Firmeneinführung Windows 10
- Ersteller Mac_Leod
- Erstellt am
Ic3HanDs
Commander
- Registriert
- Okt. 2007
- Beiträge
- 2.801
Also wenn Win 10 im Unternehmen dann auf jeden Fall Enterprise. Allein was man da alles mehr machen kann durch GPO's... Man kann bei denen die komplette Telemetrik abstellen, Apps deinstallieren usw usf. und das alles leider nur bei Enterprise..
Dann hat man auch das mit den Unterschiedlichen Desktops oder wieder installierten Apps nicht mehr, weil die GPO dies richtet.
Dann hat man auch das mit den Unterschiedlichen Desktops oder wieder installierten Apps nicht mehr, weil die GPO dies richtet.
Das funktioniert so nur leider nicht. Du musst beim Current Branch mit WSUS die halbjährlichen Upgrades spätestens 8 (oder 9?) Monate nach Release installieren, ansonsten bekommen diese Clients keine Sicherheitsupdates und Fixes mehr. Die einzige Alternative ist da der LTSB.t0x schrieb:
Windows Enterprise kaufst du nicht mit dem Rechner, da schließt du einen Vertrag bei einem Microsoft Lizenz-Partner ab und musst Windows Lizenzen inkl. SA kaufen.Mac_Leod schrieb:
Dazu brauchst du also eine Windows Basislizenz (OEM beim Rechner), einen Volumenlizenzvertrag mit ausreichend Windows Lizenzen und Software Assurance für diese Windows-Lizenzen.
Zuletzt bearbeitet:
Christoph_vW
Cadet 4th Year
- Registriert
- Dez. 2004
- Beiträge
- 76
Auf jeden Fall die Enterprise Version, allein schon wegen AppLocker. Damit hält man sich jeden Verschlüsselungstrojaner fern.
Bzgl. BitLocker:
Auf Geräten ohne DMA Schnittstellen und fest verlötetem RAM wie z.B. Surface Pro - ohne PIN, alle anderen nach Möglichkeit mit PIN.
Bzgl. BitLocker:
Auf Geräten ohne DMA Schnittstellen und fest verlötetem RAM wie z.B. Surface Pro - ohne PIN, alle anderen nach Möglichkeit mit PIN.
- Registriert
- Dez. 2001
- Beiträge
- 3.817
Christoph_vW schrieb:
kannst du daruf etwas näher eingehen?
Mehr als die Tutorials bzw Wiki Einträge finde ich nicht wirklich.
Wann setzt man selche Variante ein?
Mein Stand war bisher so, das PBA immer immer aktiv sein solle.
Vendetta192
Lieutenant
- Registriert
- Juli 2014
- Beiträge
- 918
Necareor schrieb:
Die Dell ist einer der größten Microsoft Lizenz-Partner weltweit und bietet unter anderem auch Volumenlizenzen und somit auch Volumenlizenzverträge für den Endkunden (entweder direct oder über Partner) an. Nicht umsonst ist die Dell gerade im Consulting für SCCM sehr start vertreten, auch wenn das über Partner (wie uns bspw.) realisiert wird.
Die halbjährlichen Upgrades müssen übrigens spätestens 8 Monate nach release ausgerollt werden. Für die Enterprise Variante sprechen zudem noch Features wie WIP (Windows Information Protection) sowie der Device- und Credential Guard. Die Advanced Threat Protection lasse ich hier mal außen vor, sind im übrigen auch alles Features die mit dem letzten Anniversary Update (ausgenommen Device Guard) hinzugekommen sind. Wobei man natürlich immer die Notwendigkeit von der aktuellen Umgebung abhängig machen muss. Die WIP benötigt zudem noch ein kompatibles MDM System wie bspw. InTune.
Eins sollten man zu Enterprise aber noch erwähnen: Feature Upgrades werden in einem Intervall von 2-3 Jahren in Form von neuen Windows 10 Versionen verteilt, um diese dann zu installieren, ist dann natürlich zwingend eine Neuinstallation notwendig. Sollte also bei der Wahl des entsprechenden Branches beachtet werden. Folgend eine kurze Zusammenfassung der Enterprise only features:
- Windows Information Protection
- Device- und Credential Guard
- Windows Defender - Advanced Threat Protection
- App-V (seit 01.08.2016 nur noch in Enterprise enthalten)
Noch ein kurzer Einwand hinsichtlich der Lizenzierung, ggf. könnte es auch Sinn machen, sich mal den Enterprise E3 Plan von Windows 10 anzuschauen. Gerade dann, wenn das Budget begrenzt ist oder es Nutzer im Unternehmen gibt, denen mehr als 1 Device zugeordnet ist. Folgend ein kurzer Überblick dazu:
Windows 10 Enterprise E3 – seit 1. September
UVP – 5,90 EUR pro Monat pro Lizenz
Enterprise Features ohne Volumenlizenzvertrag
Fünf Geräte pro Anwender & Lizenz
Windows 10 Pro als Basis
Jahresvertrag mit 90 Tagen Kündigungs-Frist
Gruß
Zuletzt bearbeitet:
Christoph_vW
Cadet 4th Year
- Registriert
- Dez. 2004
- Beiträge
- 76
wirelessy schrieb:
Nein, AppLocker ist noch nicht tot. Mit AppLocker kann man UWP Apps blockieren, mit Device Guard nicht.
Ergänzung ()
Mac_Leod schrieb:
https://blogs.technet.microsoft.com...ocker-pin-on-surface-pro-3-and-other-tablets/
Frightener
Rear Admiral
- Registriert
- Nov. 2001
- Beiträge
- 5.169
Wir machen das folgendermaßen (5500 Mitarbeiter):
Aktuelles Betriebssystem: Windows 8.1 (Enterprise) mit Office 2013
Wird ein Rechner neu aufgesetzt, bekommt er Windows 10 (Enterprise) und Office 2016. Alleine wegen der Verwaltung über GPO ist Enterprise Pflicht.
Wir setzen AppLocker ein, auf den Laptops zusätzlich noch Bitlocker und auf den neuen Geräten, die es unterstützen, Credential Guard. Wir sind nicht im LTSB.
Wir sind was die Microsoft Produkte anbelangt allerdings auch immer auf einem sehr aktuellen Stand. Neben Windows 10 werden seit dem Release von Server 2016 auch die Server mit dem aktuellen OS ausgerollt.
Aktuelles Betriebssystem: Windows 8.1 (Enterprise) mit Office 2013
Wird ein Rechner neu aufgesetzt, bekommt er Windows 10 (Enterprise) und Office 2016. Alleine wegen der Verwaltung über GPO ist Enterprise Pflicht.
Wir setzen AppLocker ein, auf den Laptops zusätzlich noch Bitlocker und auf den neuen Geräten, die es unterstützen, Credential Guard. Wir sind nicht im LTSB.
Wir sind was die Microsoft Produkte anbelangt allerdings auch immer auf einem sehr aktuellen Stand. Neben Windows 10 werden seit dem Release von Server 2016 auch die Server mit dem aktuellen OS ausgerollt.
Zuletzt bearbeitet:
Trefoil80
Commodore
- Registriert
- Dez. 2009
- Beiträge
- 4.876
An alle Bitlocker-"Fans":
https://www.heise.de/newsticker/mel...ehrend-Versions-Upgrades-umgehen-3549348.html
Muhaha
https://www.heise.de/newsticker/mel...ehrend-Versions-Upgrades-umgehen-3549348.html
Muhaha
Enterprise ist bei Windows 10 für richtige Firmen gedacht. Nicht HOME oder PRO.
Wenn eine Firma die was auf sich hält das nicht will, muss sie zusehen wie sie klar kommt.
Ansonsten ist das einfach keine richtige Firma.
Nur weil ich selbständig bin mit 3 Aushilfen und 10 Rechnungen an meinem Laptop schreibe, brauche ich na klar auch kein Enterprise.
Wenn eine Firma die was auf sich hält das nicht will, muss sie zusehen wie sie klar kommt.
Ansonsten ist das einfach keine richtige Firma.
Nur weil ich selbständig bin mit 3 Aushilfen und 10 Rechnungen an meinem Laptop schreibe, brauche ich na klar auch kein Enterprise.
Zuletzt bearbeitet:
.
- Registriert
- Dez. 2001
- Beiträge
- 3.817
Also ich kenne keinen Firmenadmin der zu lässt, das wer sein Windows Upgraden darf. So krass ist die Lücke jetzt nicht wirklich. Wenn wer meinen Dienstrechner mit einem PE image zB. per Stick booten möchte darf man direkt den ewig langen bitlocker Key eingeben. Werd ich kommende Woche mal testen.
Aber Bitlocker wirft eh eine Frage nach der anderen auf atm...
Aber Bitlocker wirft eh eine Frage nach der anderen auf atm...
- Registriert
- Dez. 2001
- Beiträge
- 3.817
So um das hier mal wieder aufzuleben
aktueller Stand und offene Fragen
Vertrauensfrage BL vs. VC
Da MS und die NSA zusammen arbeiten habe ich immer den Gedanken im Hinterkopf das es einen Masterkey für sämtliche BL Verschlüsslungen existiert und nach Geschichte mit den extra kaputt gemacht und veröffentlichen SSL Algorithmen ist das Gefühl nicht besser geworden > Quelle
Passender Blog
„While it’s helpful that Microsoft is addressing specific concerns about BitLocker, it’s possible to look at the company’s track record and decide you cannot trust the company in general. In particular, it’s not clear how much users who want to keep their information out of the hands of the government can trust Microsoft, which has a history of working with U.S. law enforcement and spy agencies.
„lawful requests“ = alles was der NSA erlaubt ist (versteh ich jedenfalls so)
„Likewise, in July 2013 The Guardian reported that Microsoft “has collaborated closely with U.S. intelligence services to allow users’ communications to be intercepted, including helping the National Security Agency to circumvent the company’s own encryption.” In this case, Microsoft helped the NSA access web chats and email from the Outlook.com portal.”
Allgemein ist der Quellcode von BL nur für eine spezielle Entwicklergruppe „öffentlich“.
VC ist komplett öffentlich.
Also Tendenz doch stark zu VC
…aber…
Sobald Windows10 eines der großen Upgrades installiert werden „müssen“ ist es vorbei mit Veracrypt.
Beispiel: 1511 > 1607
Dafür müsste die Platte entschlüsselt und hinterher wieder verschlüsselt werden und das jedes Mal…
Eigentlich brauch ich gar nicht weiter schreiben in die Richtung recherchieren, bei 5 Mitarbeitern mag das gehen, aber nicht im dreistelligen Bereich...
LTS wäre evtl. noch interessant aber das kann ich den Entwicklern nicht antun bei uns.
Offene Fragen
TPM Wechsel
Was passiert wenn das TPM Modul eines Rechners flöten geht, und BL so konfiguriert ist, das TPM benutzt wird?
Anwendungsfall:
Dell Notebook kaputt -> Standard Fall Mainboard Wechsel ergo TPM Modul ändert sich -> wie komme ich an die Daten, irgendwie bringt mir gefühlt der Restore Key nix, wenn der Masterkey der im TPM liegt verschwindet.
AD Integration
Wenn ich diesen Artikel richtig verstehe, kann ich im AD genug Infos speichern damit ich eine Platte entschlüsseln kann, aber was passiert wenn ich eine Bitlocker Konfig habe, die TPM nicht benutzt und diesen aus der Domäne schmeiß, bzw. was passiert wenn der Rechner 1-2 Monate nicht mit dem DC geredet hat, also die Vertrauensstellung (heißt so glaub ich in Deutsch so) weg fliegt ich diesen löschen und neu aufnehmen muss.
Unterm Strich wie ist Eurer Workflow im Umgang mit Bitlocker in den Firmen?
Grüße
Mac
aktueller Stand und offene Fragen
Vertrauensfrage BL vs. VC
Da MS und die NSA zusammen arbeiten habe ich immer den Gedanken im Hinterkopf das es einen Masterkey für sämtliche BL Verschlüsslungen existiert und nach Geschichte mit den extra kaputt gemacht und veröffentlichen SSL Algorithmen ist das Gefühl nicht besser geworden > Quelle
Passender Blog
„While it’s helpful that Microsoft is addressing specific concerns about BitLocker, it’s possible to look at the company’s track record and decide you cannot trust the company in general. In particular, it’s not clear how much users who want to keep their information out of the hands of the government can trust Microsoft, which has a history of working with U.S. law enforcement and spy agencies.
„lawful requests“ = alles was der NSA erlaubt ist (versteh ich jedenfalls so)
„Likewise, in July 2013 The Guardian reported that Microsoft “has collaborated closely with U.S. intelligence services to allow users’ communications to be intercepted, including helping the National Security Agency to circumvent the company’s own encryption.” In this case, Microsoft helped the NSA access web chats and email from the Outlook.com portal.”
Allgemein ist der Quellcode von BL nur für eine spezielle Entwicklergruppe „öffentlich“.
VC ist komplett öffentlich.
Also Tendenz doch stark zu VC
…aber…
Sobald Windows10 eines der großen Upgrades installiert werden „müssen“ ist es vorbei mit Veracrypt.
Beispiel: 1511 > 1607
Dafür müsste die Platte entschlüsselt und hinterher wieder verschlüsselt werden und das jedes Mal…
Eigentlich brauch ich gar nicht weiter schreiben in die Richtung recherchieren, bei 5 Mitarbeitern mag das gehen, aber nicht im dreistelligen Bereich...
LTS wäre evtl. noch interessant aber das kann ich den Entwicklern nicht antun bei uns.
Offene Fragen
TPM Wechsel
Was passiert wenn das TPM Modul eines Rechners flöten geht, und BL so konfiguriert ist, das TPM benutzt wird?
Anwendungsfall:
Dell Notebook kaputt -> Standard Fall Mainboard Wechsel ergo TPM Modul ändert sich -> wie komme ich an die Daten, irgendwie bringt mir gefühlt der Restore Key nix, wenn der Masterkey der im TPM liegt verschwindet.
AD Integration
Wenn ich diesen Artikel richtig verstehe, kann ich im AD genug Infos speichern damit ich eine Platte entschlüsseln kann, aber was passiert wenn ich eine Bitlocker Konfig habe, die TPM nicht benutzt und diesen aus der Domäne schmeiß, bzw. was passiert wenn der Rechner 1-2 Monate nicht mit dem DC geredet hat, also die Vertrauensstellung (heißt so glaub ich in Deutsch so) weg fliegt ich diesen löschen und neu aufnehmen muss.
Unterm Strich wie ist Eurer Workflow im Umgang mit Bitlocker in den Firmen?
Grüße
Mac
Zuletzt bearbeitet:
Bzgl. Vertrauen in Microsoft: Ist die Frage, vor wem ich die Daten schützen will. Wenn es "nur" die Konkurrenz ist und nicht die NSA, kann mir das Thema egal sein - selbst mit Backdoor. Solange man den potenziell vorhandenen Masterkey nicht leakt, aber das hängt dann eh von der Art der Backdoor ab.
Ich persönliche vertraue Bitlocker.
TPM Wechsel: Du hast den Recovery Key, damit kannst du am TPM vorbei entschlüsseln. Gilt auch für ausgebaute Festplatten. Der ist dein Master-Key.
Du musst nachher nur wieder den TPM mit deinem BitLocker verheiraten.
AD Integration: Hier steht dein BitLocker Recovery Key und im Optimalfall dein TPM Owner Password drin.
Wenn der Trust also kaputtgeht weil das Passwort des Rechner abgelaufen ist, dann löscht man nicht das Konto. Du berechtigst einen User auf das Konto, der dann die Kiste wieder Domainjoined - auf das vorhandene Konto. Löschen macht man nicht.
Nebenbei würde ich MBAM fürs Management empfehlen.
Ich persönliche vertraue Bitlocker.
Kommentar unter https://www.schneier.com/blog/archives/2015/03/can_the_nsa_bre_1.html
TPM Wechsel: Du hast den Recovery Key, damit kannst du am TPM vorbei entschlüsseln. Gilt auch für ausgebaute Festplatten. Der ist dein Master-Key.
Du musst nachher nur wieder den TPM mit deinem BitLocker verheiraten.
AD Integration: Hier steht dein BitLocker Recovery Key und im Optimalfall dein TPM Owner Password drin.
Wenn der Trust also kaputtgeht weil das Passwort des Rechner abgelaufen ist, dann löscht man nicht das Konto. Du berechtigst einen User auf das Konto, der dann die Kiste wieder Domainjoined - auf das vorhandene Konto. Löschen macht man nicht.
Nebenbei würde ich MBAM fürs Management empfehlen.
Zuletzt bearbeitet:
- Registriert
- Dez. 2001
- Beiträge
- 3.817
Als ich angefangen habe mich damit zu beschäftigen, (naiv ftw) war ich der Meinung sich vor allem schützen zu können nur mittlerweile machen solche Ansätze keinen Sinn im Betrieblichen Umfeld.
Es geht mir darum das nicht jedes Kiddi mit nem Rootkit flüchtigen Speicher per USB Stick auslesen kann ^^
Der Aufwand einen Dienstrechner zu knacken muss so hoch sein das es sich einfach nicht lohnt für normalo Diebe.
@wirelessy
MBMA was brauch ich für Lizenzen dazu? Standard Windows Server Cal?
Danke
Es geht mir darum das nicht jedes Kiddi mit nem Rootkit flüchtigen Speicher per USB Stick auslesen kann ^^
Der Aufwand einen Dienstrechner zu knacken muss so hoch sein das es sich einfach nicht lohnt für normalo Diebe.
@wirelessy
MBMA was brauch ich für Lizenzen dazu? Standard Windows Server Cal?
Danke
