Microsoft Bit­Lock­er mit Active Direc­to­ry Cre­den­tials

Seit Win­dows 8 und in Win­dows 10 unter­stützt Microsoft Bit­Lock­er einen neuen Pro­tec­tor den Pass­wort-Pro­tec­tor. Dieser Pass­wort Pro­tec­tor schützt eine Bit­Lock­er Par­ti­tion, auch die Start­par­ti­tion mit einem beliebi­gen Ken­nwort. Zusät­zlich kön­nen natür­lich weit­ere Pro­tec­toren auf die Par­ti­tion geset­zt wer­den. Eine Nutzung der Active Direc­to­ry Cre­den­tials bzw. des Active Direc­to­ry Pass­wort als Bit­Lock­er Pass­wort wird jedoch nur durch ein Add-On unter­stützt.

Um her­auszufind­en welche Pro­tec­toren das Sys­tem bzw. die Par­ti­tion schützen, nutzen Sie den fol­gen­den Befehl:

C:\> manage-bde.exe -protectors -get t:

MIcrosoft BitLocker Passwort Protector Einstellungen

Große Unternehmen nutzen den Pass­wort Pro­tec­tor sel­ten, da das vom Mitar­beit­er geset­zte Pass­wort nicht den fir­men­weit­en Pass­wor­trichtlin­ien in Bezug auf Kom­plex­ität, Wiederver­wen­dung von genutzten Pass­worten und Gültigkeit mit Änderungsauf­forderung entspricht. Das Microsoft Bit­Lock­er Pass­wort des Pass­wort Pro­tec­tors ist ein sta­tis­ches Pass­wort, das sich nicht mit dem Active Direc­to­ry Pass­wort syn­chro­nisiert und den Mitar­beit­er auch nicht auf­fordert das Pass­wort regelmäßig zu ändern.

Vorteile des Microsoft Bit­Lock­er Pass­wort Pro­tec­tors

  1. Nutzbar in Umge­bun­gen ohne TPM-Chip, z.B. in virtuellen Umge­bun­gen
  2. Nutzbar in Umge­bun­gen wo der TPM-Chip geset­zlich ver­boten ist, z.B. in Rus­s­land und Chi­na

Nachteile des Microsoft Bit­Lock­er Pass­wort Pro­tec­tors

  1. Zusät­zlich­es Pass­wort beim Starten des Win­dows Sys­tems
  2. Keine Pass­wortkom­plex­ität wählbar
  3. Keine Ablauf­da­tum des Pass­wortes nicht definier­bar
  4. Angreif­bar mit Brute-Force-Attack­en
  5. Gerin­ger­er kryp­tographis­ch­er Schutz als andere Pro­tec­toren, wie TPM mit PIN oder Smart­card (zer­ti­fikats­basiert) Pro­tec­tor
  6. Das Pass­wort kann nicht mit dem Benutzer Active Direc­to­ry Pass­wort syn­chro­nis­ert wer­den
  7. Geringe Benutzer­akzep­tanz: Nach ein­er erfol­gre­ichen Aktivierung eines Bit­Lock­er ver­schlüs­sel­ten Sys­tems mit dem Pass­wort Pro­tec­tor erfol­gt kein Sin­gle Sign-on an das Betrieb­sys­tem

Mit dem Bit­Lock­er Add-on Cryp­to­Pro Secure Disk for Bit­Lock­er bietet CPSD einen zusät­zlichen Active-Direc­to­ry Pro­tec­tor für den Microsoft Bit­Lock­er an. Fol­gende Kern­funk­tio­nen sind für Win­dows 7 / 8.x und 10 ver­füg­bar:

  • Sich­er: Nutzbar mit oder ohne TPM-Chip
  • Selb­stler­nend: Ein­fach­es Bit­Lock­er Roll­out, da Mitar­beit­er das Active Direc­to­ry Pass­wort für die Fest­plat­ten­ver­schlüs­selung nutzen kön­nen und keine Über­mit­tlung eines Ini­tial­pass­wortes oder des TPM PINs benöti­gen
  • Syn­chro­ni­sa­tion: Automa­tis­che Aktu­al­isierung des Pre-Boot-Pass­wortes mit dem Active Direc­to­ry Pass­wortes des Benutzers
  • Mul­ti-Benutzer: Beliebig viele Benutzer mit ihren Active Direc­to­ry Cre­den­tials kön­nen in der Pre-Boot-Phase der Fest­plat­ten­ver­schlüs­selung aktiv sein
  • Sin­gle Sign-on: SSO ins Betrieb­ssys­tem bei Nutzung der Active Direc­to­ry Cre­den­tials in der Pre-Boot-Phase