NWC Services Blog
Blogs von Consultants der NWC Services GmbH
Seit DSM-Version 2015.1 ist es ja möglich, das System ohne clientseitige Konten zu betreiben – der Service-Installer kann im Kontext des LocalSystem-Accounts ausgeführt werden und auch der Zugriff auf das Depot für das Staging der Pakete kann in Active Directory Umgebungen mit dem Computerkonto erfolgen. Somit sind in der Konfigurationsdatenbank nur noch die Credentials von Management Point Konten gespeichert, die aber durch die asynchrone Verschlüsselung wirksam geschützt sind.
Trotzdem ist es immer wieder erforderlich, Setup-Programme oder andere Aktionen im Rahmen von DSM-Scripts in einem definierten Benutzerkontext auszuführen, um Zugriff auf Netzwerkressourcen wie Back-End Systeme, Datenbanken, Fileserver oder ähnliches zu haben. Hierfür wird in aller Regel innerhalb der eScripts der Befehl RunAsEx verwendet und dort der Benutzername und das zugehörige Kennwort angegeben.
Dieser Ansatz bringt jedoch unter mehreren Gesichtspunkten Nachteile mit sich...
Gerade für Notebooks ist es oftmals wichtig, die Daten vor unbefugten Zugriffen zu schützen.
Ein reiner Passwortschutz ist dabei aber nicht ausreichend.
Seit Windows Vista bringt Microsoft für die Enterprise und Ultimate Versionen das Verschlüsselungstool „Bitlocker Drive Encryption“ (BDE) mit. Damit lassen sich einzelne Partitionen oder komplette Festplatten verschlüsseln.