Active Direc­to­ry Cre­den­tials / AD Pass­wort für Microsoft Bit­Lock­er

Microsoft Bit­Lock­er mit Active Direc­to­ry Cre­den­tials

Seit Win­dows 8 und in Win­dows 10 unter­stützt Microsoft Bit­Lock­er einen neuen Pro­tec­tor den Pass­wort-Pro­tec­tor. Dieser Pass­wort Pro­tec­tor schützt eine Bit­Lock­er Par­ti­tion, auch die Start­par­ti­tion mit einem beliebi­gen Ken­nwort. Zusät­zlich kön­nen natür­lich weit­ere Pro­tec­toren auf die Par­ti­tion geset­zt wer­den. Eine Nutzung der Active Direc­to­ry Cre­den­tials bzw. des Active Direc­to­ry Pass­wort als Bit­Lock­er Pass­wort wird jedoch nur durch ein Add-On unter­stützt.

Um her­auszufind­en welche Pro­tec­toren das Sys­tem bzw. die Par­ti­tion schützen, nutzen Sie den fol­gen­den Befehl:

C:\> manage-bde.exe -protectors -get t:

MIcrosoft BitLocker Passwort Protector Einstellungen

Große Unternehmen nutzen den Pass­wort Pro­tec­tor sel­ten, da das vom Mitar­beit­er geset­zte Pass­wort nicht den fir­men­weit­en Pass­wor­trichtlin­ien in Bezug auf Kom­plex­ität, Wiederver­wen­dung von genutzten Pass­worten und Gültigkeit mit Änderungsauf­forderung entspricht. Das Microsoft Bit­Lock­er Pass­wort des Pass­wort Pro­tec­tors ist ein sta­tis­ches Pass­wort, das sich nicht mit dem Active Direc­to­ry Pass­wort syn­chro­nisiert und den Mitar­beit­er auch nicht auf­fordert das Pass­wort regelmäßig zu ändern.

Vorteile des Microsoft Bit­Lock­er Pass­wort Pro­tec­tors

  1. Nutzbar in Umge­bun­gen ohne TPM-Chip, z.B. in virtuellen Umge­bun­gen
  2. Nutzbar in Umge­bun­gen wo der TPM-Chip geset­zlich ver­boten ist, z.B. in Rus­s­land und Chi­na

Nachteile des Microsoft Bit­Lock­er Pass­wort Pro­tec­tors

  1. Zusät­zlich­es Pass­wort beim Starten des Win­dows Sys­tems
  2. Keine Pass­wortkom­plex­ität wählbar
  3. Keine Ablauf­da­tum des Pass­wortes nicht definier­bar
  4. Angreif­bar mit Brute-Force-Attack­en
  5. Gerin­ger­er kryp­tographis­ch­er Schutz als andere Pro­tec­toren, wie TPM mit PIN oder Smart­card (zer­ti­fikats­basiert) Pro­tec­tor
  6. Das Pass­wort kann nicht mit dem Benutzer Active Direc­to­ry Pass­wort syn­chro­nis­ert wer­den
  7. Geringe Benutzer­akzep­tanz: Nach ein­er erfol­gre­ichen Aktivierung eines Bit­Lock­er ver­schlüs­sel­ten Sys­tems mit dem Pass­wort Pro­tec­tor erfol­gt kein Sin­gle Sign-on an das Betrieb­sys­tem

Mit dem Bit­Lock­er Add-on Cryp­to­Pro Secure Disk for Bit­Lock­er bietet CPSD einen zusät­zlichen Active-Direc­to­ry Pro­tec­tor für den Microsoft Bit­Lock­er an. Fol­gende Kern­funk­tio­nen sind für Win­dows 7 / 8.x und 10 ver­füg­bar:

  • Sich­er: Nutzbar mit oder ohne TPM-Chip
  • Selb­stler­nend: Ein­fach­es Bit­Lock­er Roll­out, da Mitar­beit­er das Active Direc­to­ry Pass­wort für die Fest­plat­ten­ver­schlüs­selung nutzen kön­nen und keine Über­mit­tlung eines Ini­tial­pass­wortes oder des TPM PINs benöti­gen
  • Syn­chro­ni­sa­tion: Automa­tis­che Aktu­al­isierung des Pre-Boot-Pass­wortes mit dem Active Direc­to­ry Pass­wortes des Benutzers
  • Mul­ti-Benutzer: Beliebig viele Benutzer mit ihren Active Direc­to­ry Cre­den­tials kön­nen in der Pre-Boot-Phase der Fest­plat­ten­ver­schlüs­selung aktiv sein
  • Sin­gle Sign-on: SSO ins Betrieb­ssys­tem bei Nutzung der Active Direc­to­ry Cre­den­tials in der Pre-Boot-Phase

 

2017-12-03T19:43:13+00:00 08.08.2017|

Über den Autor:

Andreas Schuster ist 45 Jahre alt und wohnt in Wien. Vor über 20 Jahren hat er sein Hobby die IT zum Beruf gemacht und arbeitet seit vielen Jahren in der Crypto-Branche. Sein technisches Interesse an allem das ein Kabel hat (exklusive Weißwaren...) bringt immer wieder spannende Blog-Inhalte.

Hinterlassen Sie einen Kommentar