Zeige letzte Bearbeiter
1 {{aagon.priorisierung}}
2 160
3 {{/aagon.priorisierung}}
4
5 {{aagon.floatingbox/}}
6
7 Das ACMP BitLocker Management unterstützt Sie dabei, Ihre Betriebssystem- und Festplattenlaufwerksverschlüsselungen zentral zu verwalten und bietet somit zusätzlichen Schutz vor Bedrohungen von außen. BitLocker ist eine Sicherheitsfunktion von Microsoft mit der Sie Ihre Festplatten verschlüsseln können. Dadurch werden Ihre Daten unterstützend geschützt, indem Sie beispielsweise ein unbefugtes Lesen oder einen Datendiebstahl von sensiblen Informationen unterbinden.
8
9 Mithilfe der [[Konfigurationsprofile>>doc:ACMP.64.ACMP-Solutions.Security.BitLocker Management.Konfigurationsprofile.WebHome]] können Sie direkt Einstellungen am Client vornehmen und diese mittels [[Container>>doc:ACMP.64.ACMP-Solutions.Security.BitLocker Management.Konfigurationsprofile.WebHome||anchor="HVerhaltenimContainer"]] oder einer [[Query Action>>doc:ACMP.64.ACMP-Solutions.Security.BitLocker Management.Konfigurationsprofile.WebHome||anchor="HKonfigurationsprofileanClientszuweisen"]] zuweisen.
10
11 {{aagon.versionierungsbox}}
12 Das BitLocker Management ist in ACMP ab der Version 6.4 verfügbar.
13 {{/aagon.versionierungsbox}}
14
15 = Systemvoraussetzungen für BitLocker =
16
17 * ACMP Agent (kein OSC oder anderes)
18 * Betriebssystem Windows 10 (ab Pro) Version 1511 oder Windows Server 2016 Version 10.0.10586
19 * TPM Version 2.0 muss aktiviert sein
20 * UEFI-Modus muss vorhanden sein
21 * Powershell Skripte müssen ausgeführt werden können
22 * Die Client-ID muss in ACMP eindeutig sein
23
24 {{aagon.infobox}}
25 Sollte ACMP bei einem Client eine doppelte Client-ID feststellen, kann diesem kein BitLocker Konfigurationsprofil mehr zugewiesen werden. Aus diesem Grund muss die Client-ID eindeutig sein.
26 {{/aagon.infobox}}
27
28 = Passwort durch den angemeldeten Benutzer ändern lassen =
29
30 {{aagon.infobox}}
31 Im folgenden Abschnitt definieren wir sowohl die Systemstart-PIN als auch das Passwort.
32 Die Systemstart-PIN wird beim Hochfahren des Computers abgefragt und gilt nur für das Betriebssystemlaufwerk. Desweiteren kann diese PIN entweder auf Alphanumerisch oder nur auf Numerische Werte begrenzt werden.
33 Das Passwort kann nur in der Mindestlänge begrenzt werden und darf immer Alphanumerisch sein. Es wird für alle anderen Festplattenlaufwerke verwendet, außer dem Betriebssystemlaufwerk.
34 {{/aagon.infobox}}
35
36 (% class="wikigeneratedid" %)
37 Sie haben zwei Möglichkeiten, Ihren Benutzern das Ändern eines Passworts am Client zu ermöglichen.
38 Entweder stellen Sie dem Benutzer die Passwortänderung über den ACMP Kiosk zur Verfügung oder Sie führen eine Query Action aus, die dem Benutzer am Client einen Dialog anzeigt, über den ein neues Passwort vergeben werden kann.
39
40 == BitLocker Passwort ändern über den ACMP Kiosk ==
41
42 Wenn Sie es Ihren Benutzern ermöglichen wollen, jederzeit das BitLocker Passwort zu ändern, müssen Sie wie folgt vorgehen:
43 Navigieren Sie zunächst zum [[ACMP Kiosk>>doc:ACMP.64.ACMP-Solutions.Client-Management.ACMP Kiosk.WebHome]] (//Client Management// > //ACMP Kiosk//). Klicken Sie dann auf Einträge //Hinzufügen// und wählen //System Jobs //aus. Es öffnet sich ein Menü, wo Sie die Option// BitLocker Passworts// //ändern// auswählen können. Bestätigen Sie die Wahl und es startet ein Wizard, der Sie durch die Jobführung begleitet. Fügen Sie alle benötigten Angaben ein und beenden Sie den Wizard.
44
45 {{figure}}
46 (% style="text-align:center" %)
47 [[image:64_BitLocker Management_ACMP Kiosk_815.png]]
48
49 {{figureCaption}}
50 BitLocker Passwort über den ACMP Kiosk ändern
51 {{/figureCaption}}
52 {{/figure}}
53
54 Der Benutzer am Client, dem die Passwortänderung zur Verfügung gestellt wurde, kann nun über den ACMP Kiosk die Verknüpfung aufrufen. Nachdem er den Kiosk geöffnet hat, muss der Benutzer auf //Ausführen //klicken, wodurch sich ein Dialog auf dem Client öffnet. Dieser Dialog ermöglicht es, das Passwort zu ändern. Unter Laufwerke kann der Benutzer das Laufwerk auswählen, für das das Passwort geändert werden soll.
55
56 {{aagon.infobox}}
57 Unter dem Feld Laufwerke werden sämtliche Festplatten aufgelistet, die mit BitLocker verschlüsselt sind und die eine Systemstart-PIN oder ein Passwort haben.
58 {{/aagon.infobox}}
59
60 (% class="wikigeneratedid" %)
61 Sollte das Laufwerk zu dem Zeitpunkt gesperrt sein, muss der Benutzer zusätzlich das alte Passwort eingeben.
62
63 {{aagon.infobox}}
64 Sollte das Passwort nicht mehr bekannt sein, muss die Passwortänderung über die Query Action ausgeführt werden.
65 {{/aagon.infobox}}
66
67 {{figure}}
68 (% style="text-align:center" %)
69 [[image:64_BitLocker Management_Passwort ändern_448.png]]
70
71 {{figureCaption}}
72 BitLocker Passwort ändern
73 {{/figureCaption}}
74 {{/figure}}
75
76 == BitLocker Passwort über die Query Action ändern ==
77
78 Falls Sie den Benutzern nicht jederzeit die Möglichkeit geben wollen, das Passwort zu ändern, ohne nochmal mit Ihnen Rücksprache zu halten, können Sie die Änderungen gezielt durch eine Query Action ausführen lassen. Diese Option kann bei Bedarf gestartet werden.
79 Öffnen Sie dazu eine Query und selektieren Sie den Client, an dem der Benutzer das Passwort ändern soll. Klicken Sie anschließend auf die Schaltfläche //BitLocker Management //und wählen Sie dort //BitLocker-Laufwerkspasswörter ändern //aus. Bestätigen Sie die Aktion, indem Sie auf //Ausführen //klicken.
80
81 {{figure}}
82 (% style="text-align:center" %)
83 [[image:64_BitLocker Management_Passwort ändern_Query Action_448.png]]
84
85 {{figureCaption}}
86 Dialogfenster zum Ändern des BitLocker Passworts über die Query Action
87 {{/figureCaption}}
88 {{/figure}}
89
90 (% class="wikigeneratedid" %)
91 Auf dem Client des Benutzers öffnet sich ein Dialogfenster, welches er dafür nutzen kann, um das Passwort eines Laufwerks bei sich zu ändern. Hierzu kann er das gewünschte Laufwerk auswählen und anschließend das neue Passwort eingeben und dieses bestätigen. Über den Button //Passwort ändern// wird die Änderung gesichert. Sollten jedoch mehrere Passwörter für unterschiedliche Laufwerke geändert werden, müssen die Vorgänge jeweils wiederholt werden, bevor abschließend der Dialog über //Schließen //beendet wird.
92
93 {{aagon.infobox}}
94 Bei der Passwortänderung über die Query Action ist die Eingabe des alten Passworts bei einem gesperrten Laufwerk nicht erforderlich, da das Wiederherstellungskennwort verwendet wird.
95 {{/aagon.infobox}}
96
97 = BitLocker deaktivieren =
98
99 Sollten Sie BitLocker auf einem Ihrer Clients deaktivieren wollen, funktioniert dies nur über eine Query Action. Hierzu müssen Sie sämtliche Clients auswählen, auf denen BitLocker deaktiviert werden soll. Klicken Sie anschließend auf die Schaltfläche //BitLocker Management// und den Menüpunkt //BitLocker deaktivieren//. Sie können auswählen, ob BitLocker auf der Betriebssystemfestplatte und/oder Festplattenlaufwerken deaktiviert werden soll. Bei dem Festplattenlaufwerk können Sie angeben, ob das vollständige Laufwerk oder nur ausgewählte Partitionen entschlüsselt werden sollen. Bei letzterer Option müssen Sie die Laufwerke manuell aus der Liste auswählen.
100 Wenn Sie den Job gestartet haben, werden bei den entsprechenden Clients die von Ihnen ausgewählten Festplatten entschlüsselt.
101
102 {{aagon.infobox}}
103 Sollte dem Client noch ein Konfigurationsprofil zugewiesen sein, werden die Laufwerke erneut gemäß den Einstellungen des Konfigurationsprofils verschlüsselt. Hierdurch wird sichergestellt, dass bei diesen Clients die Laufwerke immer verschlüsselt werden, die laut der Einstellungen im Konfigurationsprofil vorgesehen sind.
104 {{/aagon.infobox}}
105
106 {{figure}}
107 (% style="text-align:center" %)
108 [[image:64_BitLocker Management_Deaktivieren.png]]
109
110 {{figureCaption}}
111 BitLocker über eine Query Action deaktivieren
112 {{/figureCaption}}
113 {{/figure}}
114
115 = BitLocker-Schutz anhalten und fortsetzen (System Jobs) =
116
117 Sollten Sie einen Client haben, bei dem das Betriebssystemlaufwerk verschlüsselt ist, kann optional eine Systemstart-PIN beim Hochfahren des Systems benötigt werden. Somit kann erst nach der erfolgreichen Eingabe der PIN seitens des Benutzers das Betriebssystem des Clients weiter hochgefahren werden. Sollten Sie beispielsweise ein Client Command oder einen Job am Client ausführen der einen Neustart benötigt, kann es unter Umständen dazu kommen, dass der Job erst dann fortgesetzt wird, wenn der Benutzer die PIN eingegeben hat. Um diesen Zustand zu umgehen, können Sie temporär den Schutz anhalten, sodass die PIN nicht mehr abgefragt wird. Dies funktioniert, indem Sie einen System Job beispielsweise in einer [[Job Collection>>doc:ACMP.64.ACMP-Solutions.Jobs.Job Collections.WebHome||anchor="HJobCollectionhinzufFCgen"]] ausführen und damit einmalig die Eingabe der Systemstart-PIN pausieren.
118
119 {{aagon.infobox}}
120 System Jobs sind überall abrufbar, wo Sie auch einen Job ausführen können.
121 {{/aagon.infobox}}
122
123 (% class="wikigeneratedid" %)
124 Navigieren Sie zu der [[Job Collection>>doc:ACMP.64.ACMP-Solutions.Jobs.Job Collections.WebHome]] (//Jobs// > //Job Collection//) und wählen Sie die entsprechende Collection aus, die Sie für das Anhalten des BitLocker-Schutz verwenden wollen. Die BitLocker spezifischen Jobs finden Sie im Drop-Down-Feld //System Jobs//. Sollten Sie ein Client Command oder einen Job haben, das einen möglichen Neustart benötigt, können Sie dafür eine Job Collection erstellen, in der Sie den Job //BitLocker-Schutz anhalten// verwenden. Setzen Sie dafür zunächst den System Job //BitLocker-Schutz anhalten //und fügen Sie danach den möglichen Job oder das Command der Collection hinzu.
125
126 {{figure}}
127 (% style="text-align:center" %)
128 [[image:64_BitLocker Management_Job Collections.png]]
129
130 {{figureCaption}}
131 BitLocker-Schutz anhalten und aktivieren
132 {{/figureCaption}}
133 {{/figure}}
134
135 (% class="wikigeneratedid" %)
136 Für den Fall, dass das Command oder der Job keinen Neustart benötigt und somit auch der Client nicht neugestartet wird, könnte es möglich sein, dass bis dahin der BitLocker-Schutz nicht mehr gegeben ist. Sie können aber auf Nummer sichergehen und über den System Job //BitLocker-Schutz fortsetzen //dafür sorgen, dass der Schutz in jedem Fall wieder aktiv ist. Setzen Sie dafür nach dem Job oder dem Client Command den System Job //BitLocker-Schutz fortsetzen//. Hierdurch wird der Schutz wieder aktiviert.
137
138 = BitLocker Management in den Client Details =
139
140 Über die Client Details (//Software// > //Security// > //BitLocker// //Management//) können Sie sich die Einzelheiten zu den BitLocker Einstellungen anzeigen lassen. Hierbei werden sämtliche Laufwerke des selektierten Clients aufgelistet.
141
142 {{figure}}
143 (% style="text-align:center" %)
144 [[image:64_BitLocker Management_Client Detqails_840.png]]
145
146 {{figureCaption}}
147 BitLocker Management in den Client Details
148 {{/figureCaption}}
149 {{/figure}}
150
151 Über den Tab //Allgemein //können Sie unter anderem den allgemeinen Status einsehen, welchen Schutzstatus die Laufwerke auf dem Client haben und welche Schlüsselschutzvorrichtung genutzt wird. Zu jedem Laufwerk werden noch weitere Details gespeichert und angezeigt. So können Sie beispielsweise auf einen Blick die Verschlüsselungsmethode, die Festplattengröße und auch den Verschlüsselungsstatus erkennen.
152
153 {{aagon.infobox}}
154 Wenn Sie sich die Eigenschaften zu dem BitLocker Management anzeigen lassen wollen, können Sie explizit Felder auswählen, die Sie für Queries, Filter, Reports usw. verwenden können. 
155 {{/aagon.infobox}}
156
157 (% class="wikigeneratedid" %)
158 Über die Detailansicht können Sie sich mit den entsprechenden Berechtigungen auch das Wiederherstellungskennwort anzeigen lassen. Klicken Sie dazu auf den Button //Wiederherstellungskennwort anzeigen //und kopieren Sie sich bei Bedarf das Kennwort. Sollten Sie bei den Schlüsselschutzvorrichtungen der Festplattenlaufwerke ein automatisch generiertes Passwort ausgewählt haben, ist dieses über //Automatisch generiertes Passwort anzeigen// einsehbar.
159
160 {{aagon.warnungsbox}}
161 Die benutzerdefinierten Passwörter und Systemstart-PINs werden nicht in ACMP gespeichert!
162 {{/aagon.warnungsbox}}
163
164 (% class="wikigeneratedid" %)
165 Über den Tab //Konfigurationsprofile// sehen Sie, welches Profil dem Client zugewiesen wurde. Es ist dabei an dem Namen und der Zuweisungsart (manuelle Zuweisung oder über einen Container) erkennbar. Direkte Änderungen können Sie hierüber nicht machen, dafür müssen Sie erneut zu den [[Konfigurationsprofilen>>doc:ACMP.64.ACMP-Solutions.Security.BitLocker Management.Konfigurationsprofile.WebHome]] wechseln.
166
167
168 = Empfohlene nächste Schritte: =
169
170 * [[Konfigurationsprofile anlegen>>doc:ACMP.64.ACMP-Solutions.Security.BitLocker Management.Konfigurationsprofile.WebHome]]
171 * [[Konfigurationsprofile an Clients zuweisen>>doc:ACMP.64.ACMP-Solutions.Security.BitLocker Management.Konfigurationsprofile.WebHome||anchor="HKonfigurationsprofileanClientszuweisen"]]
172 * [[Konfigurationsprofil-Einstellungen vornehmen (Betriebssystemlaufwerke, Festplattenlaufwerke und Wechseldatenträger)>>doc:ACMP.64.ACMP-Solutions.Security.BitLocker Management.Konfigurationsprofile.Konfigurationsprofil-Einstellungen.WebHome]]
173 * [[CI Anpassungen für die BitLocker Fenster vornehmen>>doc:ACMP.64.ACMP-Solutions.Security.BitLocker Management.BitLocker Management CI Anpassungen.WebHome]]
174 * [[Use Case: Migration von bestehenden BitLocker Verschlüsselungen>>doc:ACMP.64.ACMP-Solutions.Security.BitLocker Management.Use Case für BitLocker Management.Migration von bestehenden BitLocker Verschlüsselungen.WebHome]]

Navigation

© Aagon GmbH 2024
Besuchen Sie unsere neue Aagon-Community