BitLocker mit Network Unlock in Verbindung mit 802.1X und WLAN

24.03.2016 13:13

Microsoft bietet, als weitere BitLocker Authentisierungsmöglichkeit, die Einstellungsoption „Network Unlock / Netzwerkentsperrung“ an (ab Windows 8, Windows 10).

Die Netzwerkentsperrung ermöglicht eine vereinfachte und komfortable Verwaltung für BitLocker aktivierte Rechner innerhalb der Domäne, sofern die Rechner mit einem kabelgebundenen Unternehmensnetzwerk verbunden sind. Diese Funktion erfordert, dass in der UEFI-Firmware der Clienthardware ein DHCP-Treiber implementiert ist.

Befindet sich der Rechner außerhalb des Netzwerkes oder soll WLAN verwendet werden, wird automatisch die Schutzvorrichtungen TPM mit PIN aktiviert und der Anwender muss seine PIN eingeben. Durch die Netzwerkentsperrung steht den Systembetreuern nun eine sichere Methode zur Verfügung, mit der sie die Softwareverteilung auf verschlüsselten Systemen vollautomatsch und unbeaufsichtigt ohne Benutzereingriff durchführen können.

 

Einschränkung der Sicherheit:
Unternehmen die ihr Netzwerk mit 802.1x (NAC Authentisierung) schützen und erheblich in die Sicherheit ihrer Netzwerkinfrastruktur investiert haben oder WLAN verwenden möchten, steht diese Network Unlock Funktionalität aus Windows 8 / 10 leider nicht zur Verfügung.
Diese Kunden müssen demnach 802.1X abschalten bzw. ausschlieslich das kabelgebundene Netzwerk verwenden.

 

Erhöhung der Help-Desk-Kosten:
Anwender die einige Wochen mit der Network Unlock Funktionalität gearbeitet haben, waren daran gewöhnt nur noch ihre Microsoft credentials im Windows Anmeldebildschirm einzugeben um zu ihren Programmen und Daten zu gelangen. Geht diese Anwendergruppe nun auf Geschäftsreise verlangt der Rechner nach einem Reboot die Eingabe der TPM-PIN. Diese wird der Benutzer mit großer Wahrscheinlichkeit nicht mehr kennen, da er sie bereits seit Wochen nicht mehr verwendet hat.
Nun benötigt der Anwender den 48-stelligen Bitlocker-Recovery-Key, wenn er seine PIN vergessen hat und die BitLocker-Authentisierung überwinden möchte. Dadurch werden zahlreiche Help-Desk-Calls generiert.
Zusätzlich wird die Sicherheit des Systems kompromittiert, da sich der Anwender den Recovery-Key aufschreiben wird – er benötigt ihn schließlich nach jedem Reboot.

 

Lösung mit Secure Disk for BitLocker:
Secure Disk erlaubt Network Unlock / Netzwerkentsperrung (Windows 7, Windows 8, Windows 10) auch mit eingeschaltetem 802.1X und WLAN.

Des Weiteren entfällt die Eingabe der TPM-PIN, wenn der Anwender auf Geschäftsreise geht, da er sich in gewohnter Weise mit seinen Windows credentials in der Secure Disk Pre-Boot Technologie anmelden kann und automatisch an Windows angemeldet wird.

Dieses durchgängige Konzept führt zu erheblichen Kostenreduktion und sorgt für operative Vereinfachungen.

 

 

Durchsuchen