BitLocker Recovery Keys im Active Directory speichern und auslesen

    BitLocker Recovery KeyDas Verschlüsseln von Lauf­werken mit BitLocker ist auf Windows-Notebooks ein unab­ding­barer Schutz gegen den Dieb­stahl und Miss­brauch von Daten. Wenn sich User damit jedoch aus­sperren, dann hilft nur noch der Recovery Key. Diesen können Admins im AD speichern und bei Bedarf von dort auslesen.

    Für Unter­nehmen macht es Sinn, BitLocker zentral über Gruppen­richtlinien zu konfigurieren. Ebenso empfiehlt es sich, die Wieder­herstellungs­schlüssel an einem zentralen Ort zu speichern, wo sie vor dem unbefugten Zugriff geschützt sind. Microsoft sieht dafür unter anderem das Active Directory vor. Die Verwaltung des Schlüssels ist somit ohne Tools von Dritt­herstellern möglich.

    Gruppenrichtlinien konfigurieren

    Im ersten Schritt erstellt man ein GPO für jene OUs oder Domänen, für deren Computer­objekte der Recovery Key im Active Directory gespeichert werden soll.

    Die Einstellungen für BitLocker finden sich unter Computerkonfiguration => Administrative Vorlagen => Windows Komponenten => BitLocker-Laufwerks­verschlüsselung. Hier gibt es den Eintrag BitLocker-Wieder­her­stellungs­infor­mationen im Active Directory Domain­diensten speichern. Dieser greift nur für Rechner unter Vista und Server 2008, so dass er für die meisten Umgebungen irrelevant sein wird.

    Diese Einstellung wirkt nur auf Computer mit Vista oder Windows Server 2008.

    Neuere Betriebs­systeme erlauben eine granulare Konfiguration abhängig von den Laufwerks­typen. BitLocker unterscheidet dabei zwischen Betriebssystem- und Festplatten­laufwerken- sowie Wechsel­datenträgern.

    Die verschiedenen Laufwerkstypen lassen sich über eigene Einstellungen getrennt für BitLocker konfigurieren.

    Für jeden Typ findet sich im GPO-Editor ein eigener Ordner mit den dazugehörigen Ein­stellungen. Eine davon heißt: Festlegen, wie BitLocker geschützte <Laufwerkstyp> wieder­hergestellt werden können.

    Speicheroption für jeden Laufwerkstyp

    Möchte man zum Beispiel den Recovery Key für Betriebs­system­laufwerke im Active Directory speichern, dann aktiviert man diese Einstellung im betreffenden Ordner. Dort stellt man sicher, dass die Checkbox BitLocker-Wiederherstellungs­informationen für Betriebs­systemlaufwerke in AD DS speichern angehakt ist.

    GPO-Einstellung zur Sicherung von Recovery Keys für Systemlaufwerke im Active Directory.

    Darüber hinaus kann man hier konfigurieren, welche Daten im AD abgelegt werden. Zur Auswahl stehen Wiederher­stellungs­kennwort und Schlüsselpaket sichern sowie Nur Wieder­herstellungs­kennwörter sichern. Das Schlüssel­paket dient dem Wieder­herstellen von Daten auf einem physikalisch beschädigten Laufwerk.

    Zusätzlich ist es sinnvoll, die Option BitLocker erst aktivieren, nachdem Wiederherstellungs­informationen für Betriebs­systemlaufwerke in AD DS gespeichert wurden zu aktivieren. Das gewährleistet, dass BitLocker wartet, bis etwa mobile Anwender wieder mit dem AD verbunden sind, bevor es die Daten chiffriert.

    Schlüssel nachträglich manuell sichern

    Sind Laufwerke bereits verschlüsselt, bevor man diese Gruppen­richtlinie aktiviert, dann greift diese nicht mehr und man muss den Key manuell in das Active Directory übertragen. Zuständig dafür ist das Kommandozeilen-Tool manage-bde.exe. Damit ermittelt man zuerst mit

    manage-bde -protectors -get c:

    die ID des numerischen Passworts für das Laufwerk c: und übergibt diese in einem zweiten Aufruf an

    manage-bde -protectors -adbackup c: -id "{ID-des-numerischen-Passworts}"

    Wiederherstellungsschlüssel im Active Directory auslesen

    Um den Wieder­herstellungs­schlüssel auslesen zu können, ist es notwendig, zwei Features auf dem Rechner zu installieren, auf dem die Admini­stratoren später diese Aufgabe erledigen möchten. Es handelt sich dabei um BitLocker Wiederherstellungskennwort - Viewer und Tools zur BitLocker-Laufwerks­verschlüsselung.

    Dies lässt sich auf einem Server über den Assistenten zum Hinzufügen von Rollen und Features im Server Manager erledigen, auf einer Workstation ist dieses Bestandteil der RSAT.

    BitLocker-Tools als Feature über den Server Manager hinzufügen

    Danach sollte in Active Directory-Benutzer und -Computer beim Öffnen eines Computer-Objektes ein neuer Reiter mit der Beschriftung BitLocker-Wiederherstellung zu sehen sein.

    Durch die Installation der BitLocker-Tools erhält Active Directory-Benutzer und Computer eine Registerkarte für den Recovery Key

    Bei Computern mit verschlüsselten Laufwerken würde nun hier der entsprechende Wiederher­stellungs­schlüssel stehen.

    Delegierung

    Standardmäßig können nur User der Gruppe Domänen-Admins die BitLocker-Wieder­herstellungs­schlüssel anzeigen. Das reicht nicht aus, wenn zum Beispiel der Helpdesk in der Lage sein soll, auf die Recovery Keys zuzugreifen.

    Um Benutzern diese Berechtigung einzuräumen, erstellt man eine Sicherheitsgruppe im Active Directory (als Name zum Beispiel BitLocker) und fügt ihr die gewünschten User hinzu. Danach führt man den Befehl Objektverwaltung zuweisen aus dem Kontextmenü der Organisations­einheit aus, in der sich die Computer befinden, deren Schlüssel die Gruppe anzeigen soll.

    Den Befehl Objektverwaltung zuweisen aus dem Kontextmenü der OU ausführen.

    Im folgenden Dialog aktiviert man Benutzerdefinierte Aufgaben zum Zuweisen erstellen.

    Auswahl von Benutzerdefinierte Aufgaben zum Zuweisen erstellen

    Nun setzt man die Berechtigung für "msFVE-RecoveryInformation"-Objekte.

    Berechtigung für msFVE-RecoveryInformation-Objekte vergeben

    Erforderlich ist hier Vollzugriff.

    Vollzugriff auf msFVE-RecoveryInformation-Objekte gewähren

    Damit sind die User, welche sich in der Sicherheits­gruppe befinden in der Lage, den Wieder­her­stellungs­schlüssel anzuzeigen.

    2 Kommentare

    Bild von Karl Wester-Ebbinghaus
    Karl Wester-Ebb... sagt:
    4. Dezember 2019 - 11:48

    Hallo Roland,
    die Konfiguration ist so wie du sie dargestellt hast und funktioniert auf einigen Rechnern, einige Rechner (gleiche Windows 10 Version, gleiches Modell) melden jedoch beim Speichern folgendes, und haben Ihren Schlüssel auch nicht automatisch im AD gespeichert:

    Die Gruppenrichtlinie ermöglicht nicht das Speichern von Wiederherstellungsinformationen in Active Directory.

    Der Vorgang wurde nicht ausgeführt.

    Hast du dies schon mal gehabt?

    Danke für deinen Guide. Bitte ggf. noch ergänzen, dass die id in " " gesetzt werden muss. Dein Befehl geht sonst nur in cmd aber nicht in Powershell.

    Bild von Roland
    Roland sagt:
    6. Dezember 2019 - 6:35

    Hallo Karl,
    vielen Dank für deinen Post.
    Das Problem hatte ich so noch nicht. Geht es auch nicht mit der "Nachregistrierung" in der Kommandozeile wie weiter oben beschrieben? Ist im Eventlog evtl. irgendetwas zu sehen, was darauf hinweist?
    Grüße
    Roland