BitLocker Network Unlock: PCs mit verschlüsselten Laufwerken remote verwalten

    BitLocker Recovery AgentDie Ent­schlüsselung von BitLocker mit TPM + PIN erfordert physi­schen Zugriff auf das Gerät, wenn es hoch­fährt oder aus dem Ruhe­zustand auf­wacht. Dies kann ein Hindernis für das Remote-Management sein, falls PCs dafür über Wake-on-LAN starten. Für diesen Fall hat Micro­soft die BitLocker Netz­werk­ent­sperrung ent­wickelt.

    Die Entsperrung von BitLocker über das Netzwerk umfasst laut Microsoft die folgenden Schritte:

    1. Der Windows-Bootmanager erkennt einen Network Unlock Protector in der BitLocker-Konfiguration
    2. Der Computer verwendet seinen DHCP-Treiber im UEFI, um eine IPv4-IP-Adresse zu erhalten
    3. Der Client sendet eine hersteller­spezifische DHCP-Anforderung. Sie enthält:
      • Einen 256-Bit-Zwischenschlüssel, der mit dem öffentlichen 2048-Bit-RSA-Schlüssel des Network-Unlock-Zertifikats vom WDS-Server ver­schlüsselt ist.
      • Einen AES-256-Sitzungs­schlüssel für die Antwort
    4. Der Network Unlock Provider auf dem WDS-Server erkennt die hersteller­spezifische Anfrage
    5. Der Anbieter entschlüsselt die Anforderung mithilfe des privaten RSA-Schlüssels im Zertifikat für BitLocker Network Unlock
    6. Der WDS-Provider sendet über seine eigene hersteller­spezifische DHCP-Antwort den mit dem Sitzungs­schlüssel verschlüsselten Netzwerk­schlüssel an den Client zurück. Dieser Key ist ein Zwischen­schlüssel.
    7. Er wird mit einem weiteren lokalen 256-Bit-Zwischenschlüssel kombiniert. Dieser Schlüssel kann nur durch das TPM entschlüsselt werden.
    8. Dieser kombinierte Schlüssel wird verwendet, um einen AES-256-Schlüssel zu erzeugen, der den Datenträger entsperrt.
    9. Die Boot-Sequenz wird fortgesetzt

    Um diesen Prozess zu ermöglichen, benötigt man einen DHCP- und einen WDS-Server, UEFI-fähige Clients und das Zertifikat für BitLocker Network-Unlock, das man in der Regel per GPO bereitstellt.

    BitLocker-Entsperrung über das Netzwerk konfigurieren

    Um BitLocker Network Unlock zu konfigurieren, müssen Sie die folgenden Schritte ausführen:

    • Installieren der WDS-Rolle ("Bereitstellungs­dienste") und des Features "BitLocker Network Unlock".
    • Erstellen der Zertifikats­vorlage für BitLocker Network Unlock
    • Anfordern, Ausstellen und Exportieren des BitLocker Network Unlock-Zertifikats
    • Importieren des Zertifikats und des privaten Schlüssels auf den WDS-Server
    • Konfigurieren der Gruppen­richtlinie für BitLocker Network Unlock

    WDS and BitLocker Network Unlock hinzufügen

    Auf dem WDS-Server fügt man die Bereit­stellungs­dienste über den Server-Manager oder PowerShell hinzu. Darüber hinaus aktiviert man das Feature BitLocker Network Unlock ("Netzwerk­entsperrung").

    Das Feature BitLocker Network Unlock über den Server Manager hinzufügen

    Die Installation von BitLocker Network Unlock registriert nkpprov.dll als separates PXE. Dieser Anbieter hört auf alle DHCP-Broadcasts im Netzwerk und antwortet nur, wenn es sich um eine Anforderung für die Netzwer­kent­sperrung handelt. Er antwortet nicht auf reguläre DHCP/PXE-Pakete.

    Zertifikatsvorlage für BitLocker Network Unlock erstellen

    Der nächste Schritt besteht im Erzeugen einer Vorlage, die man zum Ausstellen eines Zertifikats für BitLocker Network Unlock benötigt. Dazu verwendet man die Verwaltungs­konsole für Zertifikats­vorlagen (certtmpl.msc). Dort dupliziert man die vorhandene Vorlage User bzw. Benutzer.

    Zertifikatvorlage für Beutzer duplizieren

    Die neue Vorlage für BitLocker Network Unlock konfiguriert man dann folgendermaßen:

    Registerkarte "Kompatibilität": Ändern der Felder Zertifizierungsstelle und Zertifikatsempfänger auf Windows Server 2012 bzw. Windows 8. Aktivieren Sie Resultierende Änderungen.

    Registerkarte "Allgemein": Vergeben Sie für die Vorlage einen Namen wie etwa BitLocker Network Unlock. Aktivieren Sie das Kontrollkästchen Zertifikat in Active Directory veröffentlichen.

    Registerkarte "Anforderungsverarbeitung" (Request Handling):  Wählen Sie im Dropdown-Menü Zweck ("Purpose") die Option Verschlüsselung ("Encryption") aus. Erlauben Sie, dass der private Schlüssel exportiert wird.

    Registerkarte "Kryptografie": - Setzen Sie die Mindest­schlüsselgröße auf 2048. Sie können jeden Microsoft-Krypto­graphie­anbieter verwenden, der RSA unterstützt. Aktivieren Sie Für Anforderungen muss einer der folgenden Anbieter verwendet werden ("Requests must use one of the following providers"). Deaktivieren Sie dann alle Optionen bis auf den von Ihnen gewählten Krypto­graphie­anbieter, beispielsweise den Microsoft Software Key Storage Provider.

    Registerkarte "Ausstellungs­voraussetzungen" (Issuance Requirements):  Wählen Sie sowohl Genehmigung von Zertifikatsverwaltung der Zertifizierungsstelle  als auch Gültiges vorhandenes Zertifikat aus.

    Registerkarte "Erweiterungen": Wählen Sie Anwendungsrichtlinien => Bearbeiten.
    Markieren Sie Clientauthentifizierung, Verschlüsselndes Dateisystem und Sichere E-Mail. Klicken Sie auf Entfernen.
    Wählen Sie im Dialogfeld Anwendungs­richtlinien­erweiterung bearbeiten" die Option Hinzufügen.
    Dann Schaltfläche Hinzufügen => Dialogfeld Anwendungsrichtlinie hinzufügen => Neu: Geben Sie die folgenden Informationen in das jeweils dafür vorgesehene Feld ein, und wählen Sie dann OK, um die BitLocker Network Unlock-Anwendungs­richtlinie zu erstellen:

    • Name: BitLocker Network Unlock
    • Objektkennung: 1.3.6.1.4.1.311.67.1.1

    Wählen Sie die neu erstellte Anwendungsrichtlinie aus und schließen den Vorgang mit OK ab.

    Registerkarte "Erweiterungen":  Schlüsselverwendung => Bearbeiten > Austausch nur mit Verschlüsselung zulassen (Key Encipherment). Aktivieren Sie Diese Erweiterung als kritisch markieren.

    Registerkarte "Sicherheit": Stellen Sie sicher, dass der Gruppe Domänen-Admins die Berechtigung Registrieren ("Enroll") erteilt wurde. Wählen Sie OK

    Nach dem Duplizieren der Vorlage "User" das Template "BitLocker Network Unlock" anpassen

    Anfordern, Ausstellen und Exportieren des Zertifikats

    Nachdem die Vorlage "BitLocker Network Unlock" erstellt wurde, können wir sie verwenden, um ein Zertifikat vom WDS-Server anzufordern.

    Dazu öffnet man den Zertifikats­manager (certmgr.msc) und führt aus dem Kontextmenü von Eigene Zertifikate => Zertifikate => Alle Aufgaben (Personal => Certificates => All Tasks) den Befehl Neues Zertifikat anfordern (Request New Certificate) aus.

    Anfordern eines neuen Zertifikats für BitLocker Network Unlock

    Nachdem man die Active Directory Enrollment Policy ausgewählt hat, sieht man eine Liste mit Vorlagen, die auch BitLocker Network Unlock enthält. Klappen Sie die Sektion Details auf und geben Sie unter Antragsteller den Namen (Subject) und unter Allgemein den Anzeigenamen (Friendly Name) für das Zertifikat ein.

    Auswählen von BitLocker Network Unlock unter Active Directory Enrollment Policy.

    Nach der Registrierung sieht man, dass die Anforderung gesendet wurde.

    Nun wechselt man zur Zertifizierungs­stelle (certsrv.msc) und dort zu Ausstehende Anforderungen ("Pending Requests"). Aus dem Kontextmenü unserer vorher versandten Anforderung führen Sie Alle Aufgaben => Ausstellen aus.

    Ausstellen des ausstehenden BitLocker Network Unlock-Zertifikats

    Sobald das Zertifikat ausgestellt ist, müssen wir es zweimal exportieren, zum einen das X.509-Zertifikat selbst und zum anderen das Zertifikat mit dem privaten Schlüssel.

    Export des Zertifikats aus dem persönlichen Speicher des aktuellen Benutzers.

    Das X.509-Zertifikat wird für den öffentlichen Schlüssel benötigt, der an Clients ausgegeben wird, die mit BitLocker Network Unlock entsperrt werden sollen.

    Export des ausgestellten Zertifikats als PFX-Datei, die auch den privaten Schlüssel enthält

    Zertifikat und privaten Schlüssel auf den WDS-Server importieren

    Wir müssen danach die PFX-Datei im Kontext Lokaler Computer in den Knoten BitLocker Drive Encryption Network Unlock importieren. Dazu öffnen Sie auf dem WDS-Server die MMC und fügen das Zertifikats-Snap-In hinzu. Wählen Sie zuerst die Option Computerkonto und dann den lokalen Computer aus.

    Nun importiert man die zuvor exportierte PFX-Datei. Dazu muss man das Kennwort für den PFX-Import eingeben, das für den privaten Schlüssel erstellt wurde.

    Import der PFX auf dem WDS-Server unter dem Knoten für Computer-Zertifiakte

    Gruppenrichtlinie für BitLocker Network Unlock konfigurieren

    Im nächsten Schritt erstellen wir die Gruppen­richtlinie für die Clients, die BitLocker Network Unlock nutzen sollen. Die dafür erforderlichen Einstellungen finden sich im GPO-Editor unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => BitLocker-Laufwerkverschlüsselung => Betriebs­systemlauf­werke.

    GPO-Einstellung, die für die BitLocker-Netzwerkentsperrung konfiguriert werden muss.

    Aktivieren Sie die Richtlinie Zusätzliche Authentifizierung beim Start erforderlich und wählen Sie dort System­start­schlüssel bei TPM erforderlich oder System­start­schlüssel bei TPM zulassen.

    Start-PIN bei TPM zulassen

    Navigieren Sie nun zu Computer­konfiguration=> Richtlinien => Windows-Einstellungen => Sicherheits­einstellungen => Richtlinien für öffentliche Schlüssel => Zertifikat zur Netzwerk­entsperrung für BitLocker-Laufwerks­ver­schlüsselung. Fügen Sie die zuvor exportierte .cer-Datei hinzu, indem Sie aus dem Kontextmenü dieser Einstellung den entsprechenden Befehl ausführen.

    Auswählen des vom WDS-Server exportierten Netzwerkentsperrungszertifikats

    Danach startet man die Client-Computer neu, auf welche die Gruppenrichtlinie angewendet wird, oder man aktualisiert deren Einstellungen mit

    gpupdate /force.

    Zusammenfassung

    Wenn BitLocker Network Unlock richtig konfiguriert ist, kann man auf Rechner in einer Domäne, deren Laufwerke mit BitLocker verschlüsselt sind, aus der Ferne zugreifen während sie mit dem vertrauens­würdigen Firmen-LAN verbunden sind.

    Dafür sind allerdings einige Aufgaben zu erledigen, darunter das Einrichten eines WDS-Servers mit dem Feature BitLocker Network Unlock, das Erstellen einer Zertifikat­vorlage und das Ausstellen eines darauf beruhenden Zertifikats sowie die Konfiguration einer Gruppen­richtlinie.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Keine Kommentare