Authen­ti­sie­rung und Hel­pdesk für Bit­Lo­cker mit Secu­re Disk 7

Mit Secu­re Disk 7 erwei­te­re Unter­neh­men­kun­den die Bit­Lo­cker Ver­schlüs­se­lung um zusätz­li­che, kryp­to­gra­fi­sche Benut­ze­r­iden­ti­fi­ka­ti­ons­me­tho­den und einen moder­ne Helpdesk.

Über­sicht der 1FA und MFA Metho­den von Secu­re Disk for BitLocker

Benut­zer­na­me + Pass­wort2020–07-03T12:32:00+02:00

Nut­zung von Benut­zer­na­men und Pass­wort für die Fest­plat­ten­ver­schlüs­se­lung. Der Benut­zer­na­men und das Pass­wort wer­den bei der ers­ten Win­dows Anmel­dung nach der Instal­la­ti­on von Secu­re Disk auto­ma­tisch ange­lernt und wer­den ab dem Zeit­punkt in der Pre-Boot Pha­se für die Fest­plat­ten­ver­schlüs­se­lung genutzt.

Acti­ve Direc­to­ry User­creden­ti­als2020–07-03T12:32:00+02:00

Nut­zung von Acti­ve Direc­to­ry Benut­zer­na­men und Pass­wort für die Fest­plat­ten­ver­schlüs­se­lung. Der AD Benut­zer­na­men und das Pass­wort wer­den bei der ers­ten Win­dows Anmel­dung nach der Instal­la­ti­on von Secu­re Disk auto­ma­tisch ange­lernt und wer­den ab dem Zeit­punkt in der Pre-Boot Pha­se für die Fest­plat­ten­ver­schlüs­se­lung genutzt. Beim Pass­wort­wech­sel durch den Benut­zer wird das neue Pass­wort auto­ma­tisch in das Pre-Boot Sys­tem über­tra­gen. Zusätz­lich kann eine Acti­ve Direc­to­ry Prü­fung der Benut­zer­zu­gangs­da­ten bei jeder Pre-Boot Anmel­dung akti­viert wer­den. Über die­se Metho­de kön­nen belie­bi­ge akti­ve AD Benut­zer das ver­schlüs­sel­te Sys­tem nut­zen. Dies ist beson­ders bei Pool-Note­­books, im Kas­sen­be­trieb oder bei Kiosk PCs empfehlenswert.

Auto­ma­ti­sche Netz­werk­an­mel­dung — Friend­ly Net­work Mode2020–07-03T12:32:00+02:00

Die­ser spe­zi­el­le Betriebs­mo­dus der Fest­plat­ten­ver­schlüs­se­lung kann den Fest­plat­ten­schlüs­sel auto­ma­tisch inner­halb des ver­trau­ens­wür­di­gen Fir­men­netz­wer­kes von dem Secu­re Disk Ser­ver abru­fen. Über die­se Metho­de kön­nen voll­ver­schlüs­sel­te PCs ohne Benut­zer­an­mel­dung, zum Bei­spiel in der Pro­duk­ti­on, im Kiosk-Betrieb oder auch Spe­­zi­al-PCs wie Geld­aus­ga­be­au­to­ma­ten, voll­au­to­ma­tisch und sicher gestar­tet werdeb.

Star­ke Benut­zer­au­then­ti­sie­rung über Smart­pho­ne App und Blue­tooth LE2020–07-03T12:31:59+02:00

Sofern die Funk­ti­on akti­viert ist, kön­nen Benut­zer über Self-Ser­­vice die Secu­re Disk Smart­pho­ne App initia­li­sie­ren. In die­ser Initia­li­sie­rung wer­den Schlüs­sel über QR Codes auf das Smart­pho­ne über­tra­gen, die fort­an für den Sys­tem­start des Win­dows Cli­ents genutzt wer­den. Beim Sys­tem­start erfolgt eine siche­re Ver­bin­dung über Blue­tooth LE um den am Smart­pho­ne gespei­cher­ten Fest­pat­ten­schlüs­sel auf den Win­dows Cli­ent zu über­tra­gen. Die Auto­ri­sie­rung am Smart­pho­ne erfolgt über eine Benut­­zer-PIN oder den Fingerabdruck.Nach dem Start der Fest­plat­ten­ver­schlüs­se­lung wird der Benut­zer über Sin­gle Sign-on Metho­den am Win­dows Betriebs­sys­tem ange­mel­det. Im Fal­le eines ver­lo­re­nen oder ver­ges­se­nen Smart­pho­nes kann tem­po­rär der Online- oder Off­­li­ne-Hel­p­desk von Secu­re Disk genutzt wer­den, um Zugang zum Win­dows Cli­ent zu erhal­ten, oder ein neu­es Smart­pho­ne mit den erfor­der­li­chen Schlüs­seln initia­li­siert werden.

Zer­ti­fi­kats­an­mel­dung über Vir­tu­el­le Smart­card / VSC2020–07-03T12:32:00+02:00

Neu in Secu­re Disk V7 ist die Unter­stüt­zung einer vir­tu­el­len Smart­card im Secu­re Disk Pre-Boot Sys­tem. Ein kryp­to­gra­fi­scher Schlüs­sel in der vir­tu­el­len Smart­card schützt den Fest­plat­ten­schlüs­sel. Der Benut­zer muss die Benut­­zer-PIN der vir­tu­el­len Smart­card ein­ge­ben um die Fest­plat­ten­ver­schlüs­se­lung zu akti­vie­ren und Win­dows zu star­ten. Nach dem Win­dows Start wird die Micro­soft Vir­tu­al Smart­card mit der Benutzr-PIN geöff­net und es erfolgt ein Sin­gle Sign-on zm Win­dows Betriebs­sys­tem über eine siche­re Zer­ti­fi­kats­an­mel­dung. Die Secu­re Disk Vir­tu­al Smart­card unter­stützt TPM 1.2 und TPM 2.0 Secu­­ri­­ty-Chips zum Schutz der kryp­to­gra­fi­schen Schlüs­sel. Durch die Kom­bi­na­ti­on aus Besitz (von Notebook/Tablet mit TPM Secu­­ri­­ty-Chip der Anti-Ham­­me­­ring unter­stützt) und Wis­sen (die PIN der vir­tu­el­len Smart­card) ist die­se Metho­de eine Zwei-Fak­­to­­ren Authen­ti­sie­rung bzw. Mul­­ti-Fak­­tor Authen­ti­sie­rung. Fest­plat­ten­ver­schlüs­se­lung mit der vir­tu­el­len Smart­card hat bei Bru­­te-For­ce Angrif­fen durch die TPM Secu­ri­ty ein deut­lich höhe­res Schutz­ni­veau als ein Passwortschutz.

Zer­ti­fi­kats­an­mel­dung über Smart­card und Smart­card-Rea­der2020–07-03T12:32:00+02:00

Häu­fig wird Secu­re Disk von Kun­den in Kom­bi­na­ti­on mit Smart­cards und Smar­t­­card-Rea­­dern genutzt. In die­sem Fall erfolgt die Ent­schlüs­se­lung des Fest­plat­ten­schlüs­sels über den pri­va­ten Schlüs­sel einer Benut­­zer-Smar­t­­card. Der Benut­zer muss hier­für die Benut­­zer-PIN der Smart­card im gra­fi­sche Secu­re Disk Pre-Boot Sys­tem ein­ge­ben. Nach dem Start der Fest­plat­ten­ver­schlüs­se­lung wird der Benut­zer über Sin­gle Sign-on Metho­den am Win­dows Betriebs­sys­tem ange­mel­det. Im Fal­le einer ver­lo­re­nen oder ver­ges­se­nen Smart­card kann tem­po­rär der Online- oder Off­­li­ne-Hel­p­desk von Secu­re Disk genutzt wer­den, um Zugang zum Win­dows Cli­ent zu erhalten.

Zer­ti­fi­kats­an­mel­dung über PKI-Token2020–07-03T12:31:59+02:00

Han­dels­üb­li­che PKI-Token um USB For­mat wie die Thales/Gemalto eTo­ken Serie, aber auch GIDS Token oder JCOP basier­te Token wer­den ver­gleich­bar zu einer Smart­card für die Secu­re Disk Fest­plat­ten­schlüs­sels unter­stützt. Der Benut­zer muss hier­für die Benut­­zer-PIN des PKI-Tokens im gra­fi­sche Secu­re Disk Pre-Boot Sys­tem ein­ge­ben. Nach dem Start der Fest­plat­ten­ver­schlüs­se­lung wird der Benut­zer über Sin­gle Sign-on Metho­den am Win­dows Betriebs­sys­tem ange­mel­det. Im Fal­le einer ver­lo­re­nen oder ver­ges­se­nen PKI-Token kann tem­po­rär der Online- oder Off­­li­ne-Hel­p­desk von Secu­re Disk genutzt wer­den, um Zugang zum Win­dows Cli­ent zu erhalten.

Yubico Yubi­Key mit X.509 Zer­ti­fi­kat2020–07-03T12:31:59+02:00

Yubi­Key 5 Token kön­nen über die in Secu­re Disk inte­grier­te OpenSC Midd­le­wa­re mit belie­bi­gen X.509 Zer­ti­fi­ka­ten für due Fest­plat­ten­ver­schlüs­se­lung genutzt wer­den. Der Benut­zer muss hier­für die Benut­­zer-PIN des Yubi­Key im gra­fi­sche Secu­re Disk Pre-Boot Sys­tem ein­ge­ben. Nach dem Start der Fest­plat­ten­ver­schlüs­se­lung wird der Benut­zer über Sin­gle Sign-on Metho­den am Win­dows Betriebs­sys­tem ange­mel­det. Im Fal­le einer ver­lo­re­nen oder ver­ges­se­nen Yubi­Keys kann tem­po­rär der Online- oder Off­­li­ne-Hel­p­desk von Secu­re Disk genutzt wer­den, um Zugang zum Win­dows Cli­ent zu erhalten.

Yubico Yubi­Key über Challenge/Response2020–07-03T12:31:59+02:00

Yubi­Key Token unter­stüt­zen einen spe­zi­el­len kryp­to­gra­fi­schen Schlüs­sel der für eine Challenge/Response Metho­de genutzt wird, Die­se Metho­de ist in Secu­re Disk v7 für eine ein­fa­che Mul­­ti-Fak­­tor Authen­ti­sie­rung kom­plett ohne PKI und X.509 Zer­ti­fi­kats­ma­nage­ment imple­men­tiert. Die Yubi­Key Challenge/Response Metho­de ist nur als zusätz­li­cher Fak­tor  einer Authen­ti­sie­rung über Benut­zer­creden­ti­als ver­füg­bar. Nach dem Start der Fest­plat­ten­ver­schlüs­se­lung wird der Benut­zer über Sin­gle Sign-on Metho­den am Win­dows Betriebs­sys­tem ange­mel­det. Im Fal­le eines ver­lo­re­nen oder ver­ges­se­nen Yubi­Keys kann tem­po­rär der Online- oder Off­­li­ne-Hel­p­desk von Secu­re Disk genutzt wer­den, um Zugang zum Win­dows Cli­ent zu erhalten.

Bio­me­tri­sche Anmel­de­ver­fah­ren2020–07-03T12:31:59+02:00

Secu­re Disk unter­stützt ver­schie­de­ne bio­me­tri­sche Benut­ze­r­iden­ti­fi­zie­rungs­me­tho­den moder­ner Win­dows Cli­ents als zusätz­li­che Authen­ti­sie­rungs­me­tho­de. Da die bio­me­tri­schen Sen­so­ren spe­zi­el­le Trei­ber für das Secu­re Disk Pre-Boot Sys­tem erfor­dern, nut­zen Sie bit­te unser Kon­takt­for­mu­lar um die Unter­stüt­zung Ihres Gerä­tes mit uns abzuklären.

Online Hel­pdesk2020–07-03T12:31:59+02:00

Cryp­toPro Secu­re Disk for Bit­Lo­cker bie­tet umfang­rei­che Hel­p­desk-Fun­k­­ti­o­­nen, die Abhil­fe bei Anmel­de­pro­ble­men (ver­ges­se­nes Pass­wort, ver­ges­se­ne PIN, defek­te Smart­card, etc.) schaf­fen. Bei der Durch­füh­rung von Hel­p­desk-Akti­o­­nen ist immer eine zen­tra­le Hel­p­desk-Instanz invol­viert, die als Gegen­stel­le zum Benut­zer agiert, dem Hil­fe­stel­lung gebo­ten wer­den soll. Für die Durch­füh­rung von Hel­p­desk-Akti­o­­nen ist es not­wen­dig, dass eine zen­tra­le Hel­p­desk-Instanz voll­stän­dig initia­li­siert ist, und die Initia­li­sie­rung des Cli­ent-Com­­pu­­ters für die­se Hel­p­desk-Instanz eben­falls bereits abge­schlos­sen ist.

Wenn zwi­schen dem Cli­ent und dem Hel­p­desk-Ser­­ver eine Netz­werk­ver­bin­dung besteht, und der Cli­ent zur Ver­wen­dung des Online- Hel­pdesk kon­fi­gu­riert ist, wird auto­ma­tisch die Online-Vari­an­­te gewählt.

Off­line Hel­pdesk — Challenge/Response Hel­pdesk2020–07-03T12:31:59+02:00

Cryp­toPro Secu­re Disk for Bit­Lo­cker bie­tet umfang­rei­che Hel­p­desk-Fun­k­­ti­o­­nen, die Abhil­fe bei Anmel­de­pro­ble­men (ver­ges­se­nes Pass­wort, ver­ges­se­ne PIN, defek­te Smart­card, etc.) schaf­fen. Bei der Durch­füh­rung von Hel­p­desk-Akti­o­­nen ist immer eine zen­tra­le Hel­p­desk-Instanz invol­viert, die als Gegen­stel­le zum Benut­zer agiert, dem Hil­fe­stel­lung gebo­ten wer­den soll. Für die Durch­füh­rung von Hel­p­desk-Akti­o­­nen ist es not­wen­dig, dass eine zen­tra­le Hel­p­desk-Instanz voll­stän­dig initia­li­siert ist, und die Initia­li­sie­rung des Cli­ent-Com­­pu­­ters für die­se Hel­p­desk-Instanz eben­falls bereits abge­schlos­sen ist.

Wenn auf Grund der Kon­fi­gu­ra­ti­on am Cli­ent oder wegen einer feh­len­den Online-Ver­­­bin­­dung ein Online-Hel­p­desk nicht mög­lich ist, wird die Off­­li­ne-Vari­an­­te des Hel­pdesk ver­wen­det. Nach der tele­fo­ni­schen Kon­takt­auf­nah­me durch den Benut­zer akti­viert der Hel­p­desk-Ope­ra­­tor die Off­­li­ne-Hel­p­desk Sei­te der Helpdesk-Konsole.

Web Hel­pdesk — Online und Off­line2020–07-03T12:31:59+02:00

Cryp­toPro Secu­re Disk for Bit­Lo­cker bie­tet umfang­rei­che Hel­p­desk-Fun­k­­ti­o­­nen, die Abhil­fe bei Anmel­de­pro­ble­men (ver­ges­se­nes Pass­wort, ver­ges­se­ne PIN, defek­te Smart­card, etc.) schaf­fen. Bei der Durch­füh­rung von Hel­p­desk-Akti­o­­nen ist immer eine zen­tra­le Hel­p­desk-Instanz invol­viert, die als Gegen­stel­le zum Benut­zer agiert, dem Hil­fe­stel­lung gebo­ten wer­den soll. Für die Durch­füh­rung von Hel­p­desk-Akti­o­­nen ist es not­wen­dig, dass eine zen­tra­le Hel­p­desk-Instanz voll­stän­dig initia­li­siert ist, und die Initia­li­sie­rung des Cli­ent-Com­­pu­­ters für die­se Hel­p­desk-Instanz eben­falls bereits abge­schlos­sen ist.

Cryp­toPro Secu­re Disk for Bit­Lo­cker bei­tet zusätz­lich zur Hel­p­desk-Kon­­so­­le die Mög­lich­keit, dass Hel­p­desk-Mit­­ar­­bei­­ter Brow­ser­ba­siert arbei­ten kön­nen. Dafür ist es nötig, den Cryp­toPro Secu­re Disk for Bit­Lo­cker Web Hel­pdesk ein­zu­rich­ten. Der Web Hel­pdesk unter­stützt sowohl einen Online Hel­pdesk, als auch einen Off­line Hel­pdesk mit Challenge/Response Verfahren.

2020-07-03T12:29:33+02:0002.07.2020|

Teilen Sie diesen Inhalt!

Über den Autor:

Andreas Schuster ist 49 Jahre alt und wohnt in Baden bei Wien. Vor über 20 Jahren hat er sein Hobby die IT zum Beruf gemacht und arbeitet seit vielen Jahren in der Crypto-Branche. Sein technisches Interesse an allem das ein Kabel hat (exklusive Weißwaren...) bringt immer wieder spannende Blog-Inhalte.

Ein Kommentar

Hinterlasse einen Kommentar

Titel

Nach oben