Nachdem ich hier schon mal über den AppLocker (nur “gewünschte” Software darf laufen) und den BitLocker geschrieben habe, nun mit BitLocker To Go ein weiteres Enterprise-Thema für den Schutz von Wechseldatenträgern.
Nachdem ja ein Wechseldatenträger schnell verloren gehen kann – dazu braucht es nicht mal Bösewichte, es reicht aus, wenn ein fingernagelgroßer USB-Stick im Taxi aus der Tasche rutscht um für erheblichen Stress zu sorgen. Was war denn da drauf? Das kann ja für Firmen durchaus mal zu ärgeren Problemen führen. Die Europäische Agentur für Netz- und Informationssicherheit hat eine kleine Übersicht veröffentlicht (ist schon älter, aber gibt eine ganz gute Übersicht) über die Gefahren und Risiken, Download des Leitfaden: "Secure USB Flash Drives".
Unter Windows gibt es die verschiedensten Möglichkeiten die Risiken zu managen, vom Sperren von Gerätetreibern bis hin zur Verschlüsselung von Wechseldatenträgern mit “BitLocker To Go”. Hier ein kurzes Walkthrough.
Für das Aktivieren von BitLocker To Go reicht ein Rechtsklick auf das Gerät
Es folgt die Wahl, ob man ein Passwort und/oder eine Smartcard verwenden will. Wenn der Stick weitergegeben werden soll, dann nimmt man wohl das Passwort, handelt es sich um die eigene(n) externen Festplatte(n), und man hat eine SmartCard (z.B. auch für die DirectAccess-Nutzung), dann erscheint mir das praktischer.
Und eine Möglichkeit zur Wiederherstellung muss es natürlich auch geben. Deswegen kommt man über diesen Dialog auch nicht drüber, wenn man den Schlüssel nicht abspeichert oder ausdruckt.
Achtung: wie schon bei BitLocker für die internen Festplatten gilt, da der Recovery Key im Active Directory gespeichert wird, dass man im Firmennetzwerk sein muss, als entweder über DirectAccess verbunden, oder per VPN Einwahl (oder vor Ort,…).
Dann weiter, weiter, fertig,…
Wenn jetzt der Stick eingesteckt wird, dann sieht man das folgende Abfrage Fenster.
Kennt man dann das Passwort nicht,… oder anders gesagt, wenn der Stick bzw. die Festplatte “Füße bekommt”, dann ist die Hardware in falschen Händen, aber nicht die Daten.
Die Besonderheit an BitLocker(ToGo) ist die Verwaltung über Gruppenrichtlinien. Neben üblichen Dingen (Passwortkomplexität,..) kann man auch konfigurieren, dass der Schreibzugriff nur noch auf BitLocker-geschützte Datenträger möglich ist. Mit dem Setzen einer einzigen Policy kann so das Sicherheitsniveau massiv gesteigert werden.
Wenn ein Benutzer jetzt einen ungeschützten Stick/Festplatte anhängt, dann hat er Lesezugriff, aber kann nicht schreiben, ohne vorher BitLocker zu aktivieren:
BitLocker und BitLocker To Go zielen auf die Nutzung in Firmen und erfordern zum Schreibzugriff Windows 7 Enterprise (bzw. Ultimate). Der Lesezugriff funktioniert auch auf anderen, bzw. älteren Windows Varianten (XP, Vista) über einen BitLocker To Go Reader, der sich in der lesbaren, unverschlüsselten Partition auf dem Datenträger befindet.
Update
Korrekt und von mir wider eigener Erfahrung (bin nämlich schon einmal in diese “Falle” getappt) teilt Florian mit:
Die Lesbarkeit unter XP und Vista nur dann funktioniert wenn man den Stick/Festplatte vorher FAT, FAT32 oder exFAT formatiert hat. Mit NTFS funktionierts nicht. Siehe Windows 7 and BitLocker to Go
Danke!
Related Posts:
Weitere Information: