Wer im Firmenumfeld Bitlocker einsetzt, kann den Schutz der verschlüsselten Geräte durch den Einsatz eines Startup Pins deutlich erhöhen. Ohne Pin greift nur noch der Windows Passwort Schutz. Jedoch gibt es auch beim Einsatz von Startup Pins ein paar Punkte zu bedenken.
1. Wie lange sollte der Pin sein?
2. Haben alle Geräte den gleichen Pin?
3. Wie lässt sich ein Pin ändern, ohne dem User administrative Rechte zu geben?
Meiner persönlichen Meinung nach, sollte der Pin mindestens sechs Stellen haben. Die Mindestlänge lässt sich per GPO steuern. Ohne aktivierte GPO beträgt die Mindestlänge vier Stellen. Bei Verwendung unterschiedlicher Pins könnte es zu Problemen kommen, wenn Geräte den Benutzer wechseln und dieser den individuell gesetzten Pin nicht kennt. Windows wird sich weigern zu booten, solange nicht der korrekte Pin bzw. der 40-stellige Recovery Key eingegeben wird.
Gehen wir mal von dem Fall aus, dass ein Startup Pin mind. 6 Stellen benötigt und pro Gerät individuell sein kann. Initial werden alle Geräte mit identischem Pin ausgeliefert. Jetzt soll dem User die Möglichkeit gegeben werden, seinen eigenen individuellen Pin zu setzen. Hier macht man sich DSM zu Nutze. Denn damit wird die tatsächliche Änderung mit einem administrativen User durchgeführt. Der User selbst wählt sich nur noch seinen eigenen Pin aus und benötigt dabei selbst keine speziellen Berechtigungen.
Ein DSM Script könnte wie folgt aussehen:
Durch den Befehl „SingleInputWP“ lässt sich dem User eine Eingabemaske präsentieren. Nach der Eingabe durch den User wird geprüft, ob ein Wert hinterlegt wurde. Falls nein, erscheint die Eingabemaske erneut. Sollte dreimal hintereinander kein Wert eingegeben werden, wird das Script mit einem Fehler beendet. Wird ein Wert eingegeben, wird geprüft ob mindestens sechs Stellen vorhanden sind. Ansonsten lässt sich der Pin nicht ändern, da ja die GPO mind. sechs Stellen voraus setzt. Wenn der Wert weniger als sechs Stellen hat, wird der User durch eine Message Box erneut auf die Mindestlänge hingewiesen. Auch dies passiert max. drei Mal, bevor das Script mit einem Fehler beendet wird. Sollte unsere kleine Plausibilitätsprüfung erfolgreich sein, wird der Pin durch den Befehl „%winsysdir%\manage-bde.exe –protectors –add c: -tpmandpin „NeuerPin““ gesetzt und ist ab dem nächsten Neustart aktiv. Das DSM Paket lässt sich am besten durch eine Shop Policy zuweisen. Somit ist es möglich, das Paket beliebig oft auszuführen.
Zusätzlich würde sich DSM auch als Backup für individuell gesetzte Startup Pins eignen. Der durch den User gewählte Pin lässt sich mit dem Befehl "ModifyObjectProperty" auch in eine Schemaerweiterung schreiben. Somit ist er eindeutig dem entsprechenden Computerobjekt zugeordnet. Wird das Paket erneut ausgeführt, wird auch der Pin in der DSM Datenbank durch den neuen ersetzt.