ManageEngine hat Endpoint Central (ehemals Desktop Central) um ein Security-Modul erweitert. Dieses deckt ein weites Spektrum an sicherheitskritischen Aufgaben ab. Dieses reicht von einer zentralen Browser- und BitLocker-Verwaltung über ein Device- und Schwachstellen-Management bis zum App-Whitelisting.
Die Entschlüsselung von BitLocker mit TPM + PIN erfordert physischen Zugriff auf das Gerät, wenn es hochfährt oder aus dem Ruhezustand aufwacht. Dies kann ein Hindernis für das Remote-Management sein, falls PCs dafür über Wake-on-LAN starten. Für diesen Fall hat Microsoft die BitLocker Netzwerkentsperrung entwickelt.
Eine regelmäßige Wartung ist von zentraler Bedeutung für die Sicherheit des Active Directory. Dazu gehört das Aufspüren und Korrigieren von Konten, die kein Passwort benötigen bzw. das nie abläuft, oder von verwaisten Accounts. Eine einfache Möglichkeit dafür bietet die Kombination aus Specops Password Auditor und PowerShell.
Neben Antiviren-Software, Backups, einem konsequenten Berechtigungs-Management oder starken Passwörtern sind gut gewartete Endgeräte der beste Schutz gegen Cyber-Attacken. Zu den Aufgaben von Admins gehört es somit, Patches umgehend zu installieren und PCs auf abweichende Konfigurationen zu prüfen.
Wenn Benutzer auf verschlüsselte Laufwerke nicht mehr zugreifen können, etwa weil sie das Passwort vergessen haben, dann muss man den betreffenden Datenträger über andere Mechanismen entsperren. Dazu zählen Wiederherstellungsagenten, die das Laufwerk mittels Zertifikat freischalten können.
BitLocker unterstützt mehrere Mechanismen, um ein verschlüsseltes Laufwerk zu entsperren. Dazu gehören auch Wiederherstellungsagenten, mit deren Zertifikat man einen BitLocker-Protector hinzufügen kann. Für die Ausstellung eines solchen Zertifikats benötigt man eine eigens dafür angepasste Vorlage.
Wenn ein Rechner neben dem System-Volume über Datenlaufwerke verfügt, die mit BitLocker verschlüsselt sind, dann ist es angenehm, wenn man sie nicht immer separat entsperren muss. Das gilt erst recht für Wechseldatenträger. BitLocker bietet mit Auto-Unlock und SID-Protector dafür zwei Verfahren.
Wenn man ein Wechsellaufwerk mit BitLocker To Go verschlüsseln möchte, dann kommt es manchmal vor, dass in dessen Kontextmenü der Befehl zum Starten des BitLocker-Assistenten fehlt. Versucht man stattdessen sein Glück mit manage-bde oder PowerShell, dann kassiert man dort eine Fehlermeldung.
Wenn Unternehmen den unkontrollierten Abfluss von Daten verhindern wollen, dann gilt ihre besondere Aufmerksamkeit den Wechseldatenträgern. Bei Verlust von USB-Speichern schützt BitLocker To Go deren Inhalt vor unbefugtem Zugriff. Das Feature lässt sich über Gruppenrichtlinien erzwingen und anpassen.
Ziel der meisten Angriffe auf IT-Systeme ist es, an vertrauliche Daten von Unternehmen zu gelangen. Nicht nur Hacker, die in das Netzwerk eindringen, sondern auch interne Datendiebe können die begehrten Daten meist einfach nach außen schleusen. Safetica möchte mit seinen DLP-Tools dem einen Riegel vorschieben.*
Das Verschlüsseln von Laufwerken mit BitLocker ist auf Windows-Notebooks ein unabdingbarer Schutz gegen den Diebstahl und Missbrauch von Daten. Wenn sich User damit jedoch aussperren, dann hilft nur noch der Recovery Key. Diesen können Admins im AD speichern und bei Bedarf von dort auslesen.