder manuelle Entsperrung und beim Booten eingreifen müssen (iLO, iDRAC, iRMC helfen da ganz entscheidend).
    • oder Network Unlock, und innerhalb des AD dann ohne Unterbrechung booten können. Der Network Unlock-Server bildet da natürlich eine Ausnahme.
    • Alles, was den Schlüssel neben das Schloss hängt, ist bei physischem Diebstahl ungeeignet.

    Jetzt mal von den technischen Details abgesehen: Wie hättest Du es Dir sonst gewünscht?

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Montag, 28. Mai 2018 08:50
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    .

    danke. Lag ich also gar nicht verkehrt... das ist ja schade.

    .

    Wie ich es mir gewünscht hätte?

    BitLocker aktivieren, Passwort nie wieder eingeben müssen, aber wenn der Dieb kommt darf er keinen Zugriff haben.

    Ganz einfach also :)

    .

    Es war mir irgendwie schon klar, dass das schon von der Theorie her nicht klappen kann.

    Auch iDRAC und Co. sind ja keine richtigen Lösungen. Startet der Server erstmal neu (wöchentlich wegen Updates) bekomme ich das erstmal nicht mit - bis morgens dann die Frühschicht nicht arbeiten kann und mich anruft. Jede Woche wieder...

    .

    Evtl. wäre folgendes (für mich) möglich:

    Angenommen der Server kennt den BitLocker-Key. Solange Strom anliegt vergisst er diesen nicht.

    Startet man den Server neu entsperrt er sich selbst (kennt ja den Key).

    Auch beim Herunterfahren mit Abschalten des Servers bleibt ja dennoch Strom anliegend. Er könnte also danach ohne Passwort-Abfrage durchstarten.

    Selbst bei längerem Stromausfall wird der Server durch die USV irgendwann heruntergefahren. Danach hält die USV ja aber immernoch Strom (und da keine Last mehr gezogen wird praktisch für ewig).

    .

    Die BitLocker-Passwortfrage könnte nur dann kommen wenn am Server tatsächlich der Strom weg war - so richtig weg.

    .

    Das würde mir reichen.

    Grüße

    Montag, 28. Mai 2018 12:41
    |
  • Question
    Anmelden
    0
    Anmelden

    Die BitLocker-Passwortfrage könnte nur dann kommen wenn am Server tatsächlich der Strom weg war - so richtig weg.


    Naja, in so etwas würde niemand Entwicklungsaufwand reinstecken. Wie Du selbst sagst, wenn man den Server herunterfährt, zieht er kaum Strom. Gleichzeitig hat ein ordentlicher Server aber ein redundantes Netzteil. Sprich: Der Dieb kommt mit einer kleinen USV vorbei, fährt den Server herunter, zieht eine Seite und steckt sie in seine USV um, schon kann er die Hardware transportieren...

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Montag, 28. Mai 2018 12:51
    |
  • Question
    Anmelden
    0
    Anmelden

    Ja genau.. :(

    .

    Was in der Praxis bedeutet, dass BitLocker für kleine Umgebungen nicht einsetzbar ist.

    Also theoretisch schon - praktisch nicht.

    .

    Schade

    Aber Danke für die Bestätigung/Erklärung.

    Montag, 28. Mai 2018 13:26
    |