BitLocker-Laufwerke automatisch entsperren über Auto-Unlock oder SID-Protector

Wenn ein Rechner neben dem System-Volume über Daten­lauf­werke verfügt, die mit BitLocker ver­schlüsselt sind, dann ist es angenehm, wenn man sie nicht immer sepa­rat ent­sperren muss. Das gilt erst recht für Wechsel­daten­träger. BitLocker bietet mit Auto-Unlock und SID-Protector dafür zwei Ver­fahren.

Gerade bei BitLocker To Go verwendet man in der Regel Passwörter und Wieder­herstellungs­schlüssel als Mechanismen zum Entsperren von Daten­trägern, von Microsoft als Protectors bezeichnet. Standard­mäßig muss man das Kennwort jedes Mal eingeben, sobald man einen verschlüsselten USB-Stick an einen Rechner anschließt.

In einer sicheren Umgebung ist dies meist nicht notwendig, so dass man die Benutzer von dieser lästigen Aufgabe befreien kann. Dies lässt sich durch den Einsatz alternativer Protectors erreichen.

Laufwerk an bestimmten PCs automatisch entsperren

Wenn man möchte, dass ein Datenträger an bestimmten Rechnern ohne Rückfrage entsperrt wird, dann erfüllt das Feature Auto-Unlock diesen Zweck. Es fügt dem Laufwerk einen Protector vom Typ External Key hinzu, der Schlüssel wird dabei in der Registry abgelegt.

Anwender können diese Funktion selbst aktivieren, indem sie der System­steuerung unter System und Sicherheit => BitLocker-Laufwerk­verschlüs­selung die Details des betreffenden Laufwerks öffnen und dort auf Automatische Entsperrung aktivieren klicken. Der Menüeintrag ändert sich dadurch auf Automatische Entsperrung deaktivieren, so dass man das Verhalten von BitLocker durch erneutes Klickes auf den Link wieder zurücksetzen kann.

Alternativ findet sich die Möglichkeit zum Aktivieren der automatischen Entsperrung im Kennwort-Dialog, der sich nach dem Zugriff auf den verschlüsselten Datenträger öffnet. Dort kann man unter Mehr Optionen die zuständige Checkbox anhaken.

Während man diese Einstellung auf der GUI ohne administrative Rechte ändern kann, benötigen die Pendants auf der Kommando­zeile erhöhte Privilegien. Das betrifft sowohl

manage-bde -autounlock -enable <Laufwerksbuchstabe>

als auch das PowerShell-Cmdlet

Enable-BitLockerAutoUnlock -MountPoint <Laufwerksbuchstabe>

(Für die gegenteilige Operation sind manage-bde -autounlock -disable bzw. Disable-BitLockerAutoUnlock zuständig.)

Dieses unterschiedliche Verhalten führt zu Inkonsistenzen. So melden weder

manage-bde -status <Laufwerksbuchstabe>

noch

Get-BitLockerVolume -MountPoint <Laufwerksbuchstabe>

die automatische Entsperrung als aktiv, wenn man sie als Standard­benutzer über die GUI eingeschaltet hat, weil sie ja nur pro Konto gilt.

Als Admin kann man sich die von anderen Benutzern konfigurierte automatische Entsperrung über

manage-bde -protectors -get <Laufwerksbuchstabe> -Type ExternalKey

anzeigen lassen. Bei Get-BitLockerVolume finden sich die entsprechenden Schlüssel in der Eigenschaft KeyProtector.

Die Tools lesen dazu den Eintrag im Hive für Current User unter

HKCU:\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock

aus.

Welcher Schlüssel welchem Benutzer zugeordnet ist, kann man aus dem Ergebnis der Kommandos aber nicht entnehmen. Die Eigenschaft AutoUnlockProtector zeigt nämlich nur für den eigenen Schlüssel den Wert True.

Laufwerk für AD-Benutzer entsperren

Möchte man verschlüsselte Wechsel­datenträger, die häufig an verschiedene PCs angeschlossen werden, für bestimmte Benutzer unabhängig vom jeweiligen Rechner automatisch freischalten, dann erreicht man das über einen Protector vom Typ AdAccountOrGroup.

Auf diese Weise kann man User etwa mit einem personalisierten USB-Stick ausstatten, den nur sie lesen dürfen und den sie nicht extra entsperren müssen, solange sie an der Domäne angemeldet sind.

Auf ihren privaten Geräten können Benutzer solche Datenträger aber nicht entschlüsseln, zumindest solange sie nicht Zugang zu einem anderen Mechanismus wie Passwörter oder Wieder­herstellungs­schlüssel haben.

Um einen solchen Protector hinzuzufügen, benötigt man erhöhte Rechte, so dass in der Regel die IT-Abteilung solche USB-Datenträger bereitstellen wird. Die zuständigen Tools dafür sind wieder manage-bde oder PowerShell:

manage-bde -protectors -add <Laufwerksbuchstabe> -sid DOMAIN\user

Das BitLocker-Modul von PowerShell sieht dafür folgendes Cmdlet vor:

Add-BitLockerKeyProtector -MountPoint <Laufwerksbuchstabe> `
-ADAccountOrGroup "DOMAIN\user" -ADAccountOrGroupProtector

Wenn man PowerShell zum Aktivieren von BitLocker einsetzt, dann kann man bereits Enable-BitLocker die beiden Parameter ADAccountOrGroup und ADAccount­OrGroupProtector mitgeben.

Wie man aus deren Namen erkennt, akzeptiert der Aufruf nicht nur einzelne AD-Accounts, sondern auch Benutzer­gruppen. Theoretisch könnte man damit Medien mit DOMAIN\Domänen-Benutzer so präparieren, dass alle Anwender im Unternehmen damit arbeiten können, aber die Daten für alle unzugänglich bleiben, sobald sie nicht an der Domäne angemeldet sind.

Wenn man wissen möchte, ob ein solcher Protector für einen Datenträger konfiguriert wurde, dann findet man das so heraus:

Get-BitLockerVolume <Laufwerksbuchstabe> | select -ExpandProperty KeyProtector |
where KeyProtectorType -eq AdAccountOrGroup

Alternativ zeigt auch

manage-bde -protectors -get <Laufwerksbuchstabe> -Type Identity

diese unter der Bezeichnung Schlüssel­schutz­vorrichtungen an.

Entfernen kann man sie mit Hilfe von Remove-BitLockerKeyProtector.

Fazit

Microsoft bietet mit Auto-Unlock und SID-Protector zwei Komfort­funktionen für BitLocker, die Benutzern in sicheren Umgebungen das laufende Eingeben von Passwörtern ersparen. Erstere entsperrt ver­schlüsselte Datenträger für den aktuellen User auf einem bestimmten Rechner, Zweitere für ausgewählte Benutzer oder Gruppen auf allen PCs, solange sie an der Domäne angemeldet sind.

Diese Features sorgen nicht nur für ein besseres Benutzer­erlebnis beim Entsperren von Laufwerken, sondern eröffnen der IT-Abteilung auch die Möglichkeit, geschützte Datenträger im Unternehmen ein­zusetzen, ohne dass die Anwender überhaupt mit BitLocker in Berührung kommen.

Leider lässt die Umsetzung dieser Funktionen einige Wünsche offen. So gibt es bei Auto-Unlock Inkonsistenzen zwischen den CLI-Tools und der GUI-Option in der Systemsteuerung. Hinzu kommt, dass sich beide nicht über Gruppen­richtlinien verwalten lassen, sondern dass Admins für ein zentrales Management auf PowerShell oder manage-bde.exe angewiesen sind.