BitLocker-Laufwerke entsperren mit einem Recovery Agent

    , 12.02.2021
    Tags: , ,

    BitLocker Recovery AgentWenn Benutzer auf ver­schlüsselte Lauf­werke nicht mehr zugreifen können, etwa weil sie das Pass­wort ver­gessen haben, dann muss man den betref­fenden Daten­träger über andere Mecha­nismen ent­sperren. Dazu zählen Wieder­herstel­lungs­agenten, die das Lauf­werk mittels Zerti­fikat frei­schalten können.

    BitLocker bietet eine Reihe von Möglichkeiten, um ein Volume zu entsperren, darunter TPM plus PIN, Passwörter, SIDs von Konten im Active Directory oder Wieder­herstellungs­schlüssel. Eine weitere Option sind Recovery Agents, die mit Hilfe eines Zertifikats einen BitLocker-Datenträger freischalten können.

    Recovery Agents für Datenlaufwerke

    Für welche Variante man sich entscheidet, hängt zum einen von den Anforderungen der eigenen Umgebung, aber auch von der Art des Datenträgers ab.

    So eignen sich Wieder­herstel­lungs­agenten nur für Daten-, aber nicht für Systemlaufwerke. Letztere lassen sich auf diesem Weg nur entsperren, wenn man den Rechner nicht von ihnen bootet und sie wie ein Datenlaufwerk anspricht.

    In Firmen­netzwerken wird man Recovery Agents wahrscheinlich als Alternative zum Speichern von Wieder­herstellungs­schlüsseln im Active Directory erwägen. Dabei wird nämlich für jeden Datenträger, auf dem BitLocker aktiviert ist, ein eigener Key im AD hinterlegt. In Umgebungen mit sehr vielen Rechnern kann dies zu einem erheblichen Datenvolumen für die AD-Replikation führen.

    Das Zertifikat für Wieder­herstellungs­agenten muss hingegen im lokalen Store jedes Rechners gespeichert werden, auf dem ein Laufwerk entsperrt werden soll. Daher eignet sich diese Technik etwa sehr gut, wenn der Helpdesk verschlüsselte USB-Sticks von Mitarbeitern entgegen­nimmt, wenn diese keinen Zugriff mehr auf ihre Daten mehr haben.

    Zertifikat für Wiederherstellungsagenten

    Um einen Recovery Agent einzurichten, benötigt man ein eigens dafür ausgestelltes Zertifikat. Zu diesem Zweck muss man in einer Windows-CA eine angepasste Vorlage erstellen (siehe dazu: Zertifikat für BitLocker Recovery Agent ausstellen).

    Nachdem man das Zertifikat mit und ohne privaten Schlüssel exportiert hat, kann man sich an die Konfi­guration der Gruppen­richtlinien machen. Das GPO verknüpft man mit den OUs, in denen sich die Rechner befinden, auf deren Datenträger der Zertifikat-basierte Protector geschrieben werden soll.

    Gruppenrichtlinie für Public Key

    Für die erste Einstellung wechselt man nach Computer­konfiguration => Richtlinien => Windows-Einstellungen => Sicherheits­einstellungen => Richtlinien für öffentliche Schlüssel. Aus dem Kontextmenü von BitLocker-Laufwerks­verschlüsselung führt man den Befehl Datenwieder­herstellungs-Agents hinzufügen aus.

    Public Key für einen Wiederherstellungsagenten im GPO-Editor hinzufügen

    Er startet einen Wizard, dessen Willkommen-Bildschirm man überspringt. Im anschließenden Dialog liest man das Zertifikat ein, entweder aus dem Active Directory (Schaltfläche Verzeichnis) oder aus der exportierten .cer-Datei. Entscheidet man sich für die zweite Variante, dann wird der Wert für Benutzer auf USER_UNKNOWN gesetzt.

    Public Key aus dem exportierten Zertifikat oder dem AD einlesen

    Im nächsten Dialog schließt man den Vorgang durch Bestätigung der eingegebenen Daten ab. Es ist natürlich möglich, den Vorgang beliebig zu wiederholen und so mehrere Agents einzurichten.

    Einstellungen für BitLocker

    Im nächsten Schritt öffnet man den Zweig unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => BitLocker-Laufwerks­verschlüsselung.

    Hier aktiviert man die Einstellung Eindeutige IDs für Ihre Organisation angeben und hinterlegt eine entsprechende Kennung. Dabei darf es sich um einen beliebigen Wert mit bis zu 260 Zeichen handeln, wobei zwischen Groß- und Kleinschreibung unterschieden wird.

    Die Nutzung von Recovery Agents setzt voraus, dass man die Datenträger mit der Organisations-ID markiert.

    Schließlich wechselt man von hier in den Ordner für den Laufwerkstyp, den man mit einem Agent entsperren möchte, in unserem Beispiel nach Wechsel­datenträger. Dort aktiviert man die Einstellung Festlegen, wie BitLocker-geschützte Wechseldatenträger wieder­hergestellt werden können. Zusätzlich hakt man die Option Dateiwieder­herstellungs-Agenten zulassen an.

    Wiederherstellung von BitLocker-Laufwerken durch Agents zulassen

    Wie man hier sieht, kann man parallel zu den Recovery Agents auch Wieder­herstellungs­schlüssel im Active Directory ablegen. Beide Entsperr­techniken lassen sich also auch nebeneinander nutzen.

    Protector auf Laufwerken anzeigen

    Nach der Anwendung des GPO auf die gewünschten Rechner erhalten alle USB-Laufwerke beim Einschalten von BitLocker den Zertifikat-basierten Protector für den Agent. Dies kann man durch folgenden Befehl verifizieren:

    manage-bde -protectors -get <Laufwerksbuchstabe>:

    Datenträger entsperren

    Damit ein Recovery Agent einen Datenträger entsperren kann, muss sein Zertifikat inklusive Private Key im lokalen Store installiert sein. Dies ist automatisch der Fall, wenn er es von diesem PC aus angefordert hat.

    Andernfalls muss er es aus der .pfx importieren. In certmgr.msc gibt es den Befehl dafür im Kontext­menü von Eigene Zertifikate unter Alle Aufgaben.

    Der Recovery Agent kann ein Laufwerk erst entsperren, nachdem man das Zertifikat (etwa mit certmgr.msc) in den lokalen Store importiert hat.

    Anschließend entnimmt man dem obigen Aufruf von manage-bde den Thumbrint des Zertifikats und übergibt ihm diesen Befehl:

    manage-bde -unlock <Laufwerksbuchstabe>: -cert -ct <Thumbprint>

    Wenn das zugehörige Zertifikat auf diesem PC vorhanden ist, sollte das Laufwerk jetzt entsperrt sein.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Ähnliche Beiträge

    Weitere Links

    Keine Kommentare