Montag, 7. März 2011

Columbus auf Windows 7 mit Bitlocker und HP Protect Tools für Fingerprint mit Acronis True Image Troubles!

Wieder mal ein interessantes festgestellt. :)

Da ich einen Kunden betreue bei dem das Thema High Secure auf oberster Stelle steht, musste ich eine Lösung suchen, wie man einen Laptop von HP EliteBook 2540p / 2740p / 8440p sicher einrichtet.

Was ist das Ziel?

  1. Festplatten Verschlüsselung - Bitlocker
  2. 2 Faktor Authentisierung - HP Protect Tools
  3. Daten sprich OfflineFolders müssen auf einer separater Partition gesichert werden und dürfen nicht weg vom Laptop fürs Desasterrecovery.
  4. DesasterRecovery Lösung die auch verschlüsselt ist.
Eigentlich gar nicht so einfach. Der Kunde selbst sprich deren IT Betreuer selbst ein Freak ist der gerne ausprobiert und testet, sind wir so gemeinsam flott weitergekommen und dank eines TekkiKollegen konnten wir ein unklares Issue beheben! Eine kleine Überraschung gibts da auch noch. ;)

Kurz gesagt, musste eine Lösung her. Ich entschied mich fürs DesasterRecovery als Produkt das True Image Home 2011. Die Vorteile sind klar. Bootbarer USB Stick kann der Kunde selbst erstellen, die Sicherung läuft im laufendem Betrieb und schnell. Dazu kann ich das Problem der unverschlüsselten DesasterRecovery Daten auch decken. Da AES-256 Bit Verschlüsselung.

Nun ja, die Firmendaten dürfen den Laptop NICHT verlassen. Somit entschied ich mich gemeinsam sprich es gibt keine andere Möglichkeit mit Acronis, als eine weitere Partition zu erstellen. Somit mussten wir nur noch per Registry Hack den Offline Folder auf die ebenfalls Verschlüsselte BitlockerPartition D:\ umleiten. Per GPO hat mein TekkiKollege noch die Eigene Dokumente, Favoriten Desktop etc. auf die Partition D:\ umgeleitet. Somit sind nun alle Daten auf Laufwerk D:\ und fürs Desasterrecovery wird ausschliesslich die Partition C:\ verwendet wo keine Firmeninternen Daten gesichert werden! Eigentlich eine Elegante fertige Lösung. Wenn nicht..... Kommen wir später darauf... ;)

Das Acronis True Image zum Restoren der Partitionen ist nicht so einfach als Laie zu verstehen. Ein bisschen umständlich meiner Meinung nach bei dieser versteckten 300 MB Partition, C:\ und D:\ da man leicht die falsche Partition erwischt! Testet es selbst und Ihr werdet sehn. :)

Die 2 Faktor Authentisierung gibts bei diesen Laptops mit HP Protect Tools gleich mit. Auch da muss man aufpassen wenn man diese 2 Faktor Authentisierung aktiviert, wenn man zb. zwei User nutzt auf dem Laptop und der eine noch keinen Fingerprint registriert hat, sich der dann nicht einloggen kann. Das ist auch das einzige issue was mir da nicht so gefällt. Wobei effektiv!

Nun gut. Windows 7 x64 Enterprise hat der Kunde im Einsatz ohne Service Pack 1 (bis vor kurzem). Ich kämpfte wie viele auch, siehe google Meldungen in Foren, dass der LoginProzess nach eingabe von CTRL + ALT + DELETE laaange dauerte. Das lange dauert 1 Minute bis mal schlussendlicih der Desktop kommt. Leider war dieses Issue nicht immer standardmässig drinn. Einmal war der Login schnell einmal langsam! Das kann den User und den Admin (mich) zur Weissglut treiben! Da weder was im EventLog steht oder sonst was angezeigt wird. Dieses Phenomen erscheint erst, wenn man den Fingerprint registriert hat...

Ich suchte und versuchte die diversesten Sachen. Wir nutzen auch ein Softwaredistribution Programm http://www.brainware.ch/ kurz gesagt Columbus, welches auf einmal einfach so aus heiterem Himmel, sich nicht mehr am Server authentisieren konnte. Interessant und total abtörnend für mich! Da reparierte ich den Columbus Client sprich die Clientsoftware nochmals installiert und es lief. Auch der Login war schneller. Zu früh gefreut.

Dank dem Windows 7 Service Pack 1 kann das Problem nun reproduziert werden! Das Problem liegt am Acronis True Image Home 2011. Sobald ein Fingerprint registriert ist und wir das Acronis installieren, dauert der Login 1 Minute und der SoftwaredistributionClient verliert seine Credentials gegenüber dem Server. Kaum deinstalliert man das Acronis, läuft der Login wunderbar schnell und auf einmal läuft der Softwaredistribution Client wieder ohne Probleme.

Gemäss Acronis habe ich noch keine News. Werde wenn ich welche habe jedoch diese Posten!

JETZT, das interessanteste an der gesammten Evaluierung an Desasterrecoverylösungen ist folgendes.

Versursachen genau das gleiche Problem! Als ob diese Hersteller den gleichen Software Kernel nutzen! Amüsant! ;)

Paragon Software als Imaging Lösung bringt nix wenn man mit Bitlocker arbeitet. Da die Software versucht eine Art untertemp Partiton zu erstellen fürs Imaging und dies schlägt auf den oben erwähnten Laptops fehl!

Da kam die Idee meines TekkiKollegen (ein anderer) , schau doch mal Norton Ghost 15 an. Gesagt getan und yess, ENDLICH, eine Lösung die in dieser Combination funktioniert.

  • Schneller Login
  • Verschlüsselte SystemPartiton auf der externen USB Disk mit AES 128 Bit (AES 192 Bit und AES 256 Bit)
  • Einfaches Recovery der Partition C:\
  • Sicherung mit VSS möglich!

Die Lösung ist perfekt! Scheint so! Jedoch, einen Hacken hat die ganze Sache. Wenn man ein Image im laufenden Betrieb mit dem Norton Ghost 15 macht, werden die Daten unverschlüsselt extrahiert auf die Destination geschrieben. Deshalb muss zwingend die Verschlüsselung des Images mittels Passwort erfolgen!

Ja, der Recovery der Partition C:\ läuft wunderbar. Nach dem Recovery muss die Partition C:\ jedoch wieder erneut verschlüsselt werden und wer jetzt denkt, man könnte einfach so das "automatisierte öffnen" der Partition D:\ beim Systemstart einrichten, der wird freundlich begrüsst mit der Fehlermeldung CRC Error. Nett nicht? Find ich auch *nerv* :)

Da bleibt einem nix anderes übrig, als die Partition D:\ zu entschlüsseln und wieder zu verschlüsseln!

Achtung: Loggt man sich nach dem Desasterrecovery mit einem DomainUser an, welcher die Daten auf der noch verschlüsselten Partition D:\ hat, so kann es zu Störungsmeldungen kommen mit dem Userprofile Laden! Am besten zuerst als Lokaler Admin einloggen und Laufwerk D:\ entschlüsseln (unbitlocken) und danach C:\ und D:\ wieder Bitlocken. Das ist der Weg, der zu gehen ist. Zumindest kenne ich jetzt noch keinen anderen. Werde jedoch, wenn ich was Neues habe, dies Posten!

Hoffe der kleine Case, was viel Zeit gekostet hat, jemanden hilft das richtige Produkt zu Besorgen für eine Lösung die schlussendlich das hält was es verspricht.

Wie es so leider ist, will man Sicherheit, so muss man auch bereit sein, wie im Beispiel der Bitlocker Verschlüsselung, Zeit zu investieren > entschlüsseln und reverschlüsseln....


UPDATE: Der Columbus Client verursacht diese Probleme! Columbus bis von mir gestestete Versionen 6.12 funktionieren mit Bitlocker nicht sauber. Lange Loginzeiten und "Invalid System Login". Meine Empfehlung mit Columbus und Bitlocker. Bitlocker nicht benutzen mit den oben genannten Geräten und DigitalPersona!

Keine Kommentare: