Micro­soft Bit­Lo­cker mit Acti­ve Direc­to­ry Credentials

Seit Win­dows 8 und in Win­dows 10 unter­stützt Micro­soft Bit­Lo­cker einen neu­en Pro­tec­tor den Pass­wort-Pro­tec­tor. Die­ser Pass­wort Pro­tec­tor schützt eine Bit­Lo­cker Par­ti­ti­on, auch die Start­par­ti­ti­on mit einem belie­bi­gen Kenn­wort. Zusätz­lich kön­nen natür­lich wei­te­re Pro­tec­to­ren auf die Par­ti­ti­on gesetzt wer­den. Eine Nut­zung der Acti­ve Direc­to­ry Creden­ti­als bzw. des Acti­ve Direc­to­ry Pass­wort als Bit­Lo­cker Pass­wort wird jedoch nur durch ein Add-On unterstützt.

Um her­aus­zu­fin­den wel­che Pro­tec­to­ren das Sys­tem bzw. die Par­ti­ti­on schüt­zen, nut­zen Sie den fol­gen­den Befehl:

C:\> manage-bde.exe -protectors -get t:

MIcrosoft BitLocker Passwort Protector Einstellungen

Gro­ße Unter­neh­men nut­zen den Pass­wort Pro­tec­tor sel­ten, da das vom Mit­ar­bei­ter gesetz­te Pass­wort nicht den fir­men­wei­ten Pass­wort­richt­li­ni­en in Bezug auf Kom­ple­xi­tät, Wie­der­ver­wen­dung von genutz­ten Pass­wor­ten und Gül­tig­keit mit Ände­rungs­auf­for­de­rung ent­spricht. Das Micro­soft Bit­Lo­cker Pass­wort des Pass­wort Pro­tec­tors ist ein sta­ti­sches Pass­wort, das sich nicht mit dem Acti­ve Direc­to­ry Pass­wort syn­chro­ni­siert und den Mit­ar­bei­ter auch nicht auf­for­dert das Pass­wort regel­mä­ßig zu ändern.

Vor­tei­le des Micro­soft Bit­Lo­cker Pass­wort Protectors

  1. Nutz­bar in Umge­bun­gen ohne TPM-Chip, z.B. in vir­tu­el­len Umgebungen
  2. Nutz­bar in Umge­bun­gen wo der TPM-Chip gesetz­lich ver­bo­ten ist, z.B. in Russ­land und China

Nach­tei­le des Micro­soft Bit­Lo­cker Pass­wort Protectors

  1. Zusätz­li­ches Pass­wort beim Star­ten des Win­dows Systems
  2. Kei­ne Pass­wort­kom­ple­xi­tät wählbar
  3. Kei­ne Ablauf­da­tum des Pass­wor­tes nicht definierbar
  4. Angreif­bar mit Brute-Force-Attacken
  5. Gerin­ge­rer kryp­to­gra­phi­scher Schutz als ande­re Pro­tec­to­ren, wie TPM mit PIN oder Smart­card (zer­ti­fi­kats­ba­siert) Protector
  6. Das Pass­wort kann nicht mit dem Benut­zer Acti­ve Direc­to­ry Pass­wort syn­chro­nis­ert werden
  7. Gerin­ge Benut­zer­ak­zep­tanz: Nach einer erfolg­rei­chen Akti­vie­rung eines Bit­Lo­cker ver­schlüs­sel­ten Sys­tems mit dem Pass­wort Pro­tec­tor erfolgt kein Sin­gle Sign-on an das Betriebsystem

Mit dem Bit­Lo­cker Add-on Cryp­toPro Secu­re Disk for Bit­Lo­cker bie­tet CPSD einen zusätz­li­chen Acti­ve-Direc­to­ry Pro­tec­tor für den Micro­soft Bit­Lo­cker an. Fol­gen­de Kern­funk­tio­nen sind für Win­dows 7 / 8.x und 10 verfügbar:

  • Sicher: Nutz­bar mit oder ohne TPM-Chip
  • Selbst­ler­nend: Ein­fa­ches Bit­Lo­cker Roll­out, da Mit­ar­bei­ter das Acti­ve Direc­to­ry Pass­wort für die Fest­plat­ten­ver­schlüs­se­lung nut­zen kön­nen und kei­ne Über­mitt­lung eines Initi­al­pass­wor­tes oder des TPM PINs benötigen
  • Syn­chro­ni­sa­ti­on: Auto­ma­ti­sche Aktua­li­sie­rung des Pre-Boot-Pass­wor­tes mit dem Acti­ve Direc­to­ry Pass­wor­tes des Benutzers
  • Mul­ti-Benut­zer: Belie­big vie­le Benut­zer mit ihren Acti­ve Direc­to­ry Creden­ti­als kön­nen in der Pre-Boot-Pha­se der Fest­plat­ten­ver­schlüs­se­lung aktiv sein
  • Sin­gle Sign-on: SSO ins Betriebs­sys­tem bei Nut­zung der Acti­ve Direc­to­ry Creden­ti­als in der Pre-Boot-Phase