BitLocker zentral mit ACMP von Aagon verwalten

    ACMP SecurityWenn Unter­nehmen die Lauf­werke ihrer PCs ver­schlüsseln, dann erwarten sie eine zentrale Konsole für das BitLocker-Management. Das Admin-Tool sollte zudem die Ein­stellungen flexibel an die Clients zu­weisen können und stets den aktuellen Status der Lauf­werks­­ver­schlüs­­selung liefern. ACMP verfügt über ein derartiges Modul.

    Als Bordmittel für die Verwaltung von BitLocker sieht Microsoft Gruppen­richt­linien, PowerShell und das Kommandozeilen-Tool manage-bde vor. Damit lassen sich Laufwerke auch zentral auf vielen Rechnern oder remote auf einzelnen PCs verschlüsseln.

    Mangelndes Reporting und unflexible Adressierung

    Das Management von BitLocker mittels Scripts oder GPOs leidet indes unter einigen Ein­schränkungen. So können Admins nicht ohne weiteres erkennen, ob die Verschlüsselung aus einem der vielen möglichen Gründe gescheitert ist und daher mehrere PCs ungeschützt sind.

    Neben dem fehlenden Reporting besteht ein weiteres Defizit in der relativ unflexiblen Zuweisung der Einstellungen, wenn man dafür die Gruppen­richt­linien verwendet. Wenn man nicht ganze OUs oder Domains mit den gleichen BitLocker-Optionen konfigurieren will, muss man mit WMI-Filtern hantieren.

    BitLocker-Verwaltung als Funktion des Client-Managements

    Bei ACMP hingegen handelt es sich um eine umfassende Lösung für das Endpoint-Management, dessen Infrastruktur auch der BitLocker-Verwaltung zugute kommt. So verfügt es bereits über ein vollständiges Inventar aller Rechner, das Admins gezielt für die Konfiguration von BitLocker verwenden können.

    Zudem besitzt ACMP eine Reporting-Komponente, die auch über den Verschlüsselungs­status der PC-Laufwerke Auskunft geben kann. Schließlich nutzt das System auf jedem Client einen Agent, der unter anderem auch die Verschlüsselung der Laufwerke anstoßen kann, ohne dass Admins dafür ein separates Script starten oder den Benutzer um Mithilfe bitten müssen.

    BitLocker-Konfiguration über Profile

    ACMP fasst alle BitLocker-Einstellungen in Profilen zusammen. Per Voreinstellung enthält ACMP die Profile Clients und Server, aber Admins können beliebig viele eigene Profile mit jeweils verschiedenen Einstellungen anlegen.

    Diese enthalten sowohl die Konfiguration für das System- als auch für Datenlaufwerke. Zur Auswahl stehen dort etwa die Verschlüsselungs­methode, die Optionen zum Reboot des Rechners vor dem Start der Verschlüsselung, die Anforderungen an eine PIN bzw. an ein Passwort oder das automatische Entsperren.

    ACMP BitLocker Management-Einstellungen für das Systemlaufwerk im Profil für Clients

    Unter Wechsel­daten­träger findet sich für BitLocker ToGo nur eine Einstellung, nämlich jene, die den Zugriff auf unverschlüsselte Speichergeräte verhindert. Die Benutzer sind damit gezwungen, nur Datenträger zu verwenden, die von ihnen oder der IT-Abteilung zuvor verschlüsselt wurden.

    Die Unterstützung für BitLocker ToGo besteht im Zwang zur Nutzung verschlüsselter Datenträger.

    Mit Hilfe der Profile können Admins den Rechnern dann ein ganzes Paket an Einstellungen auf einmal zuweisen. Dies funktioniert ähnlich wie mit GPOs, die mehrere Richtlinien enthalten.

    Einstellungen für Datenlaufwerke in einem Konfigurationsprofil des ACMP BitLocker Management

    Profile an Endgeräte zuweisen

    Allerdings erweist sich ACMP dabei im Vergleich zu den Gruppen­richt­linien als wesentlich flexibler. Als Ziel kommen nicht nur OUs in Frage, sondern auch Container, deren Inhalt dynamisch über Abfragen anhand fast beliebiger Kriterien erzeugt wird.

    Konfigurationsprofil an einen ACMP-Container zuweisen

    Alternativ ist aber auch möglich, ein Profil einem einzelnen Rechner zuzuweisen, beispielsweise für das Testen eines Profils.

    Verschlüsselung starten

    Die Zuweisung eines BitLocker-Profils zu einem oder mehreren Geräten bewirkt, dass dort die Verschlüsselung sofort beginnt. Im ersten Schritt muss der Benutzer, falls das Profil die Verwendung einer PIN vorsieht, diese festlegen.

    Die BitLocker-Verschlüsselung startet mit der Vergabe einer PIN, wenn diese gewollt ist.

    Anschließend muss der PC neu starten, und dies geschieht abhängig von den gewählten Optionen entweder automatisch oder dadurch, dass die Benutzer die entsprechende Anfrage bestätigen.

    Vor dem Beginn der Verschlüsselung überprüft BitLocker die Integrität des Systems.

    Nachdem der Rechner wieder hochgefahren ist, sollte nach der eventuell nötigen Eingabe der PIN die Verschlüsselung im Hintergrund beginnen. Sie betrifft je nach Auswahl im Profil das gesamte Laufwerk oder nur den belegten Speicherplatz.

    Verwaltung der Passwörter

    ACMP legt das Passwort für die Wiederherstellung verschlüsselt in seiner Datenbank ab. Von dort können es Admins in der Konsole bei der Detailansicht eines Clients auslesen.

    In den Client-Details können Admins das Passwort für die Wiederherstellung auslesen.

    In der vor kurzem erschienenen Version 6.5 erlaubt ACMP das zusätzliche Speichern des Wieder­herstellungs­passworts im Active Directory oder in Azure AD. Von dort kann es mit den Bordmitteln durch berechtigte Benutzer ausgelesen werden.

    Backup-Option für das Wiederherstellungspasswort in ACMP 6.5

    Darüber hinaus können Benutzer das zu Beginn der Verschlüsselung gewählte Passwort später jederzeit ändern. Dafür steht im ACMP Kiosk, einem Bestandteil der Client-Komponente, eine Self-Service-Option zur Verfügung.

    Benutzer können das BitLocker-Passwort selbständig über den Kiosk ändern

    Alternativ lässt sich ein Passwort in der Konsole zurücksetzen. Die Benutzer vergeben dann am Client ein neues Kennwort, ohne dass sie dafür das alte kennen müssen.

    BitLocker-Passwort über die Admin-Konsole zurücksetzen

    Dashboard und Abfragen

    Admins erhalten einen Überblick über den BitLocker-Status auf den Clients, indem sie entsprechende Widgets in das Dashboard einbinden oder vorkonfigurierte sowie selbst formulierte Abfragen ausführen.

    Ein ACMP BitLocker Management-Widget zeigt, wie vielen Clients ein Profil zugewiesen wurde.

    Das Dashboard bietet zwei Widgets zu BitLocker. Das eine zeigt an, welche Clients sich über ACMP verwalten lassen und welche davon bereits ein Profil erhalten haben. Das zweite gibt Aufschluss darüber, welchen Clients welches Profil zugewiesen wurde.

    Schließlich kann man sehr schnell über entsprechende Abfragen ermitteln, auf welchen PCs BitLocker durch ACMP verwaltet wird, auf welchen Geräten das Systemlaufwerk nicht verschlüsselt ist und mit welcher Methode die Laufwerke verschlüsselt wurden.

    Zusammenfassung

    ACMP bietet ein BitLocker Management, das sich die Möglichkeiten einer umfassenden Client-Management-Lösung zunutze macht. Dazu gehört eine zentrale Konsole, aus der Admins nicht nur die Verschlüsselung steuern, sondern auch Reports zum BitLocker-Status in der gesamten Umgebung abrufen können.

    Als besonders flexibel erweist sich die Kombination aus Konfigurationsprofilen und dynamisch erzeugten Containern für die Zuweisung der gewünschten Einstellungen zu ausgewählten Geräten. Sobald PCs ein Profil erhalten haben, veranlasst der Agent die sofortige Verschlüsselung.

    BitLocker aktiviert aus verschiedensten Gründen den Recovery Mode, welcher die Eingabe des Wiederherstellungsschlüssels erfordert. ACMP speichert diesen in seiner Datenbank, aus der er über die Admin-Konsole unkompliziert ausgelesen werden kann. Zudem bietet die aktuelle Version eine Backup-Option für das Active Directory.

    Verfügbarkeit

    Die Aagon GmbH bietet eine kostenlose ACMP Testversion inklusive des BitLocker Managements auf ihrer Website an.

    *Dies ist ein bezahlter Beitrag der Aagon GmbH.

    Bild von Aagon GmbH

    Die Aagon GmbH entwickelt und vertreibt Client Management Software zur automa­tisierten Verwaltung von Microsoft-, Linux- und OSX-basierenden PCs in Unter­nehmens­netzen.

    // Kontakt: Web, E-Mail //

    Weitere Beiträge von diesem Anbieter