ThinkPads verschlüsseln

[Gigavolt]

Hallo zusammen

Es geht darum, bereits aktive und nicht gesicherte Notebooks abzusichern. Zwar um die 100 Stück.
Ich habe mich mal ausführlich mit Truecrypt beschäftigt, funktioniert gut und ist auf jeden fall "sicher".
Da es bei den Notebooks ausschliesslich um Lenovo ThinkPads (T500,W510,T420) handelt, könnte ich ja auch die integrierten Sicherheitsfeatures nehmen..

Es geht auch nur darum, dass jemand der eines dieser Notebook findet (Im Zug oder eines hier klaut) nicht gerade an die Daten heran kommt.

Bei Truecrypt muss ich jedes der Geräte über Nacht verschlüsseln und eine Recovery Disk anlegen. Das dauert schon ziemlich lange/ist ein grosser Aufwand, dafür sind die Daten sicher.
Bei den Thinkpads kann ich übers BIOS ein Festplattenkennwort setzen. Bau ich die HD in ein anderes Gerät ein oder per Adapter, wird diese dann auch alls unformatiert angezeigt.

Meine Frage ist nun wie schwer/einfach es ist, an die Daten zu kommen, wenn ich nur das HD-Passwort setze. Der Aufwand für etwa 100 Geräte wäre hier beachtlich geringer.
So im Vergleich Aufwand/Sicherheit Truecrypt/per BIOS.

Handbuch Notebook ab Seite 97:
http://download.lenovo.com/pccbbs/mobiles_pdf/t420_and_t420i_ug_de.pdf

Danke und Gruss

 

[puri]

Haben die Geräte einen TPM-Chip ? In Verbindung mit Win 7 Ultimate/Enterprise lassen sich die Geräte wunderbar mit Bitlocker (Win integriert) verschlüsseln und Du kannst über eine Gruppenrichtlinie sogar den Schlüssel im ADS ablegen. (machen wir hier schon länger)

Edit: Soviel ich weiß ist die HD-Passwortmethode auch sehr sicher (gab mal einen c't - Artikel darüber) - Aber - Wenn Passwort weg - Daten weg.

 

[Corristo123]

In der Regel reicht das DriveLock-Passwort. HP bietet zwar auch eine Verschlüsselung mit den HP Protect Tools an (Lenovo vermutlich etwas Ähnliches), aber ob es den Aufwand rechtfertigt, weiß ich nicht. Außerdem ist dann z.B. eine externe Sicherung (Shadowprotect, Acronis) nicht mehr möglich.

 

[puri]

Hier einer der Artikel aus der c't:

http://www.heise.de/ct/artikel/Baerendienst-289866.html

 

[derChemnitzer]

in unserer ist alles über Bitlocker verschlüsselt und WINDOWS fragt beim starten schön nach dem Passwort

vorraussetzung ist aber ein CPU mit AES-NI unterstützung (ab i5)

 

[puri]

Bei uns verschlüsseln wir auch Notebooks mit Core2Duos, ist auch noch leistungsmäßig kein Problem.

Edit: Der Vorteil an Bitlocker ist, dass man ohne ein gültiges Windows-Kennwort (bevorzugt domänenintegriert) nicht an das System kommt. Extern auslesen ist ja nicht. Und wird versucht das System irgendwie zu manipulieren, fragt das System dann nur noch nach dem 48-stelligen Bitlockerschlüssel - vorher geht gar nichts mehr.

 

[Gigavolt]

Danke für die ausführlichen Antworten.
Da alle Rechner mit Win7 Professional laufen, ist das Thema Bitlocker schoin gegessen

Den c't Artikel habe ich gelesen, ist eine interessante Sache. Scheint aber eine Sicherheitslücke zu sein. Gut das ist unabhängig ob ein PW gesetzt ist der nicht, das Feature ist ja ohnehin schon vorhanden.
Es handelt sich ja dabei um ein Chip auf der HD der die Kommunikation sperrt wenn PW gesetzt. Hab aber von nem Kollege erfahren, das er früher entweder die Chips abgelötet hat (und dann ausgewechselt) oder einfach die Platine durch eine baugleiche ausgetauscht hat und schon kommt man an die Daten hin.
Ob das so einfach geht weiss ich aber nicht.