Cryp­to­Pro Secure Disk for Bit­Lock­er — Advanced Fea­tures 2018-09-14T10:50:33+00:00

Cryp­to­Pro Secure Disk for Bit­Lock­er — Advanced Fea­tures

Fehler­frei: Bit­Lock­er Roll­out ohne TPM-Chip und mit Benutzer-Selb­st­ini­tial­isie­rung

Während dem Aus­rollen der Verschlüs­selung ist die TPM-Ini­tial­isierung die größte Fehlerquelle. Da Cryp­to­Pro Secure Disk for Bit­Lock­er sehr gut ohne den TPM-Chip arbeit­en kann, ent­fall­en TPM bezo­gene Konfigurations­aufwände und Sup­port. Sofort nach dem Roll­out wer­den die Geräte­benutzer automa­tisch angel­ernt, wodurch jeglich­er Administrations­aufwand für die ini­tiale Benutzer­verwaltung ent­fällt.

Flex­i­bel: Mul­ti-User-Betrieb in der Pre-Boot-Phase

In der Authentisierungs­phase vor dem Win­dows Start kön­nen eine Vielzahl an Benutzer und Admin­is­tra­toren definiert wer­den, die mit Pass­wort oder Zwei-Fak­toren-Authen­tisierung das ver­schlüs­selte Sys­tem starten dür­fen. Dies ermöglicht einen Mul­ti-User-Betrieb bei Pool-Note­books, Shared Desk­tops, aber auch Pro­duk­tion­ssys­te­men. Admin­is­tra­toren schätzen unsere Mul­ti-User Unter­stützung, wobei das Admin-Team ohne Bit­Lock­er-Recov­ery jed­erzeit Zugriff auf unternehmens­verschlüs­selte Sys­teme hat.

Kostenre­duk­tion: nahezu ver­wal­tungs­frei

Durch die Selb­s­tini­tial­isierung der Benutzer nach dem Roll­out und den benutzer­fre­undlichen Help-Desk Funk­tio­nen reduziert sich der Support­aufwand für den Betrieb der Verschlüsselungs­lösung auf ein Min­i­mum. Die Unter­stützung von Wake-on-LAN in Kom­bi­na­tion mit dem Friend­ly-Net­work-Mode bei dem der Entschlüsselun­­gsschlüssel von einem zen­tralen Dienst ange­fordert wird, erlaubt das hochsichere Starten von ver­schlüs­sel­ten Steuer­systemen ohne Benutzer­authen­tifzierung sowie eine automa­tisierte Soft­ware­verteilung trotz Voll­verschlüs­selung aller Clients.

Sich­er am Endgerät: Nutzung von PKI Smart­card / Token

Der Ein­satz von kryp­tographis­chen Zwei-Fak­toren-Benutzer­au­th­en­ti­­fizierung wie PKI Smart­card oder Cryp­to-Token bietet höch­st­möglichen Schutz, da die Ver­schlüs­selungs­schlüssel kryp­tographisch durch Smart­card/­To­ken-Schlüs­seln geschützt wer­den. Rund 80 Smart­cards / Cryp­to-Token und über 40 Smart­card-Read­er wer­den für die sichere Benutzer­identifizierung unter­stützt. Die Unter­stützung von X.509 Zerti­fikaten bietet opti­malen Investi­tion­ss­chutz für Ihre Unternehmens-PKI.

Sich­er am Serv­er: Unter­stützung von Hard­ware-Secu­ri­ty-Mod­ulen / HSM

Mit der Unter­stützung von Thales HSMs kön­nen nun die zen­tral gespe­icherten Wieder­her­stel­lungss­chlüs­sel der Cryp­to­Pro Secure Disk Ver­wal­tung über die  FIPS zer­ti­fizierten Appli­ances kryp­tographisch geschützt wer­den. Speziell große Kun­den prof­i­tieren von dem zusät­zlichen Schutz der Schlüs­sel, da nun eine Ablage der Schlüs­sel-Daten­bank bei Dien­stleis­tern oder in der Cloud ohne Risiko umge­set­zt wer­den kann. Selb­stver­ständlich ste­ht das HSM weit­eren sicher­heit­skri­tis­chen Anwen­dun­gen wie PKI / Cer­tifi­cate Author­i­ties und Key-Man­age­ment-Sys­te­men gle­ichzeit­ig zur Ver­fü­gung.

Inno­v­a­tiv: Handy-App für die Bit­Lock­er Benutzer­identifizierung

Im Q1 2018 wird das Bit­Lock­er Add-on um eine Handy-App für Android und Apple iOS erweit­ert. Benutzer kön­nen dann die Bit­Lock­er Ver­schlüs­selung in der grafis­chen Pre-Boot-Phase mit ein­er Handy-App aktivieren.

Ein­fach: Nutzung der Win­dows Anmel­dung für die Ver­schlüs­selung

Neben dem Domä­nen Benutzer­pass­wort kön­nen han­del­sübliche PKI-Smart­cards und Token und in Kürze das Smart­phone mit kosten­freier App für die Benutzer­authentifizierung genutzt wer­den. Und sollte ein Pass­wort oder eine Smart­card ver­loren gehen, hil­ft der inte­gri­erte Helpdesk sofort.

Hil­fe: Inter­na­tion­al­isiert­er Online- und Offline-Helpdesk

Ein unge­planter Benutzer­wechsel, ein vergessenes Pass­wort, oder eine ver­lorene Smart­card – alles kein Prob­lem dank inte­gri­ertem Online- und Offline-Helpdesk. Wenn eine Net­zw­erkverbindung beste­ht, kann die Not­fall-Anfrage per Knopf­druck an den Online-Helpdesk über­tra­gen und die Not­fall-Maß­nahme auch Online emp­fan­gen wer­den. Offline wird bei einem Not­fall oder für ein Recov­ery eine Zeichen­folge per Tele­fon über­tra­gen.

Kom­fort: Ent­fall der Pre-Boot-Anmel­dung durch Friend­ly-Net­work-Betrieb im eige­nen LAN/WAN

Sofern sich die ver­schlüs­sel­ten PCs im eige­nen Fir­men­net­zw­erk befind­en, kann im Friend­ly-Net­work-Modus der Ent­schlüs­selungs­schlüssel von einem zen­tralen Dienst bezo­gen wer­den, um den PC automa­tisch zu starten. Diese Meth­ode eignet sich beson­ders für Produktions­maschinen, Steuer­sys­teme und Desk­top-PCs. Außer­halb des sicheren Firmen­netzwerkes ist die vor­eingestellte Benutzer­identifizierung erforder­lich.

Bequem: Sin­gle Sign-on zum Betrieb­ssys­tem

Sobald ein Mitar­beit­er sich erfol­gre­ich an der Ver­schlüs­selungs­lösung authen­tifiziert hat, ent­fällt die Win­dows Anmel­dung durch Sin­gle Sign-on.

Sich­er: Nutzung von Smart­card, Token, Handy-App für die Anmel­dung

Neben dem Domain-Pass­wort kön­nen eine Vielzahl an unter­schiedlichen Smart­cards, Cryp­to-Token oder ab Q4 2017 eine Handy-App für Android und Apple iOS für die Bit­Lock­er-Anmel­dung genutzt wer­den. Alle Benutzer­authenti­fizierungs­methoden schützen krypto­graphisch den Fest­plat­t­en-Ver­schlüs­selungs­schlüs­sel.

Your Con­tent Goes Here

CPSD Blog

  • Beitrag BitLocker Massnahmenkatalog 2018 Deutsch CPSD

Bit­Lock­er Maß­nah­menkat­a­log Update 2018 — Secu­ri­ty Leit­faden und Empfehlun­gen

03.10.2018|

Den Bit­Lock­er Maß­nah­menkat­a­log veröf­fentlichte Microsoft am 6. Sep­tem­ber 2018 in Englisch unter https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-countermeasures . Dies ist eine möglichst direk­te deutsche Über­set­zung mit erweit­erten Sicher­heit­sein­schätzun­gen von Experten und Empfehlun­gen für den europäis­chen Markt. zum […]

Microsoft Bit­Lock­er ohne TPM nutzen

03.12.2017|

Das Deutsche Bun­de­samt für Sicher­heit in der Infor­ma­tion­ssicher­heit (BSI) gibt in den IT-Grund­schutzkat­a­lo­gen klare Def­i­n­i­tio­nen für den Betrieb von Microsoft Bit­Lock­er — speziell auch für den TPM Chip — gemäß dem aktuellen Stand der Tech­nik. […]

Trans­par­ente Ver­schlüs­selung — Bit­Lock­er ohne Authen­tisierung

22.11.2017|

Die trans­par­ente Bit­Lock­er Ver­schlüs­selung (z.B. ohne Cryp­to­Pro Secure Disk for Bit­Lock­er) lädt kom­plett automa­tisch den Bit­Lock­er AES Vol­u­men-Encryp­tion-Key und startet Win­dows. Dieser Vor­gang erfordert einen ini­tial­isierten TPM Chip und Secure-Boot zum Schutz des Boot-Prozess­es. Jedoch […]