Tags: Bitlocker, Verschlüsselung, Authentifizierung, Zertifikate
Die Entschlüsselung von BitLocker mit TPM + PIN erfordert physischen Zugriff auf das Gerät, wenn es hochfährt oder aus dem Ruhezustand aufwacht. Dies kann ein Hindernis für das Remote-Management sein, falls PCs dafür über Wake-on-LAN starten. Für diesen Fall hat Microsoft die BitLocker Netzwerkentsperrung entwickelt.
Die Entsperrung von BitLocker über das Netzwerk umfasst laut Microsoft die folgenden Schritte:
- Der Windows-Bootmanager erkennt einen Network Unlock Protector in der BitLocker-Konfiguration
- Der Computer verwendet seinen DHCP-Treiber im UEFI, um eine IPv4-IP-Adresse zu erhalten
- Der Client sendet eine herstellerspezifische DHCP-Anforderung. Sie enthält:
• Einen 256-Bit-Zwischenschlüssel, der mit dem öffentlichen 2048-Bit-RSA-Schlüssel des Network-Unlock-Zertifikats vom WDS-Server verschlüsselt ist.
• Einen AES-256-Sitzungsschlüssel für die Antwort - Der Network Unlock Provider auf dem WDS-Server erkennt die herstellerspezifische Anfrage
- Der Anbieter entschlüsselt die Anforderung mithilfe des privaten RSA-Schlüssels im Zertifikat für BitLocker Network Unlock
- Der WDS-Provider sendet über seine eigene herstellerspezifische DHCP-Antwort den mit dem Sitzungsschlüssel verschlüsselten Netzwerkschlüssel an den Client zurück. Dieser Key ist ein Zwischenschlüssel.
- Er wird mit einem weiteren lokalen 256-Bit-Zwischenschlüssel kombiniert. Dieser Schlüssel kann nur durch das TPM entschlüsselt werden.
- Dieser kombinierte Schlüssel wird verwendet, um einen AES-256-Schlüssel zu erzeugen, der den Datenträger entsperrt.
- Die Boot-Sequenz wird fortgesetzt
Um diesen Prozess zu ermöglichen, benötigt man einen DHCP- und einen WDS-Server, UEFI-fähige Clients und das Zertifikat für BitLocker Network-Unlock, das man in der Regel per GPO bereitstellt.
BitLocker-Entsperrung über das Netzwerk konfigurieren
Um BitLocker Network Unlock zu konfigurieren, müssen Sie die folgenden Schritte ausführen:
- Installieren der WDS-Rolle ("Bereitstellungsdienste") und des Features "BitLocker Network Unlock".
- Erstellen der Zertifikatsvorlage für BitLocker Network Unlock
- Anfordern, Ausstellen und Exportieren des BitLocker Network Unlock-Zertifikats
- Importieren des Zertifikats und des privaten Schlüssels auf den WDS-Server
- Konfigurieren der Gruppenrichtlinie für BitLocker Network Unlock
WDS and BitLocker Network Unlock hinzufügen
Auf dem WDS-Server fügt man die Bereitstellungsdienste über den Server-Manager oder PowerShell hinzu. Darüber hinaus aktiviert man das Feature BitLocker Network Unlock ("Netzwerkentsperrung").
Die Installation von BitLocker Network Unlock registriert nkpprov.dll als separates PXE. Dieser Anbieter hört auf alle DHCP-Broadcasts im Netzwerk und antwortet nur, wenn es sich um eine Anforderung für die Netzwerkentsperrung handelt. Er antwortet nicht auf reguläre DHCP/PXE-Pakete.
Zertifikatsvorlage für BitLocker Network Unlock erstellen
Der nächste Schritt besteht im Erzeugen einer Vorlage, die man zum Ausstellen eines Zertifikats für BitLocker Network Unlock benötigt. Dazu verwendet man die Verwaltungskonsole für Zertifikatsvorlagen (certtmpl.msc). Dort dupliziert man die vorhandene Vorlage User bzw. Benutzer.
Die neue Vorlage für BitLocker Network Unlock konfiguriert man dann folgendermaßen:
Registerkarte "Kompatibilität": Ändern der Felder Zertifizierungsstelle und Zertifikatsempfänger auf Windows Server 2012 bzw. Windows 8. Aktivieren Sie Resultierende Änderungen.
Registerkarte "Allgemein": Vergeben Sie für die Vorlage einen Namen wie etwa BitLocker Network Unlock. Aktivieren Sie das Kontrollkästchen Zertifikat in Active Directory veröffentlichen.
Registerkarte "Anforderungsverarbeitung" (Request Handling): Wählen Sie im Dropdown-Menü Zweck ("Purpose") die Option Verschlüsselung ("Encryption") aus. Erlauben Sie, dass der private Schlüssel exportiert wird.
Registerkarte "Kryptografie": - Setzen Sie die Mindestschlüsselgröße auf 2048. Sie können jeden Microsoft-Kryptographieanbieter verwenden, der RSA unterstützt. Aktivieren Sie Für Anforderungen muss einer der folgenden Anbieter verwendet werden ("Requests must use one of the following providers"). Deaktivieren Sie dann alle Optionen bis auf den von Ihnen gewählten Kryptographieanbieter, beispielsweise den Microsoft Software Key Storage Provider.
Registerkarte "Ausstellungsvoraussetzungen" (Issuance Requirements): Wählen Sie sowohl Genehmigung von Zertifikatsverwaltung der Zertifizierungsstelle als auch Gültiges vorhandenes Zertifikat aus.
Registerkarte "Erweiterungen": Wählen Sie Anwendungsrichtlinien => Bearbeiten.
Markieren Sie Clientauthentifizierung, Verschlüsselndes Dateisystem und Sichere E-Mail. Klicken Sie auf Entfernen.
Wählen Sie im Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten" die Option Hinzufügen.
Dann Schaltfläche Hinzufügen => Dialogfeld Anwendungsrichtlinie hinzufügen => Neu: Geben Sie die folgenden Informationen in das jeweils dafür vorgesehene Feld ein, und wählen Sie dann OK, um die BitLocker Network Unlock-Anwendungsrichtlinie zu erstellen:
- Name: BitLocker Network Unlock
- Objektkennung: 1.3.6.1.4.1.311.67.1.1
Wählen Sie die neu erstellte Anwendungsrichtlinie aus und schließen den Vorgang mit OK ab.
Registerkarte "Erweiterungen": Schlüsselverwendung => Bearbeiten > Austausch nur mit Verschlüsselung zulassen (Key Encipherment). Aktivieren Sie Diese Erweiterung als kritisch markieren.
Registerkarte "Sicherheit": Stellen Sie sicher, dass der Gruppe Domänen-Admins die Berechtigung Registrieren ("Enroll") erteilt wurde. Wählen Sie OK
Anfordern, Ausstellen und Exportieren des Zertifikats
Nachdem die Vorlage "BitLocker Network Unlock" erstellt wurde, können wir sie verwenden, um ein Zertifikat vom WDS-Server anzufordern.
Dazu öffnet man den Zertifikatsmanager (certmgr.msc) und führt aus dem Kontextmenü von Eigene Zertifikate => Zertifikate => Alle Aufgaben (Personal => Certificates => All Tasks) den Befehl Neues Zertifikat anfordern (Request New Certificate) aus.
Nachdem man die Active Directory Enrollment Policy ausgewählt hat, sieht man eine Liste mit Vorlagen, die auch BitLocker Network Unlock enthält. Klappen Sie die Sektion Details auf und geben Sie unter Antragsteller den Namen (Subject) und unter Allgemein den Anzeigenamen (Friendly Name) für das Zertifikat ein.
Nach der Registrierung sieht man, dass die Anforderung gesendet wurde.
Nun wechselt man zur Zertifizierungsstelle (certsrv.msc) und dort zu Ausstehende Anforderungen ("Pending Requests"). Aus dem Kontextmenü unserer vorher versandten Anforderung führen Sie Alle Aufgaben => Ausstellen aus.
Sobald das Zertifikat ausgestellt ist, müssen wir es zweimal exportieren, zum einen das X.509-Zertifikat selbst und zum anderen das Zertifikat mit dem privaten Schlüssel.
Das X.509-Zertifikat wird für den öffentlichen Schlüssel benötigt, der an Clients ausgegeben wird, die mit BitLocker Network Unlock entsperrt werden sollen.
Zertifikat und privaten Schlüssel auf den WDS-Server importieren
Wir müssen danach die PFX-Datei im Kontext Lokaler Computer in den Knoten BitLocker Drive Encryption Network Unlock importieren. Dazu öffnen Sie auf dem WDS-Server die MMC und fügen das Zertifikats-Snap-In hinzu. Wählen Sie zuerst die Option Computerkonto und dann den lokalen Computer aus.
Nun importiert man die zuvor exportierte PFX-Datei. Dazu muss man das Kennwort für den PFX-Import eingeben, das für den privaten Schlüssel erstellt wurde.
Gruppenrichtlinie für BitLocker Network Unlock konfigurieren
Im nächsten Schritt erstellen wir die Gruppenrichtlinie für die Clients, die BitLocker Network Unlock nutzen sollen. Die dafür erforderlichen Einstellungen finden sich im GPO-Editor unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => BitLocker-Laufwerkverschlüsselung => Betriebssystemlaufwerke.
Aktivieren Sie die Richtlinie Zusätzliche Authentifizierung beim Start erforderlich und wählen Sie dort Systemstartschlüssel bei TPM erforderlich oder Systemstartschlüssel bei TPM zulassen.
Navigieren Sie nun zu Computerkonfiguration=> Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Richtlinien für öffentliche Schlüssel => Zertifikat zur Netzwerkentsperrung für BitLocker-Laufwerksverschlüsselung. Fügen Sie die zuvor exportierte .cer-Datei hinzu, indem Sie aus dem Kontextmenü dieser Einstellung den entsprechenden Befehl ausführen.
Danach startet man die Client-Computer neu, auf welche die Gruppenrichtlinie angewendet wird, oder man aktualisiert deren Einstellungen mit
gpupdate /force.
Zusammenfassung
Wenn BitLocker Network Unlock richtig konfiguriert ist, kann man auf Rechner in einer Domäne, deren Laufwerke mit BitLocker verschlüsselt sind, aus der Ferne zugreifen während sie mit dem vertrauenswürdigen Firmen-LAN verbunden sind.
Dafür sind allerdings einige Aufgaben zu erledigen, darunter das Einrichten eines WDS-Servers mit dem Feature BitLocker Network Unlock, das Erstellen einer Zertifikatvorlage und das Ausstellen eines darauf beruhenden Zertifikats sowie die Konfiguration einer Gruppenrichtlinie.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Zertifikat für BitLocker Recovery Agent ausstellen
- BitLocker-Laufwerke automatisch entsperren über Auto-Unlock oder SID-Protector
- Mit ManageEngine SSH-Schlüssel automatisch verwalten
- Security-Updates KB5014754, KB5021130 und KB5020805 erreichen demnächst Erzwingungsmodus
- Test: BitLocker mit AppTec360 zentral verwalten
Weitere Links