torsdag den 21. december 2017

Kryptering af bærbare

Vi har introduceret en række nye sikkerhedstiltag herunder MDM, jeg netop har skrevet om. Et andet tiltag er kryptering af bærbare computere. Vi bruger både Windows og MacOS, men begge styresystemer har gode muligheder for netop kryptering af harddisken.

Formålet er naturligvis at sikre, at ingen kan få data ud af en stjålet computer. Selv om tager harddisk/SSD ud af computeren og forbinder den til en anden computer, så kan man ikke hente data ud af den. 

På Windows 10 er Bitlocker indbygget, men der er mange måder at bruge det på, og det virker ikke ens på alle pc'er. Bitlocker vil som standard ikke bede om kodeord men bruge en såkaldt TPM-chip i computeren. Vi ønskede et ekstra lag af sikkerhed, som i vores tilfælde blev en 6-cifre pinkode. Det krævede et par ændringer i Windows.

En tyv skal altså kende både AD-kodeordet og pinkoden for at låse den op.

Man kan lægge endnu flere lag af sikkerhed over computeren for eksempel forhindre, at den kan starte på en USB-nøgle, men så langt er vi i kke gået.

Vores løsning krævede både ændring af Group Policy og registreringsdatabasen.

Gå ind i gpedit.msc (Group Policy Manager) og gå til Computerkonfiguration -> Administrative skabeloner -> Windows-komponenter -> BitLocker-drevkryptering -> Operativsystemdrev -> Kræv yderligere godkendelse ved start


Vælg Aktiveret i stedet for Ikke konfigureret. Fjern så hakket i "Tillad BitLocker uden et kompatibelt TPM".

Næste trin er registreringsdatabasen, der skal have følgende ændringer:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE]
"UseAdvancedStartup"=dword:00000001
"EnableBDEWithNoTPM"=dword:00000000
"UseTPM"=dword:00000002
"UseTPMPIN"=dword:00000002
"UseTPMKey"=dword:00000002

"UseTPMKeyPIN"=dword:00000002

Det kan man gemme i et script og køre. Vi har læst meget dokumentation, og det er noget svært at finde ud af, hvorfor det her egentlig er nødvendigt.

Bemærk, at det kræver forholdsvis nye computere. Vi har også en del gamle, hvor vi ikke har fundet en god metode endnu. Bitlocker kræver lidt forundersøgelse og test i modsætning til MacOS.

Tingene er nemlig meget lettere på MacOS. Her skal man blot aktivere FileVault i systemindstillinger, så kører det hele automatisk. Apple har lavet en løsning, hvor det almindelige kodeord også dekrypterer disken. Det betyder naturligvis, at en tyv kan låse computeren op bare med med kode, hvis han får fat i den.

Ingen kommentarer:

Send en kommentar