Tags: Bitlocker, MDM, Verschlüsselung
AppTec360 Enterprise Mobility Management (EMM) eignet sich nicht nur zur Verwaltung von mobilen Geräten, sondern mittlerweile auch für PCs. Der Schweizer Hersteller folgt dabei Microsofts Konzept des "Modern Management" via MDM-Schnittstellen. Das BitLocker-Modul erlaubt eine unbeaufsichtigte Verschlüsselung und bietet ein Key-Management.
Neben den Standarddisziplinen für das Endpoint-Management wie Inventarisierung, Software-Verteilung und Patch-Management trägt die EMM-Software dem zunehmenden Bedarf für Funktionen Rechnung, die Endgeräte gegen diverse Bedrohungen absichern.
Das Verschlüsseln von Laufwerken gehört dabei auf Windows-PCs zum Standardprogramm, zumal BitLocker in jeder Windows-Edition mit Ausnahme der Home Edition enthalten ist. BitLocker verhindert den Diebstahl von Daten und gewährleistet, dass Angreifer das lokale Admin-Konto nicht hacken können, selbst wenn sie physischen Zugang zum PC haben.
Zentrales BitLocker-Management im MDM
BitLocker lässt sich über Gruppenrichtlinien zwar zentral verwalten, aber die Bordmittel bieten kein Reporting, aus dem man den BitLocker-Status aller Rechner ersehen kann. Zudem fehlt eine komfortable Verwaltung der Wiederherstellungsschlüssel.
Microsoft bietet für das BitLocker-Management seit der Abkündigung von BitLocker Administration and Monitoring (MBAM) nur mehr Endpoint Manager und Intune. AppTec360 schließt die entstandene Lücke für benutzerfreundliche Tools, die sich wahlweise auch on-prem nutzen lassen.
AppTec360 ersetzt die Gruppenrichtlinien vollständig und verwendet die MDM-Schnittstellen für das BitLocker-Management. Das betrifft die Aktivierung der Verschlüsselung, die Konfiguration der Authentifizierung für Rechner mit und ohne TPM oder die Einstellung, ob nur der benutzte Speicherplatz oder das ganze Laufwerk verschlüsselt werden soll.
Einfache Geräteintegration (Onboarding)
AppTec360 verwaltet als MDM-Werkzeug sowohl mobile als auch stationäre Endgeräte über eine gemeinsame Web-Konsole. Um Windows-PCs in die Verwaltung zu integrieren und mit BitLocker-Verschlüsselung auszustatten, müssen zunächst die Anwender mit ihren Geräten im System angemeldet werden.
Der Admin legt dazu User wahlweise manuell an, importiert sie im Multi-Enrollment per CSV-Datei oder indem er den EMM-Service per LDAP-Konnektor an ein Active Directory anschließt, um von dort Benutzer und Gerätedaten zu übernehmen.
Die Anwender erhalten daraufhin per E-Mail oder SMS eine Aufforderung, ihr Gerät zu registrieren. Dafür müssen sie lediglich in den Windows-Einstellungen unter Bereitstellungpaket hinzufügen oder entfernen die Zugangsdaten eintragen. Den Rest übernimmt das AppTec360-System und erlaubt fortan das zentrale Management jedes registrierten Geräts.
BitLocker mit AppTec360 ausrollen
Der Administrator definiert die BitLocker-Einstellungen im Abschnitt Sicherheitsverwaltung wahlweise über ein Gruppenprofil oder in den Einstellungen eines einzelnen Geräts. Er hat dabei nun die Möglichkeit, die unbeaufsichtigte Verschlüsselung (silent mode) auf dem Gerät auszuführen.
Damit kann BitLocker ohne lokale Eingriffe auf dem jeweiligen PC ausgerollt werden, was das Bestücken einer größeren Zahl von PCs beschleunigt und vereinfacht. Für die unbeaufsichtigte Verschlüsselung von fest verbauten Laufwerken müssen der Wiederherstellungsschlüssel und das Wiederherstellungskennwort aktiviert sein.
Die AppTec360-Konsole informiert über den Verschlüsselungsfortschritt. Treten Probleme auf, hilft ein ausführliches Geräteprotokoll mit einem vollständigen Log aller übermittelten Befehle und den vom Windows-PC erhaltenen Rückmeldungen.
Das integrierte Reporting-Tool wurde um einen BitLocker-Bereich erweitert, der einen Überblick über den Verschlüsselungsstatus aller verwalteten Windows-PCs liefert.
Key Management
AppTec360 schützt das Betriebssystemlaufwerk mit automatisch erzeugten Zugangsdaten. Ist am Gerät TPM verfügbar, kommt dafür ein TPM-PIN zum Einsatz, anderenfalls ein mindestens 6 Zeichen langes Passwort. Die Zugangsdaten werden an die E-Mail-Adresse gesendet, die für das Gerät hinterlegt ist.
Geht diese PIN verloren, kann der User den Rechner nicht mehr booten. In diesem Fall hilft nur noch der bei der Einrichtung generierte Wiederherstellungsschlüssel. Unternehmen sind daher gut beraten, den Recovery Key an einem zentralen Ort zu speichern, wo sie gegen unbefugten Zugriff geschützt sind. Microsoft sieht dafür unter anderem das Active Directory als Speicher vor.
Bei AppTec360 kann der Administrator optional die automatische Verwaltung der Keys im EMM nutzen. Bei Bedarf kann er hierfür das Wiederherstellungspasswort jederzeit zum jeweiligen Endgerät abrufen, um es beispielsweise dem Anwender oder den Helpdesk weiterzugeben.
Über eine eigene Option kann er dafür sorgen, dass das Passwort nach der Wiederherstellung beim nächsten Kontakt mit dem AppTec360-Server neu generiert wird.
Über die EMM-Web-Konsole kann der Administrator dabei weitere, von BitLocker selbst vorgesehene Optionen konfigurieren. Dazu gehört etwa die Einschränkung, die eine Aktivierung von BitLocker nur dann zulässt, wenn der PC mit der Domäne verbunden ist und die BitLocker-Wiederherstellungsinformationen erfolgreich in das AD DS gespeichert wurden.
Das zu jedem Gerät automatisch geführte Auditprotokoll macht dabei auch alle für die Verschlüsselung eingeleiteten Schritte nachvollziehbar.
Preise und Verfügbarkeit
AppTec360-Anwender haben die Wahl zwischen einer On-Premise-Instanz oder einer Cloud-Variante mit Servern in Deutschland und der Schweiz.
Während die SaaS-Nutzung lediglich einer Registrierung bedarf, um mit der Geräteverwaltung zu starten, erfordert eine private Instanz zunächst die Installation der im OVF-Format gelieferten Virtual Appliance auf einem unterstützten Hypervisor (VMware ESXi, Hyper-V, VirtualBox oder Citrix XenServer).
Besonders interessant für kleinere Unternehmen ist die kostenfreie Lizenz für bis zu 25 Geräte. Sie bietet den gesamten Funktionsumfang, ist zeitlich unbegrenzt und kann als On-Premise-Paket von der Website des Herstellers heruntergeladen werden. Der Anspruch auf Support ist in dieser Variante auf 30 Tage limitiert.
Wer mehr als 25 Geräte administrieren möchte, zahlt für on-prem 0,99 € je Gerät und Monat. Die BitLocker-Features sind dabei inkludiert. Die Nutzung von Add-ons wie Universal Gateway, ContentBox und Custom Launcher sowie Support kostet extra.
Das Geräte-Management in der Cloud kostet zusätzlich 0,59 € je Gerät und Monat bei einer Mindestlaufzeit von 24 Monaten.
Fazit
Die EMM-Software von AppTec360 überzeugt durch einen großen Leistungsumfang bei schneller Inbetriebnahme und einfacher Bedienung über die Web-Konsole. Im Unterschied zu Intune lässt sie sich auch on-prem betreiben und erfordert keine Mitgliedschaft der Windows-PCs im Azure Active Directory.
Gerade für KMUs dürfte die Unterstützung für Geräte aller Art, von Smartphones bis hin zu Macs und Windows-PCs, nützlich sein. Sie erleichtert die Aufgabe, angesichts heterogener Endgeräte-Umgebungen durchgängig für Sicherheit und Compliance zu sorgen.
Die Management-Lösung ist zudem im Marktvergleich als preisgünstig einzustufen, zumal die Verschlüsselung mit BitLocker keinerlei zusätzliche Kosten erzeugt.
Täglich Know-how für IT-Pros mit unserem Newsletter
Andrej Radonic beschäftigt sich als IT-Journalist und als Vorstand der interSales AG seit über 20 Jahren mit IT-Lösungen für mittelständische Unternehmen. Spezialgebiete sind Virtualisierung, Open Source und E-Commerce.
Ähnliche Beiträge
- BitLocker Network Unlock: PCs mit verschlüsselten Laufwerken remote verwalten
- Zertifikat für BitLocker Recovery Agent ausstellen
- BitLocker-Laufwerke automatisch entsperren über Auto-Unlock oder SID-Protector
- BitLocker To Go: Verschlüsselung von USB-Laufwerken über Gruppenrichtlinien steuern
- Intune Suite verbindet Endpoint-Management mit Remote-Help, Privilege-Management und Endpoint Analytics
Weitere Links