31. Juli 2009
.::[ BitLocker unter Windows 7 mit TPM und PIN]::.
In Windows 7 ist wie schon in Vista eine Unterstützung der BitLocker Drive Encryption integriert. So lässt sich die Festeplatte "mit Hausmitteln" verschlüsseln, was insbesondere bei mobilen Notebooks relevant ist. Durch eine Kombination eines im PC integrierten TPM-Chips mit einem weiteren Authentifizierungsmechanismus lässt sich ein rechner hervoragend absichern. Standardmässig unterstützt Windows 7 hier die zusätzliche Authentifizierung über einen External Key, der auf einem Speichermedium, typischerweise einem USB-Stick, gespeichert wird. In der Praxis ist hier aber oftmals der Einsatz einer PIN sinnvoll. Bei der Konfiguration der Kombination aus TPM und PIN gibt das Befehlszeilentool manage-bde.exe folgende Fehlermeldung zurück:
ERROR: An error occurred (code 0x80310060):
Group Policy settings do not permit the use of a PIN at startup. Please choose a different BitLocker startup option.
Daher müssen in der lokalen Group Policy (erreichbar über gpedit.msc) im folgenden Pfad Einstellungen verändert werden:
> Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives
Require Additional Authentication at Startup > Enable
Diese Einstellung ermöglicht die maximale Flexibilität bei der BitLocker Konfiguration. Nach dem Setzen dieser Einstellung ist eine Konfiguration der Protectors über Manage-BDE problemlos möglich. Die Hilfe des Tools gibt alle weiteren Informationen.
In Unternehmensumgebungen ist ein zentrales Management der Gruppenrichtlinien und der BitLocker-Konfiguration über das Active Directory zu empfehlen. Der Einsatz von BitLocker auf Desktop-PCs und Serversystemen ist in sicherheitskritischen Umgebungen durchaus zu überlegen, denn nicht selten wird ein ganzer Rechner oder gar ein Standortserver entwendet.
ERROR: An error occurred (code 0x80310060):
Group Policy settings do not permit the use of a PIN at startup. Please choose a different BitLocker startup option.
Daher müssen in der lokalen Group Policy (erreichbar über gpedit.msc) im folgenden Pfad Einstellungen verändert werden:
> Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives
Require Additional Authentication at Startup > Enable
Diese Einstellung ermöglicht die maximale Flexibilität bei der BitLocker Konfiguration. Nach dem Setzen dieser Einstellung ist eine Konfiguration der Protectors über Manage-BDE problemlos möglich. Die Hilfe des Tools gibt alle weiteren Informationen.
In Unternehmensumgebungen ist ein zentrales Management der Gruppenrichtlinien und der BitLocker-Konfiguration über das Active Directory zu empfehlen. Der Einsatz von BitLocker auf Desktop-PCs und Serversystemen ist in sicherheitskritischen Umgebungen durchaus zu überlegen, denn nicht selten wird ein ganzer Rechner oder gar ein Standortserver entwendet.
Labels: Active Directory, Identity Management, TechTalk
22. Juli 2009
.::[ Outlook 2010: Multiple Exchange Accounts]::.
Einen Monat war Ruhe hier im Blog, die Redaktion weilte im verdienten Italien-Urlaub. ;-)
Seit dem Erscheinen der Office 2010 Beta für ausgewählte Partner, darf man ja nun auch offiziell über die neue Version bloggen, zumindestens was die Client-Seite angeht. Daher läuft mein Notebook nun auf Windows 7 RC und Office 2010 Beta. Bei der Neuinstallation habe ich ein Killer-Feature gefunden.
Outlook unterstützt nun mehrer Exchange Accounts in einem Outlook Profil. Mehrere Postfächer öffnen geht schon immer, aber nun können auch Postfächer auch aus unterschiedlichen Organisationen verbunden werden oder verschiedene Login-Daten für zwei Postfächer verwendet werden. Klingt schon besser, oder?
Nach einem Test muss ich sagen, das ist der Produktgruppe so richtig gut gelungen. Denn Outlook erkennt nun endlich eine volle Trennung zwischen den Accounts. Mails, die mit dem zweiten Account verschickt werden, landen auch in dessen gesendeten Objekten.
Und hier wird's jetzt interessant für den Unternehmenseinsatz. Endlich kann man richtig gut gleichzeitig mit dem eigenen (persönlichen) Postfach und mit einem Abteilungspostfach arbeiten. Outlook erkennt automatisch, mit welchem Account grad beantwortet werden soll. Beantworte ich eine Mail aus dem Abteilungspostfach, wird dieses auch als Absender ausgewählt.
Und der Kalender geht standardmässig gleich mal in einen Split-View der beiden Kalender.
Sehr gut, ich seh schon die ersten Kunden schwanken, die sich sicher waren, auch Office 2010 überspringen zu wollen...
Seit dem Erscheinen der Office 2010 Beta für ausgewählte Partner, darf man ja nun auch offiziell über die neue Version bloggen, zumindestens was die Client-Seite angeht. Daher läuft mein Notebook nun auf Windows 7 RC und Office 2010 Beta. Bei der Neuinstallation habe ich ein Killer-Feature gefunden.
Outlook unterstützt nun mehrer Exchange Accounts in einem Outlook Profil. Mehrere Postfächer öffnen geht schon immer, aber nun können auch Postfächer auch aus unterschiedlichen Organisationen verbunden werden oder verschiedene Login-Daten für zwei Postfächer verwendet werden. Klingt schon besser, oder?
Nach einem Test muss ich sagen, das ist der Produktgruppe so richtig gut gelungen. Denn Outlook erkennt nun endlich eine volle Trennung zwischen den Accounts. Mails, die mit dem zweiten Account verschickt werden, landen auch in dessen gesendeten Objekten.
Und hier wird's jetzt interessant für den Unternehmenseinsatz. Endlich kann man richtig gut gleichzeitig mit dem eigenen (persönlichen) Postfach und mit einem Abteilungspostfach arbeiten. Outlook erkennt automatisch, mit welchem Account grad beantwortet werden soll. Beantworte ich eine Mail aus dem Abteilungspostfach, wird dieses auch als Absender ausgewählt.
Und der Kalender geht standardmässig gleich mal in einen Split-View der beiden Kalender.
Sehr gut, ich seh schon die ersten Kunden schwanken, die sich sicher waren, auch Office 2010 überspringen zu wollen...
Labels: Exchange Server, Outlook, TechTalk
