2005021

Festplattenverschlüsselung und Bitlocker-Verwaltung für Profis

12.12.2014 | 08:45 Uhr |

Mit WinMagic SecureDoC gibt es ein cleveres Programm für die Festplattenverschlüsselung und Bitlocker-Verwaltung unter Windows und Windows Server. Wir stellen das Profi-Tool vor.

Geht es um die Sicherheit von Rechnern, spielt auch die Verschlüsselung der Festplatten eine wichtige Rolle. Hier bieten Windows 7, 8.1 und Windows 10 in den Editionen Professional und Enterprise die Bitlocker-Laufwerksverschlüsselung. Mit dieser Funktion lassen sich Computer, aber auch Server recht zuverlässig verschlüsseln. 

Bitlocker ist zwar in Windows dabei, allerdings gibt es keine optimale zentrale Verwaltung für den Dienst
Vergrößern Bitlocker ist zwar in Windows dabei, allerdings gibt es keine optimale zentrale Verwaltung für den Dienst

Allerdings ist die zentrale Verwaltung der Verschlüsselung nicht sehr ideal gelöst. Zwar bietet Microsoft über das Microsoft Desktop Optimization Pack für Kunden mit Wartungsvertrag das Tool Microsoft BitLocker Administration and Monitoring (MBAM), allerdings ist auch diese Möglichkeit für die zentrale Verwaltung von Bitlocker nicht gerade ideal und recht eingeschränkt. Wer flächendeckend Bitlocker einsetzen und zentral verwalten will, kommt also um Lösungen von Drittherstellern nicht herum.

Mit MBAM erhalten Unternehmen die Möglichkeit Bitlocker zentral zu verwalten und Berichte zu erstellen. Für eine effiziente Bitlocker-Verwaltung reicht das aber nicht aus
Vergrößern Mit MBAM erhalten Unternehmen die Möglichkeit Bitlocker zentral zu verwalten und Berichte zu erstellen. Für eine effiziente Bitlocker-Verwaltung reicht das aber nicht aus

Dazu kommt, dass MBAM nur Bitlocker verwalten kann. Setzen Sie noch andere Geräte im Netzwerk ein, können Sie diese nicht an MBAM anbinden. Doch es gibt eine Lösung für dieses Problem.

WinMagic-Festplattenverschlüsselung mit SecureDoc

Ein Produkt eines Drittherstellers in diesem Bereich ist WinMagic SecureDoc. Die Software kann Bitlocker-Geräte in der aktuellen Version zentral verwalten. Dafür stehen eine Verwaltungskonsole sowie eine Weboberfläche zur Verfügung. Die Software kann aber nicht nur Bitlocker-Laufwerksverschlüsselung verwalten, sondern auch andere Geräte verschlüsseln. In der aktuellen Version lassen sich iOS-/Android-Geräte über eine Mobile Device Management-Erweiterung verschlüsseln. Auch Mac OS X-Geräte können Sie mit der Anwendung verschlüsseln lassen.

Bei Nicht-Microsoft-Geräten kommt natürlich nicht die Bitlocker-Verschlüsselung zum Einsatz, sondern andere Technologien werden verwendet. Verschlüsseln Sie Mac OS X-Geräte, kommt als Verschlüsselung zum Beispiel FileVault 2 zum Einsatz. Allerdings werden alle Verschlüsselungsoperationen im Netzwerk immer in der zentralen Verwaltungskonsole von SecureDoc verwaltet. Das stellt einen zentralen Vorteil dar. Selbst wenn Sie nur Bitlocker einsetzen, bietet SecureDoc einige Vorteile.

In Windows-Netzwerken spielt SecureDoc seine Vorteile bezüglich der Bitlocker-Verwaltung aus. Ab Version 6.4 kann die Lösung auch Netzwerk-Pre-Boot-Authentifizierung verwenden und UEFI Secure-Boot nutzen. Die zentrale Verwaltung erfolgt durch WinMagic SecureDoc Enterprise Server. Die Lösung erweitert die Funktionen von Bitlocker um zusätzliche Technologien.

Bereits vor dem Start des Betriebssystems können Sie mit SecureDoc eine Authentifizierung durchführen.
Vergrößern Bereits vor dem Start des Betriebssystems können Sie mit SecureDoc eine Authentifizierung durchführen.

Sie können mit der Lösung, neben der lokalen Authentifizierung am Rechner, auch Netzwerk-Anmeldedaten und Multi-Faktor-Authentifizierung nutzen. Auf diesem Weg lassen sich auch Smartcards oder Token einsetzen, genauso wie Biometriedaten. Dazu kommt die Möglichkeit die Bitlocker-Verschlüsselung an den Enterprise-Server anzubinden, um eine bessere Absicherung im Netzwerk zu bieten.

Mit PBConnex müssen sich Anwender noch vor dem Start des Rechners authentifizieren. Durch Single-Sign-On-Möglichkeiten werden die Anwender dann auch gleich an Windows und Active Directory angemeldet. Benutzer müssen sich also nicht mehrmals anmelden, wenn Sie auf SecureDoc setzen. Hier lassen sich auch Active Directory-Rollen verwenden.

Administratoren können auf diesem Weg auf PCs zugreifen und Einstellungen ändern, ohne die Geräte im direkten Zugriff zu haben. Der Vorteil dieser Technologie ist, dass die Rechner und die gespeicherten Daten jederzeit vollständig geschützt sind, da die Entschlüsselung nur dann durchgeführt wird, wenn die Anmeldung am Netzwerk korrekt ist. Diese Technologie lässt sich nicht nur mit Bitlocker nutzen, sondern auch mit den anderen Verschlüsselungstechnologien in SecureDoc.  

Die Vorgehensweise dabei ist folgende:

1. Der Benutzer meldet sich an der SecureDoc-Anmeldemaske mit seinem Domänenkonto oder seinem lokalen Konto an.
2. Der Enterprise-Server überprüft die Daten über die Active Directory-Domänencontroller und stellt dabei auch fest, ob der entsprechende Anwender berechtigt ist sich an diesem Gerät anzumelden.
3. Sind die Daten korrekt, und darf sich der Benutzer an diesem Gerät anmelden, wird das Betriebssystem gestartet. Der Vorteil bei dieser Technologie ist, dass Sie hier nicht nur Bitlocker-Geräte verwenden können, sondern alle Rechner und Smartphones/Tablets die an SecureDoc angebunden sind.

Zentrale Überwachung mit SecureDoc-Konsole

Über die Verwaltungskonsole von SecureDoc sehen Sie jederzeit den Verschlüsselungsstatus von Bitlocker-geschützten Rechnern, aber auch von Geräten die mit anderen Technologien geschützt werden. Mit der zentralen Verwaltungsoberfläche überwachen Sie auch die Verschlüsselung von iOS- und Android-Geräten, Mac OS, aber auch Linux. Sie können auch externe Laufwerke, USB-Sticks, CDs und DVDs verschlüsseln. Die externen Geräte werden mit dem gleichen Standard verschlüsselt wie die Festplatten.

In den Einstellungen der SecureDoc-Konsole finden Sie einen eigenen Bereich für die Verwaltung von Bitlocker. Hier schalten Sie die Unterstützung für Bitlocker ein. Außerdem legen Sie hier fest, ob Sie die Pre-Boot-Funktion von Bitlocker nutzen wollen, oder die Möglichkeiten in SecureDoc. In den Einstellungen nehmen Sie auch die Konfigurationen zur Verschlüsselung vor. Empfohlen wird die Verwendung von SecureDoc Pre-Boot. Denn nur hier werden alle Funktionen der Software unterstützt.

Erweiterte Verschlüsselung mit SecureDoc - TCG/OPAL

SecureDoc kann aber nicht nur Bitlocker verwalten und verschlüsseln, sondern auch die Verschlüsselungs-Mechanismen der Festplatten selbst nutzen. TCG/OPAL-Festplatten lassen sich mit der Lösung genauso verwalten, wie Bitlocker. Hier spielen vor allem SSDs eine wichtige Rolle sowie die Möglichkeit die Geräte zu verschlüsseln. Ob das Ihre Festplatte unterstützt, sehen Sie in der Verwaltungssoftware der SSD.

Die Unterstützung für Hardware-Verschlüsselung und deren Kompatibilität mit SecureDoc finden Sie häufig in der Verwaltungs-Software der SSD
Vergrößern Die Unterstützung für Hardware-Verschlüsselung und deren Kompatibilität mit SecureDoc finden Sie häufig in der Verwaltungs-Software der SSD

Auch hier können Sie die Pre-Boot-Authentifizierung im Netzwerk aktivieren. SeucreDoc verschlüsselt immer die komplette Festplatte. Durch diese Funktionen können Unternehmen ihre Rechner also zuverlässig schützen und verschlüsseln, auch dann wenn mehrere verschiedene Systeme in einem heterogenen Netzwerk im Einsatz sind.
Voraussetzungen für den Betrieb ist ein Server ab Windows Server 2003, besser neuer mit installiertem IIS 7.0. Der Server speichert die notwendigen Daten in einer Datenbank auf Basis von Microsoft SQL Server 2008 oder neuer. In der Datenbank speichert SecureDoc seine Schlüssel und Benutzerdaten. Diese Daten sind natürlich verschlüsselt abgelegt. Über diese Daten lassen sich Clients wiederherstellen.

Fazit

WinMagic SecureDoc Enterprise Server ist eine mächtige Lösung die den Nutzen von Bitlocker im Unternehmen erst richtig verwaltbar macht. Unternehmen, die auf Bitlocker und andere Verschlüsselungstechnologien setzen wollen, sollten sich SecureDoc ansehen. Für die Verschlüsselung einzelner Rechner ist die Lösung sicher nicht geeignet, für die Anbindung zahlreicher Clients ist SecureDoc aber extrem mächtig.

Allerdings steigt durch die Einführung der Lösung natürlich auch der Aufwand und die Kosten für die Verwaltung der Rechner. Wer nur auf Bitlocker setzt, kann sich SecureDoc für Windows http://www.winmagic.com/de/produkte/full-disk-encryption-fur-windows ansehen, hier werden dann aber keine anderen Geräte unterstützt.
 
 

0 Kommentare zu diesem Artikel
2005021