Authen­tisierung und Helpdesk für Bit­Lock­er mit Secure Disk 7

Mit Secure Disk 7 erweit­ere Unternehmenkun­den die Bit­Lock­er Ver­schlüs­selung um zusät­zliche, kryp­tografis­che Benutzeri­den­ti­fika­tion­s­meth­o­d­en und einen mod­erne Helpdesk.

Über­sicht der 1FA und MFA Meth­o­d­en von Secure Disk for Bit­Lock­er

Benutzer­name + Pass­wort2020–07-03T12:32:00+02:00

Nutzung von Benutzer­na­men und Pass­wort für die Fest­plat­ten­ver­schlüs­selung. Der Benutzer­na­men und das Pass­wort wer­den bei der ersten Win­dows Anmel­dung nach der Instal­la­tion von Secure Disk automa­tisch angel­ernt und wer­den ab dem Zeit­punkt in der Pre-Boot Phase für die Fest­plat­ten­ver­schlüs­selung genutzt.

Active Direc­to­ry User­cre­den­tials2020–07-03T12:32:00+02:00

Nutzung von Active Direc­to­ry Benutzer­na­men und Pass­wort für die Fest­plat­ten­ver­schlüs­selung. Der AD Benutzer­na­men und das Pass­wort wer­den bei der ersten Win­dows Anmel­dung nach der Instal­la­tion von Secure Disk automa­tisch angel­ernt und wer­den ab dem Zeit­punkt in der Pre-Boot Phase für die Fest­plat­ten­ver­schlüs­selung genutzt. Beim Pass­wortwech­sel durch den Benutzer wird das neue Pass­wort automa­tisch in das Pre-Boot Sys­tem über­tra­gen. Zusät­zlich kann eine Active Direc­to­ry Prü­fung der Benutzerzu­gangs­dat­en bei jed­er Pre-Boot Anmel­dung aktiviert wer­den. Über diese Meth­ode kön­nen beliebige aktive AD Benutzer das ver­schlüs­selte Sys­tem nutzen. Dies ist beson­ders bei Pool-Note­­books, im Kassen­be­trieb oder bei Kiosk PCs empfehlenswert.

Automa­tis­che Net­zw­erkan­mel­dung — Friend­ly Net­work Mode2020–07-03T12:32:00+02:00

Dieser spezielle Betrieb­smodus der Fest­plat­ten­ver­schlüs­selung kann den Fest­plat­ten­schlüs­sel automa­tisch inner­halb des ver­trauenswürdi­gen Fir­men­net­zw­erkes von dem Secure Disk Serv­er abrufen. Über diese Meth­ode kön­nen vol­lver­schlüs­selte PCs ohne Benutzer­an­mel­dung, zum Beispiel in der Pro­duk­tion, im Kiosk-Betrieb oder auch Spezial-PCs wie Gel­daus­gabeau­to­mat­en, vol­lau­toma­tisch und sich­er ges­tartet werdeb.

Starke Benutzer­authen­tisierung über Smart­phone App und Blue­tooth LE2020–07-03T12:31:59+02:00

Sofern die Funk­tion aktiviert ist, kön­nen Benutzer über Self-Ser­vice die Secure Disk Smart­phone App ini­tial­isieren. In dieser Ini­tial­isierung wer­den Schlüs­sel über QR Codes auf das Smart­phone über­tra­gen, die for­t­an für den Sys­tem­start des Win­dows Clients genutzt wer­den. Beim Sys­tem­start erfol­gt eine sichere Verbindung über Blue­tooth LE um den am Smart­phone gespe­icherten Fest­pat­ten­schlüs­sel auf den Win­dows Client zu über­tra­gen. Die Autorisierung am Smart­phone erfol­gt über eine Benutzer-PIN oder den Fingerabdruck.Nach dem Start der Fest­plat­ten­ver­schlüs­selung wird der Benutzer über Sin­gle Sign-on Meth­o­d­en am Win­dows Betrieb­ssys­tem angemeldet. Im Falle eines ver­lore­nen oder vergesse­nen Smart­phones kann tem­porär der Online- oder Offline-Helpdesk von Secure Disk genutzt wer­den, um Zugang zum Win­dows Client zu erhal­ten, oder ein neues Smart­phone mit den erforder­lichen Schlüs­seln ini­tial­isiert wer­den.

Zer­ti­fikat­san­mel­dung über Virtuelle Smart­card / VSC2020–07-03T12:32:00+02:00

Neu in Secure Disk V7 ist die Unter­stützung ein­er virtuellen Smart­card im Secure Disk Pre-Boot Sys­tem. Ein kryp­tografis­ch­er Schlüs­sel in der virtuellen Smart­card schützt den Fest­plat­ten­schlüs­sel. Der Benutzer muss die Benutzer-PIN der virtuellen Smart­card eingeben um die Fest­plat­ten­ver­schlüs­selung zu aktivieren und Win­dows zu starten. Nach dem Win­dows Start wird die Microsoft Vir­tu­al Smart­card mit der Benutzr-PIN geöffnet und es erfol­gt ein Sin­gle Sign-on zm Win­dows Betrieb­ssys­tem über eine sichere Zer­ti­fikat­san­mel­dung. Die Secure Disk Vir­tu­al Smart­card unter­stützt TPM 1.2 und TPM 2.0 Secu­ri­­ty-Chips zum Schutz der kryp­tografis­chen Schlüs­sel. Durch die Kom­bi­na­tion aus Besitz (von Notebook/Tablet mit TPM Secu­ri­­ty-Chip der Anti-Ham­mer­ing unter­stützt) und Wis­sen (die PIN der virtuellen Smart­card) ist diese Meth­ode eine Zwei-Fak­­toren Authen­tisierung bzw. Mul­ti-Fak­­tor Authen­tisierung. Fest­plat­ten­ver­schlüs­selung mit der virtuellen Smart­card hat bei Brute-Force Angrif­f­en durch die TPM Secu­ri­ty ein deut­lich höheres Schutzniveau als ein Pass­wortschutz.

Zer­ti­fikat­san­mel­dung über Smart­card und Smart­­card-Read­­er2020–07-03T12:32:00+02:00

Häu­fig wird Secure Disk von Kun­den in Kom­bi­na­tion mit Smart­cards und Smart­­card-Read­­ern genutzt. In diesem Fall erfol­gt die Entschlüs­selung des Fest­plat­ten­schlüs­sels über den pri­vat­en Schlüs­sel ein­er Benutzer-Smart­­card. Der Benutzer muss hier­für die Benutzer-PIN der Smart­card im grafis­che Secure Disk Pre-Boot Sys­tem eingeben. Nach dem Start der Fest­plat­ten­ver­schlüs­selung wird der Benutzer über Sin­gle Sign-on Meth­o­d­en am Win­dows Betrieb­ssys­tem angemeldet. Im Falle ein­er ver­lore­nen oder vergesse­nen Smart­card kann tem­porär der Online- oder Offline-Helpdesk von Secure Disk genutzt wer­den, um Zugang zum Win­dows Client zu erhal­ten.

Zer­ti­fikat­san­mel­dung über PKI-Token2020–07-03T12:31:59+02:00

Han­del­sübliche PKI-Token um USB For­mat wie die Thales/Gemalto eTo­ken Serie, aber auch GIDS Token oder JCOP basierte Token wer­den ver­gle­ich­bar zu ein­er Smart­card für die Secure Disk Fest­plat­ten­schlüs­sels unter­stützt. Der Benutzer muss hier­für die Benutzer-PIN des PKI-Tokens im grafis­che Secure Disk Pre-Boot Sys­tem eingeben. Nach dem Start der Fest­plat­ten­ver­schlüs­selung wird der Benutzer über Sin­gle Sign-on Meth­o­d­en am Win­dows Betrieb­ssys­tem angemeldet. Im Falle ein­er ver­lore­nen oder vergesse­nen PKI-Token kann tem­porär der Online- oder Offline-Helpdesk von Secure Disk genutzt wer­den, um Zugang zum Win­dows Client zu erhal­ten.

Yubi­co YubiKey mit X.509 Zer­ti­fikat2020–07-03T12:31:59+02:00

YubiKey 5 Token kön­nen über die in Secure Disk inte­gri­erte Open­SC Mid­dle­ware mit beliebi­gen X.509 Zer­ti­fikat­en für due Fest­plat­ten­ver­schlüs­selung genutzt wer­den. Der Benutzer muss hier­für die Benutzer-PIN des YubiKey im grafis­che Secure Disk Pre-Boot Sys­tem eingeben. Nach dem Start der Fest­plat­ten­ver­schlüs­selung wird der Benutzer über Sin­gle Sign-on Meth­o­d­en am Win­dows Betrieb­ssys­tem angemeldet. Im Falle ein­er ver­lore­nen oder vergesse­nen YubiKeys kann tem­porär der Online- oder Offline-Helpdesk von Secure Disk genutzt wer­den, um Zugang zum Win­dows Client zu erhal­ten.

Yubi­co YubiKey über Challenge/Response2020–07-03T12:31:59+02:00

YubiKey Token unter­stützen einen speziellen kryp­tografis­chen Schlüs­sel der für eine Challenge/Response Meth­ode genutzt wird, Diese Meth­ode ist in Secure Disk v7 für eine ein­fache Mul­ti-Fak­­tor Authen­tisierung kom­plett ohne PKI und X.509 Zer­ti­fikats­man­age­ment imple­men­tiert. Die YubiKey Challenge/Response Meth­ode ist nur als zusät­zlich­er Fak­tor  ein­er Authen­tisierung über Benutzer­cre­den­tials ver­füg­bar. Nach dem Start der Fest­plat­ten­ver­schlüs­selung wird der Benutzer über Sin­gle Sign-on Meth­o­d­en am Win­dows Betrieb­ssys­tem angemeldet. Im Falle eines ver­lore­nen oder vergesse­nen YubiKeys kann tem­porär der Online- oder Offline-Helpdesk von Secure Disk genutzt wer­den, um Zugang zum Win­dows Client zu erhal­ten.

Bio­metrische Anmelde­v­er­fahren2020–07-03T12:31:59+02:00

Secure Disk unter­stützt ver­schiedene bio­metrische Benutzeri­den­ti­fizierungsmeth­o­d­en mod­ern­er Win­dows Clients als zusät­zliche Authen­tisierungsmeth­ode. Da die bio­metrischen Sen­soren spezielle Treiber für das Secure Disk Pre-Boot Sys­tem erfordern, nutzen Sie bitte unser Kon­tak­t­for­mu­lar um die Unter­stützung Ihres Gerätes mit uns abzuk­lären.

Online Helpdesk2020–07-03T12:31:59+02:00

Cryp­to­Pro Secure Disk for Bit­Lock­er bietet umfan­gre­iche Helpdesk-Funk­­tio­­nen, die Abhil­fe bei Anmeldeprob­le­men (vergessenes Pass­wort, vergessene PIN, defek­te Smart­card, etc.) schaf­fen. Bei der Durch­führung von Helpdesk-Aktio­­nen ist immer eine zen­trale Helpdesk-Instanz involviert, die als Gegen­stelle zum Benutzer agiert, dem Hil­festel­lung geboten wer­den soll. Für die Durch­führung von Helpdesk-Aktio­­nen ist es notwendig, dass eine zen­trale Helpdesk-Instanz voll­ständig ini­tial­isiert ist, und die Ini­tial­isierung des Client-Com­put­ers für diese Helpdesk-Instanz eben­falls bere­its abgeschlossen ist.

Wenn zwis­chen dem Client und dem Helpdesk-Serv­er eine Net­zw­erkverbindung beste­ht, und der Client zur Ver­wen­dung des Online- Helpdesk kon­fig­uri­ert ist, wird automa­tisch die Online-Var­i­ante gewählt.

Offline Helpdesk — Challenge/Response Helpdesk2020–07-03T12:31:59+02:00

Cryp­to­Pro Secure Disk for Bit­Lock­er bietet umfan­gre­iche Helpdesk-Funk­­tio­­nen, die Abhil­fe bei Anmeldeprob­le­men (vergessenes Pass­wort, vergessene PIN, defek­te Smart­card, etc.) schaf­fen. Bei der Durch­führung von Helpdesk-Aktio­­nen ist immer eine zen­trale Helpdesk-Instanz involviert, die als Gegen­stelle zum Benutzer agiert, dem Hil­festel­lung geboten wer­den soll. Für die Durch­führung von Helpdesk-Aktio­­nen ist es notwendig, dass eine zen­trale Helpdesk-Instanz voll­ständig ini­tial­isiert ist, und die Ini­tial­isierung des Client-Com­put­ers für diese Helpdesk-Instanz eben­falls bere­its abgeschlossen ist.

Wenn auf Grund der Kon­fig­u­ra­tion am Client oder wegen ein­er fehlen­den Online-Verbindung ein Online-Helpdesk nicht möglich ist, wird die Offline-Var­i­ante des Helpdesk ver­wen­det. Nach der tele­fonis­chen Kon­tak­tauf­nahme durch den Benutzer aktiviert der Helpdesk-Oper­a­­tor die Offline-Helpdesk Seite der Helpdesk-Kon­­sole.

Web Helpdesk — Online und Offline2020–07-03T12:31:59+02:00

Cryp­to­Pro Secure Disk for Bit­Lock­er bietet umfan­gre­iche Helpdesk-Funk­­tio­­nen, die Abhil­fe bei Anmeldeprob­le­men (vergessenes Pass­wort, vergessene PIN, defek­te Smart­card, etc.) schaf­fen. Bei der Durch­führung von Helpdesk-Aktio­­nen ist immer eine zen­trale Helpdesk-Instanz involviert, die als Gegen­stelle zum Benutzer agiert, dem Hil­festel­lung geboten wer­den soll. Für die Durch­führung von Helpdesk-Aktio­­nen ist es notwendig, dass eine zen­trale Helpdesk-Instanz voll­ständig ini­tial­isiert ist, und die Ini­tial­isierung des Client-Com­put­ers für diese Helpdesk-Instanz eben­falls bere­its abgeschlossen ist.

Cryp­to­Pro Secure Disk for Bit­Lock­er beit­et zusät­zlich zur Helpdesk-Kon­­sole die Möglichkeit, dass Helpdesk-Mitar­beit­er Browser­basiert arbeit­en kön­nen. Dafür ist es nötig, den Cryp­to­Pro Secure Disk for Bit­Lock­er Web Helpdesk einzuricht­en. Der Web Helpdesk unter­stützt sowohl einen Online Helpdesk, als auch einen Offline Helpdesk mit Challenge/Response Ver­fahren.

2020-07-03T12:29:33+02:0002.07.2020|

Über den Autor:

Andreas Schuster ist 47 Jahre alt und wohnt in Wien. Vor über 20 Jahren hat er sein Hobby die IT zum Beruf gemacht und arbeitet seit vielen Jahren in der Crypto-Branche. Sein technisches Interesse an allem das ein Kabel hat (exklusive Weißwaren...) bringt immer wieder spannende Blog-Inhalte.

Ein Kommentar

  1. […] Zurück […]

Hinterlasse einen Kommentar