Hallo,

ich würde gerne die Notebooks der Lehrer an unseren Schulen absichern. Es handelt sich um einen kleinen Kreis von Notebooks in einer lokalen Arbeitsgruppe, keine Domäne. Es ist auch nicht vorgesehen, eine Domäne hierfür zu installieren.

Die Notebooks haben alle den TPM 2.0 integriert und laufen auf Win10 Pro. Nun zur Situation:

Wenn ich Bitlocker auf dem Gerät aktiviere und den Wiederherstellungsschlüssel ausdrucke, habe ich diesen zumindest für den Notfall zur Hand. Jedoch habe ich in der Bitlockerverwaltung keine Möglichkeit, beim Einschalten des Geräts einen Pin bzw. PWD abfragen zu lassen. Also habe ich dem lokalen User in Windows ein Standard PWD erteilt. Nach meinem Verständnis ist es doch nun so, dass wenn das Notebook verloren geht, ist die Festplatte nicht zugänglich, denn selbst wenn man mit einem WinPE Notfall Stick booten würde und probieren würde, das PWD vom lokalen Windows User zu ändern, sollte dies nicht funktionieren?!

Oder haltet ihr es für sinnvoller, einfach nur ein BIOS PWD nach dem Start des Gerätes eingeben zu lassen statt mit Bitlocker zu verschlüsseln?

 

Ich sehe halt das Problem, da die Lehrer mit dem lokalen Benutzer zugleich auch Administratorrechte haben, um ihre Software zu installieren, besteht die Gefahr, dass sie die Bitlockerverwaltung in Windows finden und dort Blödsinn bauen. (Ich möchte hier keine Diskussion über Adminrechte von Usern starten, dies vorab).

 

Wie würdet ihr hier am besten vorgehen, um eine Linie zu fahren und das ganze möglichst einfach, insbesondere für die Lehrer einfach zu halten?

 

LG
Michael

Ich würde die HDD mit Bitlocker verschlüsseln.
Schau mal, da müsst es eine GPO/Richtlinie geben, die die Bitlocker-Passwortabfrage steuert.

Hat die Änderung des PWD des lokalen Users eine Auswirkung auf Bitlocker? Bzw. besteht hier die Gefahr, dass Bitlocker dann beim nächsten Start den Bitlocker Wiederherstellungskey verlangt?

 

Was ist, wenn die Hardware defekt geht und ich die verschlüsselte Festplatte ausbauen und die Daten retten muss? Wie komme ich dann (natürlich mit dem ausgedruckten Wiederherstellungskey) an die Daten der verschlüsselten Festplatte?

Password des lokalen Nutzers hat mit Bitlocker Password doch nichts zutun meines Wissens nach. Habe auch Bitlocker aktiviert auf meinem Privatrechner und das Password ist nicht das Selbe wie das Password meines Nutzerkonto.

vor 1 Stunde schrieb Master112:

Jedoch habe ich in der Bitlockerverwaltung keine Möglichkeit, beim Einschalten des Geräts einen Pin bzw. PWD abfragen zu lassen

Kannst du über lokale Richtlinien aktivieren. How To's findet man dazu schnell bei Google.

vor 1 Stunde schrieb Master112:

Oder haltet ihr es für sinnvoller, einfach nur ein BIOS PWD nach dem Start des Gerätes eingeben zu lassen statt mit Bitlocker zu verschlüsseln?

Schützt nicht vor geklauter oder verlorener Festplatte. Das BIOS hat mit der HDD nicht viel am Hut.

vor 1 Stunde schrieb Master112:

Ich sehe halt das Problem, da die Lehrer mit dem lokalen Benutzer zugleich auch Administratorrechte haben, um ihre Software zu installieren, besteht die Gefahr, dass sie die Bitlockerverwaltung in Windows finden und dort Blödsinn bauen

Das wirst du nur umgehen können, wenn wir eine Diskussion über das Thema führen, was du ja nicht möchtest. Ansonsten bleibt das Risiko bestehen.

PS: Das ist grob fahrlässig und mMn rechtlich vor allem im Bezug auf den Datenschutz und die relevanten IT-Systeme nicht ok, falls ihr auf den Laptops personenbezogene Daten verarbeitet.

vor 1 Stunde schrieb Master112:

Wie würdet ihr hier am besten vorgehen, um eine Linie zu fahren und das ganze möglichst einfach, insbesondere für die Lehrer einfach zu halten?

Ohne dir nahe treten zu wollen. Wenn Budget da ist: Einen IT-Dienstleister besorgen. Ich habe früher selbst IT-Dienstleistungen für Schulen erbracht und es war immer wieder ein Graus die Systeme ordentlich bereitzustellen nach dem die Lehrer das zunächst selbst versucht hatten.

Bearbeitet 17. August 20214 j von OkiDoki