Bitlocker der zweite User kann das Passwort ändern

[Reinh4rd]

Hallo Zusammen,

bei uns auf der Arbeit müssen nun alle Festplatten aufgrund von Datenschutz zusätzlich verschlüsselt werden. Ich bin dabei auf Bitlocker von Microsoft gestoßen und habe den auf einen Test Computer aktiviert. Dies hat ohne Probleme geklappt.

Doch jetzt kommt der Punkt der mich stört. Der zweite normale Benutzer (nicht Admin Konto) ist in der Lage, das Passwort für die Entschlüsselung zu ändern, er braucht lediglich das vorherige Passwort. Das muss er haben, damit er überhaupt auf die Festplatte zugreifen kann. Jetzt habe ich die Befürchtung, dass ein Mitarbeiter aus irgendeinem Grund das Passwort ändert und wir dann nur mit den Wiederherstellungskennwort die Festplatte entschlüsseln können.

Gibt es eine Möglichkeit, einen User dieses Recht zu entziehen? Oder gibt es vielleicht andere Software alternativen?

Danke schon mal im Voraus!

Gruß

Reinh4rd

 

[holdes]

Dafür gibt es eine Gruppenrichtlinie mit der man das ändern für normale User verhindern kann. Für Bitlocker gibt es auch noch andere GPO mit welchen man sich vorher auseinander setzen sollte.

EDIT: habs dir mal rausgesucht:

Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerksverschüsselung -> Betriebsystemlaufwerke -> PIN- oder Kennwortänderungen durch Standardbenutzer nicht zulassen

Infos siehe:

https://docs.microsoft.com/de-de/wi...ion/bitlocker/bitlocker-group-policy-settings

 

[He4db4nger]

btw: man kann (und sollte) die recovery keys direkt im AD speichern. zusätzlich beim verschlüsseln wird ja eine txt-datei auf z.B. einem usb stick abgelegt.

das geht sauber konfiguriert automatisch oder nachträglich über manage-bde mit dem ad-recovery. (falls ihr ein lokales AD habt)

 

[holdes]

Habt ihr Business Geräte im Einsatz? Da könnte sich TPM durchaus als nützlich herausstellen (sofern im PC/Notebook verbaut) .

 

[Blubmann1337]

Jep, wenn ein TPM verbaut und ein AD vorhanden ist, dann kann man das recht geschmeidig umsetzen. Ganz ohne Passworteingabe, etc.

 

[cb_darkman]

Kleiner Hinweis, weils mir schon passiert ist. Unbedingt BIOS updates durch die Benutzer unterbinden, wenn die Daten lokal gespeichert werden. Sonst kann es passieren, das keiner nach dem BIOS Update mehr an die Daten ran kommt.

 

[Blubmann1337]

@cb_darkman wie ist denn das passiert? Normalerweise gehen die Hersteller hin und setzen Bitlocker in der Zeit, wenn das Update läuft aus und setzen voraus, dass man als Administrator angemeldet ist oder das Update entsprechend ausführt. Aber dennoch guter Hinweis. Alles was der Benutzer so am Bitlocker machen kann ist kritisch.

 

[Reinh4rd]

Danke für die schnellen und hilfreichen Antworten. Die Einstellungen sind nun so wie ich sie haben möchte.

Besten Dank