Tags: Bitlocker, Active Directory
Das Verschlüsseln von Laufwerken mit BitLocker ist auf Windows-Notebooks ein unabdingbarer Schutz gegen den Diebstahl und Missbrauch von Daten. Wenn sich User damit jedoch aussperren, dann hilft nur noch der Recovery Key. Diesen können Admins im Active Directory speichern und bei Bedarf von dort auslesen.
Für Unternehmen macht es Sinn, BitLocker zentral über Gruppenrichtlinien zu konfigurieren. Ebenso empfiehlt es sich, die Wiederherstellungsschlüssel an einem zentralen Ort zu speichern, wo sie vor dem unbefugten Zugriff geschützt sind. Microsoft sieht dafür unter anderem das Active Directory vor. Die Verwaltung des Schlüssels ist somit ohne Tools von Drittherstellern möglich.
Gruppenrichtlinien konfigurieren
Im ersten Schritt erstellt man ein GPO für jene OUs oder Domänen, für deren Computerobjekte der Recovery Key im Active Directory gespeichert werden soll.
Die Einstellungen für BitLocker finden sich unter Computerkonfiguration => Administrative Vorlagen => Windows Komponenten => BitLocker-Laufwerksverschlüsselung.
Hier gibt es den Eintrag BitLocker-Wiederherstellungsinformationen im Active Directory Domaindiensten speichern. Dieser greift nur für Rechner unter Vista und Server 2008, so dass er für die meisten Umgebungen irrelevant sein wird.
Neuere Betriebssysteme erlauben eine granulare Konfiguration abhängig von den Laufwerkstypen. BitLocker unterscheidet dabei zwischen Betriebssystem- und Festplattenlaufwerken sowie Wechseldatenträgern.
Für jeden Typ findet sich im GPO-Editor ein eigener Ordner mit den dazugehörigen Einstellungen. Eine davon heißt: Festlegen, wie BitLocker geschützte <Laufwerkstyp> wiederhergestellt werden können.
Speicheroption für jeden Laufwerkstyp
Möchte man den Recovery Key für Betriebssystemlaufwerke im Active Directory speichern, dann aktiviert man diese Einstellung im betreffenden Ordner. Dort stellt man sicher, dass die Checkbox BitLocker-Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS speichern angehakt ist.
Darüber hinaus kann man hier konfigurieren, welche Daten im AD abgelegt werden. Zur Auswahl stehen Wiederherstellungskennwort und Schlüsselpaket sichern sowie Nur Wiederherstellungskennwörter sichern. Das Schlüsselpaket dient dem Wiederherstellen von Daten auf einem physikalisch beschädigten Laufwerk.
Zusätzlich ist es sinnvoll, die Option BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS gespeichert wurden zu aktivieren. Das gewährleistet, dass BitLocker wartet, bis etwa mobile Anwender wieder mit dem AD verbunden sind, bevor es die Daten chiffriert.
Schlüssel nachträglich manuell sichern
Sind Laufwerke bereits verschlüsselt, bevor man diese Gruppenrichtlinie aktiviert, dann greift diese nicht mehr und man muss den Key manuell in das Active Directory übertragen. Zuständig dafür ist das Kommandozeilen-Tool manage-bde.exe. Damit ermittelt man zuerst mit
manage-bde -protectors -get c:
die ID des numerischen Passworts für das Laufwerk c: und übergibt diese in einem zweiten Aufruf an
manage-bde -protectors -adbackup c: -id "{ID-des-numerischen-Passworts}"
Wiederherstellungsschlüssel im Active Directory auslesen
Um den Wiederherstellungsschlüssel auslesen zu können, ist es notwendig, zwei Features auf dem Rechner zu installieren, auf dem die Administratoren später diese Aufgabe erledigen möchten. Es handelt sich dabei um BitLocker Wiederherstellungskennwort - Viewer und Tools zur BitLocker-Laufwerksverschlüsselung.
Dies lässt sich auf einem Server über den Assistenten zum Hinzufügen von Rollen und Features im Server Manager erledigen, auf einer Workstation ist dieses Bestandteil der RSAT.
Danach sollte in Active Directory-Benutzer und -Computer beim Öffnen eines Computer-Objektes ein neuer Reiter mit der Beschriftung BitLocker-Wiederherstellung zu sehen sein.
Bei Computern mit verschlüsselten Laufwerken würde nun hier der entsprechende Wiederherstellungsschlüssel stehen.
Delegierung
Standardmäßig können nur User der Gruppe Domänen-Admins die BitLocker-Wiederherstellungsschlüssel anzeigen. Das reicht nicht aus, wenn zum Beispiel der Helpdesk in der Lage sein soll, auf die Recovery Keys zuzugreifen.
Um Benutzern diese Berechtigung einzuräumen, erstellt man eine Sicherheitsgruppe im Active Directory (als Name zum Beispiel BitLocker) und fügt ihr die gewünschten User hinzu. Danach führt man den Befehl Objektverwaltung zuweisen aus dem Kontextmenü der Organisationseinheit aus, in der sich die Computer befinden, deren Schlüssel die Gruppe anzeigen soll.
Im folgenden Dialog aktiviert man Benutzerdefinierte Aufgaben zum Zuweisen erstellen.
Nun setzt man die Berechtigung für "msFVE-RecoveryInformation"-Objekte.
Erforderlich ist hier Vollzugriff.
Damit sind die User, welche sich in der Sicherheitsgruppe befinden in der Lage, den Wiederherstellungsschlüssel anzuzeigen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Roland Eich ist gelernter Fachinformatiker für Systemintegration und in der IT seit über 14 Jahren zu Hause. Roland deckt aufgrund seiner Erfahrungen ein breites Spektrum der Microsoft-Produktpalette ab.Zudem besitzt er verschiedene Zertifizierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
// Kontakt: E-Mail //
Verwandte Beiträge
- Neue Policy für Authentifizierung ohne Passwort und erweiterte Web-Anmeldung für Windows 11
- Schwache, kompromittierte und mehrfach genutzte Kennwörter finden mit Enzoic for Active Directory Lite
- Active Directory in Windows Server 2025: Neue Funktionsebene, leistungsfähigere Datenbank, Security-Verbesserungen
- Zugriff auf Domain Controller über lokale Richtlinien absichern
- BitLocker aktivieren mit manage-bde, PowerShell oder WMI
Weitere Links
8 Kommentare
Hallo Roland,
die Konfiguration ist so wie du sie dargestellt hast und funktioniert auf einigen Rechnern, einige Rechner (gleiche Windows 10 Version, gleiches Modell) melden jedoch beim Speichern folgendes, und haben Ihren Schlüssel auch nicht automatisch im AD gespeichert:
Die Gruppenrichtlinie ermöglicht nicht das Speichern von Wiederherstellungsinformationen in Active Directory.
Der Vorgang wurde nicht ausgeführt.
Hast du dies schon mal gehabt?
Danke für deinen Guide. Bitte ggf. noch ergänzen, dass die id in " " gesetzt werden muss. Dein Befehl geht sonst nur in cmd aber nicht in Powershell.
Es funktioniert nur wenn die Aktivierung von BitLocker auf dem Gerät als Domänen-Administrator erfolgte.
Hallo Karl,
vielen Dank für deinen Post.
Das Problem hatte ich so noch nicht. Geht es auch nicht mit der "Nachregistrierung" in der Kommandozeile wie weiter oben beschrieben? Ist im Eventlog evtl. irgendetwas zu sehen, was darauf hinweist?
Grüße
Roland
Die Lösung war eine Änderung der GPO. Bestimmte Einstellungen z.B. erzwingen einer Startup PIN waren wohl nicht vom System erwünscht. Nach der GPO Änderung war alles ok.
Hallo Karl,
Ich habe ein Problem hatte auf meinem rechner Windows 11 draufgespielt
lief auch gut
hatte den rechner dann am stück drei tage lang an keine problem
aber als ich dan morgens aufstandt und an meinen rechner ging sah
ich nur einen blauen bildschirmn mit bitlocjer widerherstelungsschlüssel eingeben
kannst du mir da weiterhelfen
mfg
Hallo Hasan, es ist kein Supportforum hier, aber dennoch
Bei Privater Nutzung von Windows 10 / 11 ist dein Wiederherstellungsschlüssel in deinem Microsoft Account (https://onedrive.live.com/recoverykey) gespeichert.
Ansonsten in deinem Business Account (https://myworkaccount.microsoft.com/device-list). Dies sind unterschiedliche Seiten.
Wenn dort nichts steht oder du keinen Microsoft Account verwendest, hast du, ohne Ausdruck des Schlüssels auf Papier ein Problem.
Bei BIOS / UEFI Firmware Updates ist Bitlocker immer vorher manuell anzuhalten (noch in der Alten Systemsteuerung Bitlocker anhalten - nicht deaktivierem). Erst sehr neue Geräte melden dies deutlich.
Servus Roland,
ich kann leider den Reiter Bitlocker-Wiederherstellung nicht sehen. Ich habe das Feature für die Bitlocker Verwaltung installiert und bin auch AD-Admin. Hast du eine Ahnung warum das nicht angezeigt wird? ich benutze Server 2016.
Über cmd mit dem Kommando manage-bde wird der Schlüssel auch erfolgreich in die AD geschrieben.
Grüße
Bitte nutze mal dsac.exe. Ja das Bitlocker RSAT Tool muss auf dem Host installiert sein, wo auch die AD RSAT Tools installiert und genutzt werden.