Tags: Bitlocker, Verschlüsselung, Authentifizierung
Wenn ein Rechner neben dem System-Volume über Datenlaufwerke verfügt, die mit BitLocker verschlüsselt sind, dann ist es angenehm, wenn man sie nicht immer separat entsperren muss. Das gilt erst recht für Wechseldatenträger. BitLocker bietet mit Auto-Unlock und SID-Protector dafür zwei Verfahren.
Gerade bei BitLocker To Go verwendet man in der Regel Passwörter und Wiederherstellungsschlüssel als Mechanismen zum Entsperren von Datenträgern, von Microsoft als Protectors bezeichnet. Standardmäßig muss man das Kennwort jedes Mal eingeben, sobald man einen verschlüsselten USB-Stick an einen Rechner anschließt.
In einer sicheren Umgebung ist dies meist nicht notwendig, so dass man die Benutzer von dieser lästigen Aufgabe befreien kann. Dies lässt sich durch den Einsatz alternativer Protectors erreichen.
Laufwerk an bestimmten PCs automatisch entsperren
Wenn man möchte, dass ein Datenträger an bestimmten Rechnern ohne Rückfrage entsperrt wird, dann erfüllt das Feature Auto-Unlock diesen Zweck. Es fügt dem Laufwerk einen Protector vom Typ External Key hinzu, der Schlüssel wird dabei in der Registry abgelegt.
Anwender können diese Funktion selbst aktivieren, indem sie der Systemsteuerung unter System und Sicherheit => BitLocker-Laufwerkverschlüsselung die Details des betreffenden Laufwerks öffnen und dort auf Automatische Entsperrung aktivieren klicken. Der Menüeintrag ändert sich dadurch auf Automatische Entsperrung deaktivieren, so dass man das Verhalten von BitLocker durch erneutes Klickes auf den Link wieder zurücksetzen kann.
Alternativ findet sich die Möglichkeit zum Aktivieren der automatischen Entsperrung im Kennwort-Dialog, der sich nach dem Zugriff auf den verschlüsselten Datenträger öffnet. Dort kann man unter Mehr Optionen die zuständige Checkbox anhaken.
Während man diese Einstellung auf der GUI ohne administrative Rechte ändern kann, benötigen die Pendants auf der Kommandozeile erhöhte Privilegien. Das betrifft sowohl
manage-bde -autounlock -enable <Laufwerksbuchstabe>
als auch das PowerShell-Cmdlet
Enable-BitLockerAutoUnlock -MountPoint <Laufwerksbuchstabe>
(Für die gegenteilige Operation sind manage-bde -autounlock -disable bzw. Disable-BitLockerAutoUnlock zuständig.)
Dieses unterschiedliche Verhalten führt zu Inkonsistenzen. So melden weder
manage-bde -status <Laufwerksbuchstabe>
noch
Get-BitLockerVolume -MountPoint <Laufwerksbuchstabe>
die automatische Entsperrung als aktiv, wenn man sie als Standardbenutzer über die GUI eingeschaltet hat, weil sie ja nur pro Konto gilt.
Als Admin kann man sich die von anderen Benutzern konfigurierte automatische Entsperrung über
manage-bde -protectors -get <Laufwerksbuchstabe> -Type ExternalKey
anzeigen lassen. Bei Get-BitLockerVolume finden sich die entsprechenden Schlüssel in der Eigenschaft KeyProtector.
Die Tools lesen dazu den Eintrag im Hive für Current User unter
HKCU:\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock
aus.
Welcher Schlüssel welchem Benutzer zugeordnet ist, kann man aus dem Ergebnis der Kommandos aber nicht entnehmen. Die Eigenschaft AutoUnlockProtector zeigt nämlich nur für den eigenen Schlüssel den Wert True.
Laufwerk für AD-Benutzer entsperren
Möchte man verschlüsselte Wechseldatenträger, die häufig an verschiedene PCs angeschlossen werden, für bestimmte Benutzer unabhängig vom jeweiligen Rechner automatisch freischalten, dann erreicht man das über einen Protector vom Typ AdAccountOrGroup.
Auf diese Weise kann man User etwa mit einem personalisierten USB-Stick ausstatten, den nur sie lesen dürfen und den sie nicht extra entsperren müssen, solange sie an der Domäne angemeldet sind.
Auf ihren privaten Geräten können Benutzer solche Datenträger aber nicht entschlüsseln, zumindest solange sie nicht Zugang zu einem anderen Mechanismus wie Passwörter oder Wiederherstellungsschlüssel haben.
Um einen solchen Protector hinzuzufügen, benötigt man erhöhte Rechte, so dass in der Regel die IT-Abteilung solche USB-Datenträger bereitstellen wird. Die zuständigen Tools dafür sind wieder manage-bde oder PowerShell:
manage-bde -protectors -add <Laufwerksbuchstabe> -sid DOMAIN\user
Das BitLocker-Modul von PowerShell sieht dafür folgendes Cmdlet vor:
Add-BitLockerKeyProtector -MountPoint <Laufwerksbuchstabe> `
-ADAccountOrGroup "DOMAIN\user" -ADAccountOrGroupProtector
Wenn man PowerShell zum Aktivieren von BitLocker einsetzt, dann kann man bereits Enable-BitLocker die beiden Parameter ADAccountOrGroup und ADAccountOrGroupProtector mitgeben.
Wie man aus deren Namen erkennt, akzeptiert der Aufruf nicht nur einzelne AD-Accounts, sondern auch Benutzergruppen. Theoretisch könnte man damit Medien mit DOMAIN\Domänen-Benutzer so präparieren, dass alle Anwender im Unternehmen damit arbeiten können, aber die Daten für alle unzugänglich bleiben, sobald sie nicht an der Domäne angemeldet sind.
Wenn man wissen möchte, ob ein solcher Protector für einen Datenträger konfiguriert wurde, dann findet man das so heraus:
Get-BitLockerVolume <Laufwerksbuchstabe> | select -ExpandProperty KeyProtector |
where KeyProtectorType -eq AdAccountOrGroup
Alternativ zeigt auch
manage-bde -protectors -get <Laufwerksbuchstabe> -Type Identity
diese unter der Bezeichnung Schlüsselschutzvorrichtungen an.
Entfernen kann man sie mit Hilfe von Remove-BitLockerKeyProtector.
Fazit
Microsoft bietet mit Auto-Unlock und SID-Protector zwei Komfortfunktionen für BitLocker, die Benutzern in sicheren Umgebungen das laufende Eingeben von Passwörtern ersparen. Erstere entsperrt verschlüsselte Datenträger für den aktuellen User auf einem bestimmten Rechner, Zweitere für ausgewählte Benutzer oder Gruppen auf allen PCs, solange sie an der Domäne angemeldet sind.
Diese Features sorgen nicht nur für ein besseres Benutzererlebnis beim Entsperren von Laufwerken, sondern eröffnen der IT-Abteilung auch die Möglichkeit, geschützte Datenträger im Unternehmen einzusetzen, ohne dass die Anwender überhaupt mit BitLocker in Berührung kommen.
Leider lässt die Umsetzung dieser Funktionen einige Wünsche offen. So gibt es bei Auto-Unlock Inkonsistenzen zwischen den CLI-Tools und der GUI-Option in der Systemsteuerung. Hinzu kommt, dass sich beide nicht über Gruppenrichtlinien verwalten lassen, sondern dass Admins für ein zentrales Management auf PowerShell oder manage-bde.exe angewiesen sind.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- BitLocker Network Unlock: PCs mit verschlüsselten Laufwerken remote verwalten
- Domain Controller mit LDAP Channel Binding und LDAP Signing absichern
- PowerShell SecretManagement: Passwörter in KeePass oder SecretStore verwalten
- Netlogon: Domänen-Controller verweigern Verbindung zu unsicheren Geräten
- Zertifikat für BitLocker Recovery Agent ausstellen
1 Kommentar
Hi, ich habe eine eine interne Daten-Festplatte G: mit BitLocker erfolgreich verschlüsselt aber kann die Automatische Entsperrung nicht aktivieren.
In der GUI erhalte ich die Meldung "Das Laufwerk des Betriebsystems wird nicht durch BitLocker-Laufwerksverschlüsselung geschützt." Was sicherlich richtig ist weil C: nicht verschlüsselt ist.
CMD sagt zusätzlich "Ein Fehler ist aufgetreten (Code 0x80310020)" ...
Heißt das damit automatisch Entsprerrt werden kann muss C: selber verschlüsselt sein?
Vielen Dank.