Teil 20d: BitLocker Network Unlock konfigurieren

Für BitLocker Network Unlock sind folgende Komponenten notwendig:

  • Windows Server 2012 oder Windows Server 2012 R2 (Teil 1, Teil 7)
  • Windows 8 x64 oder Windows 8.1 x64 (Teil 14ff)
  • UEFI Firmware 2.3.1 mit DHCP-Treiber im native Mode*
  • Einen Server mit Windows Deployment Services (Teil 13)
  • BitLocker Network Unlock Feature auf einem Server installiert (in diesem Teil weiter unten)
  • Einen DHCP Server, der nicht am WDS installiert ist (Teil 4)
  • Public Key Infrastructure (Teil 6ff)
  • Network Unlock Gruppenrichtlinie (in diesem Teil weiter unten; Teil 6h, Teil 20)

* UEFI Firmware 2.3.1 mit DHCP-Treiber: Es ist mir nicht gelungen, die Firmware-Version meines HP EliteBook 840 G1 (CLIENT004) festzustellen. Allerdings benötigt SecureBoot mindestens UEFI 2.3.1. Weil im BIOS Einstellungen zu SecureBoot vorhanden sind, nehme ich an, dass die Version passt. So habe ich mein HP EliteBook 840 G1 konfiguriert:

  1. Notebook starten > ESC drücken
  2. Mit F10 das BIOS Setup starten
  3. Erweitert > Bootoptionen
  4. Schnell-Boot deaktiviert (erlaubt nur PXE und den Start von der internen Festplatte)
  5. Natives UEFI (ohne CSM) aktiviert
  6. SecureBoot aktiviert
  7. Einstellungen mit F10 übernehmen

BitLocker Network Unlock konfigurieren – Schritte:

  • Die Zertifikatsvorlage für BitLocker Network Unlock konfigurieren
  • Das Feature BitLocker Network Unlock installieren
  • Zertifikat anfordern und exportieren
  • Zertifikat mit Private Key (.pfx) am WDS-Server importieren
  • Gruppenrichtlinien für Network Unlock konfigurieren
  • BitLocker Network Unlock mit CLIENT004 testen
  • Windows Deployment Services Debug-Log aktivieren

Die Zertifikatsvorlage für BitLocker Network Unlock konfigurieren

  1. Als Administrator an SERVER01 anmelden
  2. Server Manager > Local Server > Tools > Certification Authority
  3. Haimann Root CA erweitern
  4. Certificate Templates rechts anklicken und im Kontextmenü Manage anklicken
    NETWORK_UNLOCK-008
  5. Im Detailbereich die Zertifikatsvorlage User rechts anklicken und im Kontextmenü Duplicate Template anklicken
    NETWORK_UNLOCK-009 Weiterlesen

Teil 20b: Mit dem BitLocker-DRA ein Volume entschlüsseln

In Teil 6h habe ich einen Datenwiederherstellungs-Agenten für BitLocker konfiguriert. Dabei handelt es sich um ein Zertifikat, welches mittels Gruppenrichtlinien zu den Schlüsselschutzvorrichtungen von BitLocker hinzugefügt wird. Dieses Zertifikat habe ich mit Passwort als .pfx-Datei exportiert und auf CD in zweifacher Ausführung in den Safe gelegt. Mit diesem Zertifikat kann jedes im Unternehmen mit BitLocker verschlüsselte Volume entsperrt werden, sollte also nicht in falsche Hände geraten. Damit die Verwendung des BitLocker-DRA funktioniert, muss die Gruppenrichtlinieneinstellung Provide the unique identifiers for your organization konfiguriert sein (Teil 6h und Teil 20).

Mit dem BitLocker-DRA ein Volume entschlüsseln – Schritte:

  • Entschlüsselung eines Volumes mit Hilfe des  Datenwiederherstellungs-Agenten für BitLocker

Entschlüsselung eines Volumes mit Hilfe des  Datenwiederherstellungs-Agenten für BitLocker

  1. Festplatte aus Client003 aus- und in einen USB-Wechselrahmen einbauen
  2. Als Administrator an SERVER02 anmelden
  3. USB-Festplatte anschließen
    BITLOCKER_RECOVERY-007
  4. Zertifikat Haimann_BitLocker_DRA.pfx nach D:\Sourcen kopieren
  5. MMC als Administrator starten Weiterlesen

Teil 20a: BitLocker-Wiederherstellung durch den Administrator

BitLocker-Wiederherstellung durch den Administrator – Schritte:

  • Die häufigsten Ursachen für die Wiederherstellung
  • Wiederherstellungsschlüssel-ID auf Client003 ermitteln
  • Wiederherstellungspasswort ermitteln
  • Das erneute starten der BitLocker-Wiederherstellung beim Booten verhindern

Die häufigsten Ursachen für die Wiederherstellung

Quelle: http://technet.microsoft.com/de-de/library/cc771778(v=ws.10).aspx

  • Ein Angreifer hat den Computer geändert. Dies gilt für Computer mit TPM (Trusted Platform Module), da die Integrität der Startkomponenten während des Starts von TPM überprüft wird.
  • Verschieben des mit BitLocker geschützten Laufwerks auf einen neuen Computer
  • Aktualisieren auf ein neues Motherboard mit einem neuen TPM
  • Ausschalten, Deaktivieren oder Löschen des TPM
  • Aktualisieren wichtiger Komponenten für den frühen Start, die Fehler bei der TPM-Überprüfung verursachen
  • Vergessen der PIN, wenn die PIN-Authentifizierung aktiviert ist
  • Verlieren des austauschbaren USB-Flashlaufwerks mit dem Systemstartschlüssel, wenn die Authentifizierung mit einem Systemstartschlüssel aktiviert ist

Wiederherstellungsschlüssel-ID auf Client003 ermitteln

Die ist jene ID, die der Benutzer dem Helpdesk bekannt geben muss, wenn die BitLocker-Wiederherstellung beim Bootvorgang gestartet wird. Es muss nicht die gesammte ID bekannt gegeben werden, es reichen die ersten 8 Zeichen davon. Im ersten Schritt ermittle ich auf Client003 in Windows die Wiederherstellungs-ID, damit ich das Wiederherstellungs-Szenario durchspielen kann.

  1. Als Markus an Client003 anmelden
  2. Eingabeaufforderung (Administrator) starten
  3. Mit folgendem Befehl den Status der Verschlüsselung ermitteln
    manage-bde -status c:
  4. Der Status wurde ermittelt
    BITLOCKER_RECOVERY-001 Weiterlesen