BitLocker Recovery Keys im Active Directory speichern und auslesen
Das Verschlüsseln von Laufwerken mit BitLocker ist auf Windows-Notebooks ein unabdingbarer Schutz gegen den Diebstahl und Missbrauch von Daten. Wenn sich User damit jedoch aussperren, dann hilft nur noch der Recovery Key. Diesen können Admins im AD speichern und bei Bedarf von dort auslesen.
Für Unternehmen macht es Sinn, BitLocker zentral über Gruppenrichtlinien zu konfigurieren. Ebenso empfiehlt es sich, die Wiederherstellungsschlüssel an einem zentralen Ort zu speichern, wo sie vor dem unbefugten Zugriff geschützt sind. Microsoft sieht dafür unter anderem das Active Directory vor. Die Verwaltung des Schlüssels ist somit ohne Tools von Drittherstellern möglich.
Gruppenrichtlinien konfigurieren
Im ersten Schritt erstellt man ein GPO für jene OUs oder Domänen, für deren Computerobjekte der Recovery Key im Active Directory gespeichert werden soll.
Die Einstellungen für BitLocker finden sich unter Computerkonfiguration => Administrative Vorlagen => Windows Komponenten => BitLocker-Laufwerksverschlüsselung. Hier gibt es den Eintrag BitLocker-Wiederherstellungsinformationen im Active Directory Domaindiensten speichern. Dieser greift nur für Rechner unter Vista und Server 2008, so dass er für die meisten Umgebungen irrelevant sein wird.
Neuere Betriebssysteme erlauben eine granulare Konfiguration abhängig von den Laufwerkstypen. BitLocker unterscheidet dabei zwischen Betriebssystem- und Festplattenlaufwerken- sowie Wechseldatenträgern.
Für jeden Typ findet sich im GPO-Editor ein eigener Ordner mit den dazugehörigen Einstellungen. Eine davon heißt: Festlegen, wie BitLocker geschützte <Laufwerkstyp> wiederhergestellt werden können.
Speicheroption für jeden Laufwerkstyp
Möchte man zum Beispiel den Recovery Key für Betriebssystemlaufwerke im Active Directory speichern, dann aktiviert man diese Einstellung im betreffenden Ordner. Dort stellt man sicher, dass die Checkbox BitLocker-Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS speichern angehakt ist.
Darüber hinaus kann man hier konfigurieren, welche Daten im AD abgelegt werden. Zur Auswahl stehen Wiederherstellungskennwort und Schlüsselpaket sichern sowie Nur Wiederherstellungskennwörter sichern. Das Schlüsselpaket dient dem Wiederherstellen von Daten auf einem physikalisch beschädigten Laufwerk.
Zusätzlich ist es sinnvoll, die Option BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS gespeichert wurden zu aktivieren. Das gewährleistet, dass BitLocker wartet, bis etwa mobile Anwender wieder mit dem AD verbunden sind, bevor es die Daten chiffriert.
Schlüssel nachträglich manuell sichern
Sind Laufwerke bereits verschlüsselt, bevor man diese Gruppenrichtlinie aktiviert, dann greift diese nicht mehr und man muss den Key manuell in das Active Directory übertragen. Zuständig dafür ist das Kommandozeilen-Tool manage-bde.exe. Damit ermittelt man zuerst mit
manage-bde -protectors -get c:
die ID des numerischen Passworts für das Laufwerk c: und übergibt diese in einem zweiten Aufruf an
manage-bde -protectors -adbackup c: -id "{ID-des-numerischen-Passworts}"
Wiederherstellungsschlüssel im Active Directory auslesen
Um den Wiederherstellungsschlüssel auslesen zu können, ist es notwendig, zwei Features auf dem Rechner zu installieren, auf dem die Administratoren später diese Aufgabe erledigen möchten. Es handelt sich dabei um BitLocker Wiederherstellungskennwort - Viewer und Tools zur BitLocker-Laufwerksverschlüsselung.
Dies lässt sich auf einem Server über den Assistenten zum Hinzufügen von Rollen und Features im Server Manager erledigen, auf einer Workstation ist dieses Bestandteil der RSAT.
Danach sollte in Active Directory-Benutzer und -Computer beim Öffnen eines Computer-Objektes ein neuer Reiter mit der Beschriftung BitLocker-Wiederherstellung zu sehen sein.
Bei Computern mit verschlüsselten Laufwerken würde nun hier der entsprechende Wiederherstellungsschlüssel stehen.
Delegierung
Standardmäßig können nur User der Gruppe Domänen-Admins die BitLocker-Wiederherstellungsschlüssel anzeigen. Das reicht nicht aus, wenn zum Beispiel der Helpdesk in der Lage sein soll, auf die Recovery Keys zuzugreifen.
Um Benutzern diese Berechtigung einzuräumen, erstellt man eine Sicherheitsgruppe im Active Directory (als Name zum Beispiel BitLocker) und fügt ihr die gewünschten User hinzu. Danach führt man den Befehl Objektverwaltung zuweisen aus dem Kontextmenü der Organisationseinheit aus, in der sich die Computer befinden, deren Schlüssel die Gruppe anzeigen soll.
Im folgenden Dialog aktiviert man Benutzerdefinierte Aufgaben zum Zuweisen erstellen.
Nun setzt man die Berechtigung für "msFVE-RecoveryInformation"-Objekte.
Erforderlich ist hier Vollzugriff.
Damit sind die User, welche sich in der Sicherheitsgruppe befinden in der Lage, den Wiederherstellungsschlüssel anzuzeigen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- BitLocker-Laufwerke entsperren mit einem Recovery Agent
- Netlogon: Domänen-Controller verweigern Verbindung zu unsicheren Geräten
- Reports zum Active Directory erzeugen mit dem kostenlosen AD Info
- Zertifikat für BitLocker Recovery Agent ausstellen
- Attribute (single- und multi-valued) im Active Directory ändern oder kopieren mit PowerShell
Weitere Links
- Technisches Webinar: Angriffe auf das Netzwerk und AD schnell bemerken, Gegenmaßnahmen ergreifen
- Technisches Webinar: User im Active Directory und VPNs mit Multifaktor-Authentifizierung (MFA) absichern
- Technisches Webinar zu Active Directory: Benutzerverwaltung automatisieren, Aufgaben delegieren, unerwünschte Änderungen erkennen
2 Kommentare
Hallo Roland,
die Konfiguration ist so wie du sie dargestellt hast und funktioniert auf einigen Rechnern, einige Rechner (gleiche Windows 10 Version, gleiches Modell) melden jedoch beim Speichern folgendes, und haben Ihren Schlüssel auch nicht automatisch im AD gespeichert:
Die Gruppenrichtlinie ermöglicht nicht das Speichern von Wiederherstellungsinformationen in Active Directory.
Der Vorgang wurde nicht ausgeführt.
Hast du dies schon mal gehabt?
Danke für deinen Guide. Bitte ggf. noch ergänzen, dass die id in " " gesetzt werden muss. Dein Befehl geht sonst nur in cmd aber nicht in Powershell.
Hallo Karl,
vielen Dank für deinen Post.
Das Problem hatte ich so noch nicht. Geht es auch nicht mit der "Nachregistrierung" in der Kommandozeile wie weiter oben beschrieben? Ist im Eventlog evtl. irgendetwas zu sehen, was darauf hinweist?
Grüße
Roland