Test: BitLocker mit AppTec360 zentral verwalten


    Tags: , ,

    AppTec EMMAppTec360 Enterprise Mobility Management (EMM) eignet sich nicht nur zur Verwaltung von mobi­len Geräten, sondern mittlerweile auch für PCs. Der Schweizer Hersteller folgt dabei Microsofts Kon­zept des "Modern Management" via MDM-Schnittstellen. Das BitLocker-Modul erlaubt eine unbe­auf­sichtigte Verschlüsselung und bietet ein Key-Management.

    Neben den Standarddisziplinen für das Endpoint-Management wie Inventarisierung, Software-Verteilung und Patch-Management trägt die EMM-Software dem zunehmenden Bedarf für Funktionen Rechnung, die Endgeräte gegen diverse Bedrohungen absichern.

    Das Verschlüsseln von Laufwerken gehört dabei auf Windows-PCs zum Standardprogramm, zumal BitLocker in jeder Windows-Edition mit Ausnahme der Home Edition enthalten ist. BitLocker verhindert den Diebstahl von Daten und gewährleistet, dass Angreifer das lokale Admin-Konto nicht hacken können, selbst wenn sie physischen Zugang zum PC haben.

    Zentrales BitLocker-Management im MDM

    BitLocker lässt sich über Gruppenrichtlinien zwar zentral verwalten, aber die Bordmittel bieten kein Reporting, aus dem man den BitLocker-Status aller Rechner ersehen kann. Zudem fehlt eine komfortable Verwaltung der Wieder­herstellungs­schlüssel.

    Microsoft bietet für das BitLocker-Management seit der Abkündigung von BitLocker Administration and Monitoring (MBAM) nur mehr Endpoint Manager und Intune. AppTec360 schließt die entstandene Lücke für benutzer­freundliche Tools, die sich wahlweise auch on-prem nutzen lassen.

    AppTec360 kennt alle BitLocker-Optionen und ermöglicht eine granulare Konfiguration der Verschlüsselungsoptionen.

    AppTec360 ersetzt die Gruppenrichtlinien vollständig und verwendet die MDM-Schnittstellen für das BitLocker-Management. Das betrifft die Aktivierung der Verschlüsselung, die Konfiguration der Authentifizierung für Rechner mit und ohne TPM oder die Einstellung, ob nur der benutzte Speicherplatz oder das ganze Laufwerk verschlüsselt werden soll.

    Einfache Geräteintegration (Onboarding)

    AppTec360 verwaltet als MDM-Werkzeug sowohl mobile als auch stationäre Endgeräte über eine gemeinsame Web-Konsole. Um Windows-PCs in die Verwaltung zu integrieren und mit BitLocker-Verschlüsselung auszustatten, müssen zunächst die Anwender mit ihren Geräten im System angemeldet werden.

    Der Admin legt dazu User wahlweise manuell an, importiert sie im Multi-Enrollment per CSV-Datei oder indem er den EMM-Service per LDAP-Konnektor an ein Active Directory anschließt, um von dort Benutzer und Gerätedaten zu übernehmen.

    Die Anwender erhalten daraufhin per E-Mail oder SMS eine Aufforderung, ihr Gerät zu registrieren. Dafür müssen sie lediglich in den Windows-Einstellungen unter Bereitstellungpaket hinzufügen oder entfernen die Zugangsdaten eintragen. Den Rest übernimmt das AppTec360-System und erlaubt fortan das zentrale Management jedes registrierten Geräts.

    Die MDM-Software von AppTec verwaltet Smartphones sowie Windows-PCs und Mac OS-Geräte.

    BitLocker mit AppTec360 ausrollen

    Der Administrator definiert die BitLocker-Einstellungen im Abschnitt Sicherheitsverwaltung wahlweise über ein Gruppenprofil oder in den Einstellungen eines einzelnen Geräts. Er hat dabei nun die Möglichkeit, die unbeaufsichtigte Verschlüsselung (silent mode) auf dem Gerät auszuführen.

    AppTec360 EMM erlaubt die Bulk-Aktivierung von BitLocker-Verschlüsselung dank Silent Mode.

    Damit kann BitLocker ohne lokale Eingriffe auf dem jeweiligen PC ausgerollt werden, was das Bestücken einer größeren Zahl von PCs beschleunigt und vereinfacht. Für die unbeaufsichtigte Verschlüsselung von fest verbauten Laufwerken müssen der Wieder­herstellungs­schlüssel und das Wieder­herstellungs­kennwort aktiviert sein.

    Die AppTec360-Konsole informiert über den Verschlüsselungs­fortschritt. Treten Probleme auf, hilft ein ausführliches Geräteprotokoll mit einem vollständigen Log aller übermittelten Befehle und den vom Windows-PC erhaltenen Rückmeldungen.

    Das integrierte Reporting-Tool wurde um einen BitLocker-Bereich erweitert, der einen Überblick über den Verschlüsselungs­status aller verwalteten Windows-PCs liefert.

    Das integrierte Reporting gibt einen Aufschluss über den Verschlüsselungszustand aller verwalteten Windows-PCs.

    Key Management

    AppTec360 schützt das Betriebs­system­laufwerk mit automatisch erzeugten Zugangsdaten. Ist am Gerät TPM verfügbar, kommt dafür ein TPM-PIN zum Einsatz, anderenfalls ein mindestens 6 Zeichen langes Passwort. Die Zugangsdaten werden an die E-Mail-Adresse gesendet, die für das Gerät hinterlegt ist.

    Geht diese PIN verloren, kann der User den Rechner nicht mehr booten. In diesem Fall hilft nur noch der bei der Einrichtung generierte Wieder­herstellungs­schlüssel. Unternehmen sind daher gut beraten, den Recovery Key an einem zentralen Ort zu speichern, wo sie gegen unbefugten Zugriff geschützt sind. Microsoft sieht dafür unter anderem das Active Directory als Speicher vor.

    Bei AppTec360 kann der Administrator optional die automatische Verwaltung der Keys im EMM nutzen. Bei Bedarf kann er hierfür das Wieder­herstellungs­passwort jederzeit zum jeweiligen Endgerät abrufen, um es beispielsweise dem Anwender oder den Helpdesk weiterzugeben.

    Über eine eigene Option kann er dafür sorgen, dass das Passwort nach der Wiederherstellung beim nächsten Kontakt mit dem AppTec360-Server neu generiert wird.

    AppTec360 verwaltet die BitLocker-Keys zentral und gestattet sowohl Abrufen als auch Neugenerieren der Wiederherstellungspasswörter.

    Über die EMM-Web-Konsole kann der Administrator dabei weitere, von BitLocker selbst vorgesehene Optionen konfigurieren. Dazu gehört etwa die Einschränkung, die eine Aktivierung von BitLocker nur dann zulässt, wenn der PC mit der Domäne verbunden ist und die BitLocker-Wieder­herstellungs­informationen erfolgreich in das AD DS gespeichert wurden.

    Das zu jedem Gerät automatisch geführte Auditprotokoll macht dabei auch alle für die Verschlüsselung eingeleiteten Schritte nachvollziehbar.

    Die Kommunikation des EMM-Servers mit den verwalteten Endgeräten wird detailliert aufgeschlüsselt.

    Preise und Verfügbarkeit

    AppTec360-Anwender haben die Wahl zwischen einer On-Premise-Instanz oder einer Cloud-Variante mit Servern in Deutschland und der Schweiz.

    Während die SaaS-Nutzung lediglich einer Registrierung bedarf, um mit der Geräteverwaltung zu starten, erfordert eine private Instanz zunächst die Installation der im OVF-Format gelieferten Virtual Appliance auf einem unterstützten Hypervisor (VMware ESXi, Hyper-V, VirtualBox oder Citrix XenServer).

    Besonders interessant für kleinere Unternehmen ist die kostenfreie Lizenz für bis zu 25 Geräte. Sie bietet den gesamten Funktionsumfang, ist zeitlich unbegrenzt und kann als On-Premise-Paket von der Website des Herstellers heruntergeladen werden. Der Anspruch auf Support ist in dieser Variante auf 30 Tage limitiert.

    Wer mehr als 25 Geräte administrieren möchte, zahlt für on-prem 0,99 € je Gerät und Monat. Die BitLocker-Features sind dabei inkludiert. Die Nutzung von Add-ons wie Universal Gateway, ContentBox und Custom Launcher sowie Support kostet extra.

    Das Geräte-Management in der Cloud kostet zusätzlich 0,59 € je Gerät und Monat bei einer Mindestlaufzeit von 24 Monaten.

    Fazit

    Die EMM-Software von AppTec360 überzeugt durch einen großen Leistungsumfang bei schneller Inbetriebnahme und einfacher Bedienung über die Web-Konsole. Im Unterschied zu Intune lässt sie sich auch on-prem betreiben und erfordert keine Mitgliedschaft der Windows-PCs im Azure Active Directory.

    Gerade für KMUs dürfte die Unterstützung für Geräte aller Art, von Smartphones bis hin zu Macs und Windows-PCs, nützlich sein. Sie erleichtert die Aufgabe, angesichts heterogener Endgeräte-Umgebungen durchgängig für Sicherheit und Compliance zu sorgen.

    Die Management-Lösung ist zudem im Marktvergleich als preisgünstig einzustufen, zumal die Verschlüsselung mit BitLocker keinerlei zusätzliche Kosten erzeugt.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Andrej Radonic

    Andrej Radonic beschäftigt sich als IT-Journalist und als Vorstand der interSales AG seit über 20 Jahren mit IT-Lösungen für mittel­ständi­sche Unter­nehmen. Spezial­gebiete sind Virtuali­sierung, Open Source und E-Commerce.
    // Kontakt: E-Mail, Xing, LinkedIn //

    Verwandte Beiträge

    Weitere Links