BitLocker Recovery Keys im Active Directory speichern und auslesen

    , 03.12.2019, zuletzt aktualisiert am 13.08.2023
    Tags: ,

    BitLocker Recovery KeyDas Verschlüsseln von Lauf­werken mit BitLocker ist auf Windows-Notebooks ein unab­ding­barer Schutz gegen den Dieb­stahl und Miss­brauch von Daten. Wenn sich User damit jedoch aus­sperren, dann hilft nur noch der Recovery Key. Diesen können Admins im Active Directory speichern und bei Bedarf von dort auslesen.

    Für Unter­nehmen macht es Sinn, BitLocker zentral über Gruppen­richtlinien zu konfigurieren. Ebenso empfiehlt es sich, die Wieder­herstellungs­schlüssel an einem zentralen Ort zu speichern, wo sie vor dem unbefugten Zugriff geschützt sind. Microsoft sieht dafür unter anderem das Active Directory vor. Die Verwaltung des Schlüssels ist somit ohne Tools von Dritt­herstellern möglich.

    Gruppenrichtlinien konfigurieren

    Im ersten Schritt erstellt man ein GPO für jene OUs oder Domänen, für deren Computer­objekte der Recovery Key im Active Directory gespeichert werden soll.

    Die Einstellungen für BitLocker finden sich unter Computerkonfiguration => Administrative Vorlagen => Windows Komponenten => BitLocker-Laufwerks­verschlüsselung.

    Hier gibt es den Eintrag BitLocker-Wieder­her­stellungs­infor­mationen im Active Directory Domain­diensten speichern. Dieser greift nur für Rechner unter Vista und Server 2008, so dass er für die meisten Umgebungen irrelevant sein wird.

    Diese Einstellung wirkt nur auf Computer mit Vista oder Windows Server 2008.

    Neuere Betriebs­systeme erlauben eine granulare Konfiguration abhängig von den Laufwerks­typen. BitLocker unterscheidet dabei zwischen Betriebssystem- und Festplatten­laufwerken sowie Wechsel­datenträgern.

    Die verschiedenen Laufwerkstypen lassen sich über eigene Einstellungen getrennt für BitLocker konfigurieren.

    Für jeden Typ findet sich im GPO-Editor ein eigener Ordner mit den dazugehörigen Ein­stellungen. Eine davon heißt: Festlegen, wie BitLocker geschützte <Laufwerkstyp> wieder­hergestellt werden können.

    Speicheroption für jeden Laufwerkstyp

    Möchte man den Recovery Key für Betriebs­system­laufwerke im Active Directory speichern, dann aktiviert man diese Einstellung im betreffenden Ordner. Dort stellt man sicher, dass die Checkbox BitLocker-Wiederherstellungs­informationen für Betriebs­systemlaufwerke in AD DS speichern angehakt ist.

    GPO-Einstellung zur Sicherung von Recovery Keys für Systemlaufwerke im Active Directory.

    Darüber hinaus kann man hier konfigurieren, welche Daten im AD abgelegt werden. Zur Auswahl stehen Wiederher­stellungs­kennwort und Schlüsselpaket sichern sowie Nur Wieder­herstellungs­kennwörter sichern. Das Schlüssel­paket dient dem Wieder­herstellen von Daten auf einem physikalisch beschädigten Laufwerk.

    Zusätzlich ist es sinnvoll, die Option BitLocker erst aktivieren, nachdem Wiederherstellungs­informationen für Betriebs­systemlaufwerke in AD DS gespeichert wurden zu aktivieren. Das gewährleistet, dass BitLocker wartet, bis etwa mobile Anwender wieder mit dem AD verbunden sind, bevor es die Daten chiffriert.

    Schlüssel nachträglich manuell sichern

    Sind Laufwerke bereits verschlüsselt, bevor man diese Gruppen­richtlinie aktiviert, dann greift diese nicht mehr und man muss den Key manuell in das Active Directory übertragen. Zuständig dafür ist das Kommandozeilen-Tool manage-bde.exe. Damit ermittelt man zuerst mit

    manage-bde -protectors -get c:

    die ID des numerischen Passworts für das Laufwerk c: und übergibt diese in einem zweiten Aufruf an

    manage-bde -protectors -adbackup c: -id "{ID-des-numerischen-Passworts}"

    Wiederherstellungsschlüssel im Active Directory auslesen

    Um den Wieder­herstellungs­schlüssel auslesen zu können, ist es notwendig, zwei Features auf dem Rechner zu installieren, auf dem die Admini­stratoren später diese Aufgabe erledigen möchten. Es handelt sich dabei um BitLocker Wiederherstellungskennwort - Viewer und Tools zur BitLocker-Laufwerks­verschlüsselung.

    Dies lässt sich auf einem Server über den Assistenten zum Hinzufügen von Rollen und Features im Server Manager erledigen, auf einer Workstation ist dieses Bestandteil der RSAT.

    BitLocker-Tools als Feature über den Server Manager hinzufügen

    Danach sollte in Active Directory-Benutzer und -Computer beim Öffnen eines Computer-Objektes ein neuer Reiter mit der Beschriftung BitLocker-Wiederherstellung zu sehen sein.

    Durch die Installation der BitLocker-Tools erhält Active Directory-Benutzer und Computer eine Registerkarte für den Recovery Key

    Bei Computern mit verschlüsselten Laufwerken würde nun hier der entsprechende Wiederher­stellungs­schlüssel stehen.

    Delegierung

    Standardmäßig können nur User der Gruppe Domänen-Admins die BitLocker-Wieder­herstellungs­schlüssel anzeigen. Das reicht nicht aus, wenn zum Beispiel der Helpdesk in der Lage sein soll, auf die Recovery Keys zuzugreifen.

    Um Benutzern diese Berechtigung einzuräumen, erstellt man eine Sicherheitsgruppe im Active Directory (als Name zum Beispiel BitLocker) und fügt ihr die gewünschten User hinzu. Danach führt man den Befehl Objektverwaltung zuweisen aus dem Kontextmenü der Organisations­einheit aus, in der sich die Computer befinden, deren Schlüssel die Gruppe anzeigen soll.

    Den Befehl Objektverwaltung zuweisen aus dem Kontextmenü der OU ausführen.

    Im folgenden Dialog aktiviert man Benutzerdefinierte Aufgaben zum Zuweisen erstellen.

    Auswahl von Benutzerdefinierte Aufgaben zum Zuweisen erstellen

    Nun setzt man die Berechtigung für "msFVE-RecoveryInformation"-Objekte.

    Berechtigung für msFVE-RecoveryInformation-Objekte vergeben

    Erforderlich ist hier Vollzugriff.

    Vollzugriff auf msFVE-RecoveryInformation-Objekte gewähren

    Damit sind die User, welche sich in der Sicherheits­gruppe befinden in der Lage, den Wieder­her­stellungs­schlüssel anzuzeigen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Roland Eich

    Roland Eich ist gelernter Fach­infor­matiker für System­inte­gration und in der IT seit über 14 Jahren zu Hause. Roland deckt auf­grund seiner Erfah­rungen ein breites Spek­trum der Microsoft-Produkt­palette ab.Zudem besitzt er ver­schiedene Zertifi­zierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
    // Kontakt: E-Mail //

    Verwandte Beiträge

    Weitere Links

    8 Kommentare

    Karl Wester-Ebb... (Besucher) sagt:
    4. Dezember 2019 - 11:48

    Hallo Roland,
    die Konfiguration ist so wie du sie dargestellt hast und funktioniert auf einigen Rechnern, einige Rechner (gleiche Windows 10 Version, gleiches Modell) melden jedoch beim Speichern folgendes, und haben Ihren Schlüssel auch nicht automatisch im AD gespeichert:

    Die Gruppenrichtlinie ermöglicht nicht das Speichern von Wiederherstellungsinformationen in Active Directory.

    Der Vorgang wurde nicht ausgeführt.

    Hast du dies schon mal gehabt?

    Danke für deinen Guide. Bitte ggf. noch ergänzen, dass die id in " " gesetzt werden muss. Dein Befehl geht sonst nur in cmd aber nicht in Powershell.

    Th. Gisiger (Besucher) sagt:
    30. März 2021 - 15:34

    Es funktioniert nur wenn die Aktivierung von BitLocker auf dem Gerät als Domänen-Administrator erfolgte.

    Roland (Besucher) sagt:
    6. Dezember 2019 - 6:35

    Hallo Karl,
    vielen Dank für deinen Post.
    Das Problem hatte ich so noch nicht. Geht es auch nicht mit der "Nachregistrierung" in der Kommandozeile wie weiter oben beschrieben? Ist im Eventlog evtl. irgendetwas zu sehen, was darauf hinweist?
    Grüße
    Roland

    Karl Wester-Ebb... (Besucher) sagt:
    8. April 2021 - 19:10

    Die Lösung war eine Änderung der GPO. Bestimmte Einstellungen z.B. erzwingen einer Startup PIN waren wohl nicht vom System erwünscht. Nach der GPO Änderung war alles ok.

    Hasan (Besucher) sagt:
    1. April 2022 - 15:57

    Hallo Karl,
    Ich habe ein Problem hatte auf meinem rechner Windows 11 draufgespielt
    lief auch gut
    hatte den rechner dann am stück drei tage lang an keine problem
    aber als ich dan morgens aufstandt und an meinen rechner ging sah
    ich nur einen blauen bildschirmn mit bitlocjer widerherstelungsschlüssel eingeben
    kannst du mir da weiterhelfen
    mfg

    Karl Wester-Ebb... (Besucher) sagt:
    1. April 2022 - 17:10

    Hallo Hasan, es ist kein Supportforum hier, aber dennoch
    Bei Privater Nutzung von Windows 10 / 11 ist dein Wiederherstellungsschlüssel in deinem Microsoft Account (https://onedrive.live.com/recoverykey) gespeichert.

    Ansonsten in deinem Business Account (https://myworkaccount.microsoft.com/device-list). Dies sind unterschiedliche Seiten.

    Wenn dort nichts steht oder du keinen Microsoft Account verwendest, hast du, ohne Ausdruck des Schlüssels auf Papier ein Problem.

    Bei BIOS / UEFI Firmware Updates ist Bitlocker immer vorher manuell anzuhalten (noch in der Alten Systemsteuerung Bitlocker anhalten - nicht deaktivierem). Erst sehr neue Geräte melden dies deutlich.

    Mike (Besucher) sagt:
    12. Oktober 2022 - 15:31

    Servus Roland,
    ich kann leider den Reiter Bitlocker-Wiederherstellung nicht sehen. Ich habe das Feature für die Bitlocker Verwaltung installiert und bin auch AD-Admin. Hast du eine Ahnung warum das nicht angezeigt wird? ich benutze Server 2016.
    Über cmd mit dem Kommando manage-bde wird der Schlüssel auch erfolgreich in die AD geschrieben.

    Grüße

    Karl Wester-Ebb... (Besucher) sagt:
    12. Oktober 2022 - 16:15

    Bitte nutze mal dsac.exe. Ja das Bitlocker RSAT Tool muss auf dem Host installiert sein, wo auch die AD RSAT Tools installiert und genutzt werden.