BitLocker Recovery Keys im Active Directory speichern und auslesen

Das Verschlüsseln von Lauf­werken mit BitLocker ist auf Windows-Notebooks ein unab­ding­barer Schutz gegen den Dieb­stahl und Miss­brauch von Daten. Wenn sich User damit jedoch aus­sperren, dann hilft nur noch der Recovery Key. Diesen können Admins im AD speichern und bei Bedarf von dort auslesen.

Für Unter­nehmen macht es Sinn, BitLocker zentral über Gruppen­richtlinien zu konfigurieren. Ebenso empfiehlt es sich, die Wieder­herstellungs­schlüssel an einem zentralen Ort zu speichern, wo sie vor dem unbefugten Zugriff geschützt sind. Microsoft sieht dafür unter anderem das Active Directory vor. Die Verwaltung des Schlüssels ist somit ohne Tools von Dritt­herstellern möglich.

Gruppenrichtlinien konfigurieren

Im ersten Schritt erstellt man ein GPO für jene OUs oder Domänen, für deren Computer­objekte der Recovery Key im Active Directory gespeichert werden soll.

Die Einstellungen für BitLocker finden sich unter Computerkonfiguration => Administrative Vorlagen => Windows Komponenten => BitLocker-Laufwerks­verschlüsselung. Hier gibt es den Eintrag BitLocker-Wieder­her­stellungs­infor­mationen im Active Directory Domain­diensten speichern. Dieser greift nur für Rechner unter Vista und Server 2008, so dass er für die meisten Umgebungen irrelevant sein wird.

Neuere Betriebs­systeme erlauben eine granulare Konfiguration abhängig von den Laufwerks­typen. BitLocker unterscheidet dabei zwischen Betriebssystem- und Festplatten­laufwerken- sowie Wechsel­datenträgern.

Für jeden Typ findet sich im GPO-Editor ein eigener Ordner mit den dazugehörigen Ein­stellungen. Eine davon heißt: Festlegen, wie BitLocker geschützte <Laufwerkstyp> wieder­hergestellt werden können.

Speicheroption für jeden Laufwerkstyp

Möchte man zum Beispiel den Recovery Key für Betriebs­system­laufwerke im Active Directory speichern, dann aktiviert man diese Einstellung im betreffenden Ordner. Dort stellt man sicher, dass die Checkbox BitLocker-Wiederherstellungs­informationen für Betriebs­systemlaufwerke in AD DS speichern angehakt ist.

Darüber hinaus kann man hier konfigurieren, welche Daten im AD abgelegt werden. Zur Auswahl stehen Wiederher­stellungs­kennwort und Schlüsselpaket sichern sowie Nur Wieder­herstellungs­kennwörter sichern. Das Schlüssel­paket dient dem Wieder­herstellen von Daten auf einem physikalisch beschädigten Laufwerk.

Zusätzlich ist es sinnvoll, die Option BitLocker erst aktivieren, nachdem Wiederherstellungs­informationen für Betriebs­systemlaufwerke in AD DS gespeichert wurden zu aktivieren. Das gewährleistet, dass BitLocker wartet, bis etwa mobile Anwender wieder mit dem AD verbunden sind, bevor es die Daten chiffriert.

Schlüssel nachträglich manuell sichern

Sind Laufwerke bereits verschlüsselt, bevor man diese Gruppen­richtlinie aktiviert, dann greift diese nicht mehr und man muss den Key manuell in das Active Directory übertragen. Zuständig dafür ist das Kommandozeilen-Tool manage-bde.exe. Damit ermittelt man zuerst mit

manage-bde -protectors -get c:

die ID des numerischen Passworts für das Laufwerk c: und übergibt diese in einem zweiten Aufruf an

manage-bde -protectors -adbackup c: -id "{ID-des-numerischen-Passworts}"

Wiederherstellungsschlüssel im Active Directory auslesen

Um den Wieder­herstellungs­schlüssel auslesen zu können, ist es notwendig, zwei Features auf dem Rechner zu installieren, auf dem die Admini­stratoren später diese Aufgabe erledigen möchten. Es handelt sich dabei um BitLocker Wiederherstellungskennwort - Viewer und Tools zur BitLocker-Laufwerks­verschlüsselung.

Dies lässt sich auf einem Server über den Assistenten zum Hinzufügen von Rollen und Features im Server Manager erledigen, auf einer Workstation ist dieses Bestandteil der RSAT.

Danach sollte in Active Directory-Benutzer und -Computer beim Öffnen eines Computer-Objektes ein neuer Reiter mit der Beschriftung BitLocker-Wiederherstellung zu sehen sein.

Bei Computern mit verschlüsselten Laufwerken würde nun hier der entsprechende Wiederher­stellungs­schlüssel stehen.

Delegierung

Standardmäßig können nur User der Gruppe Domänen-Admins die BitLocker-Wieder­herstellungs­schlüssel anzeigen. Das reicht nicht aus, wenn zum Beispiel der Helpdesk in der Lage sein soll, auf die Recovery Keys zuzugreifen.

Um Benutzern diese Berechtigung einzuräumen, erstellt man eine Sicherheitsgruppe im Active Directory (als Name zum Beispiel BitLocker) und fügt ihr die gewünschten User hinzu. Danach führt man den Befehl Objektverwaltung zuweisen aus dem Kontextmenü der Organisations­einheit aus, in der sich die Computer befinden, deren Schlüssel die Gruppe anzeigen soll.

Im folgenden Dialog aktiviert man Benutzerdefinierte Aufgaben zum Zuweisen erstellen.

Nun setzt man die Berechtigung für "msFVE-RecoveryInformation"-Objekte.

Erforderlich ist hier Vollzugriff.

Damit sind die User, welche sich in der Sicherheits­gruppe befinden in der Lage, den Wieder­her­stellungs­schlüssel anzuzeigen.