Archiv der Kategorie: Ein einfaches Netzwerk

Ein einfaches Netzwerk, Schritt für Schritt-Anleitungen mit vielen Screenshots von Dietmar Haimann

Teil 20c: TPM-Sperre mittels Besitzerkennwortdatei zurücksetzen

Veröffentlicht am von
Antworten

TPM-Sperre mittels Besitzerkennwortdatei zurücksetzen – Schritte:

  • Windows 7-Task Sequence für BitLocker konfigurieren und Client003 aufsetzen
  • TPM-OwnerInformation in Active Directory für Windows 8 finden
  • TPM-OwnerInformation in Active Directory für Windows 7 finden
  • tpm_owner.tpm-Datei erstellen
  • TPM-Sperre zurücksetzen

Mit Windows Server 2012 und Windows 8 hat Microsoft das TPM-Management ins Active Directory-Schema integiert. Die TPM-OwnerInformation steht nicht mehr als Attribut direkt beim Computer-Objekt (msTPM-OwnerInformation), sondern ist mit einem eigenen TPM-InformationObject (ms-TPM-InformationObject) verlinkt. Vorsicht beim Löschen von Computer-Objekten in Active Directory: Um Leichen zu vermeiden, zuerst das TPM-InformationObject löschen, dann erst das Computer-Objekt.

In den Gruppenrichtlinien können viele Einstellungen für das TPM konfiguriert werden. Bisher sind wir mit den Standard-Einstellungen ganz gut zurecht gekommen.

Mehr Information dazu unter Trusted Platform Module Technology Overview.

Windows 7-Task Sequence für BitLocker konfigurieren und Client003 aufsetzen

  1. Als Administrator an SERVER02 anmelden
  2. Deployment Workbench starten
  3. OSD Prod Share erweitern
  4. Task Sequences anklicken
  5. Windows 7-Task Sequence rechts anklicken und im Kontextmenü Properties anklicken
  6. Auf den Reiter Task Sequence wechseln
  7. Windows 8-Task Sequence rechts anklicken und im Kontextmenü Properties anklicken
  8. Auf den Reiter Task Sequence wechseln
  9. Den Ordner Enable TPM in BIOS rechts anklicken und im Kontextmenü Copy anklicken
    TPM-001
  10. Zur Windows 7-Task Sequence wechseln
  11. Den Ornder Custom Tasks rechts anklicken und im Kontextmenü Paste anklicken
    TPM-002
  12. Mit Down den Ordner Enable TPM in BIOS aus dem Ordner Custom Tasks verschieben
    TPM-003
  13. Alle Fenster mit OK schließen
  14. Client003 mit Windows 7 und der BitLocker-PIN 1122334 aufsetzen
  15. Als Administrator an Client003 anmelden
    TPM-004
  16. Die Verschlüsselung funktioniert auch unter Windows 7 🙂
  17. Client003 herunterfahren Weiterlesen

Teil 20b: Mit dem BitLocker-DRA ein Volume entschlüsseln

Veröffentlicht am von
Antworten

In Teil 6h habe ich einen Datenwiederherstellungs-Agenten für BitLocker konfiguriert. Dabei handelt es sich um ein Zertifikat, welches mittels Gruppenrichtlinien zu den Schlüsselschutzvorrichtungen von BitLocker hinzugefügt wird. Dieses Zertifikat habe ich mit Passwort als .pfx-Datei exportiert und auf CD in zweifacher Ausführung in den Safe gelegt. Mit diesem Zertifikat kann jedes im Unternehmen mit BitLocker verschlüsselte Volume entsperrt werden, sollte also nicht in falsche Hände geraten. Damit die Verwendung des BitLocker-DRA funktioniert, muss die Gruppenrichtlinieneinstellung Provide the unique identifiers for your organization konfiguriert sein (Teil 6h und Teil 20).

Mit dem BitLocker-DRA ein Volume entschlüsseln – Schritte:

  • Entschlüsselung eines Volumes mit Hilfe des  Datenwiederherstellungs-Agenten für BitLocker

Entschlüsselung eines Volumes mit Hilfe des  Datenwiederherstellungs-Agenten für BitLocker

  1. Festplatte aus Client003 aus- und in einen USB-Wechselrahmen einbauen
  2. Als Administrator an SERVER02 anmelden
  3. USB-Festplatte anschließen
    BITLOCKER_RECOVERY-007
  4. Zertifikat Haimann_BitLocker_DRA.pfx nach D:\Sourcen kopieren
  5. MMC als Administrator starten Weiterlesen

Teil 20a: BitLocker-Wiederherstellung durch den Administrator

Veröffentlicht am von
Antworten

BitLocker-Wiederherstellung durch den Administrator – Schritte:

  • Die häufigsten Ursachen für die Wiederherstellung
  • Wiederherstellungsschlüssel-ID auf Client003 ermitteln
  • Wiederherstellungspasswort ermitteln
  • Das erneute starten der BitLocker-Wiederherstellung beim Booten verhindern

Die häufigsten Ursachen für die Wiederherstellung

Quelle: http://technet.microsoft.com/de-de/library/cc771778(v=ws.10).aspx

  • Ein Angreifer hat den Computer geändert. Dies gilt für Computer mit TPM (Trusted Platform Module), da die Integrität der Startkomponenten während des Starts von TPM überprüft wird.
  • Verschieben des mit BitLocker geschützten Laufwerks auf einen neuen Computer
  • Aktualisieren auf ein neues Motherboard mit einem neuen TPM
  • Ausschalten, Deaktivieren oder Löschen des TPM
  • Aktualisieren wichtiger Komponenten für den frühen Start, die Fehler bei der TPM-Überprüfung verursachen
  • Vergessen der PIN, wenn die PIN-Authentifizierung aktiviert ist
  • Verlieren des austauschbaren USB-Flashlaufwerks mit dem Systemstartschlüssel, wenn die Authentifizierung mit einem Systemstartschlüssel aktiviert ist

Wiederherstellungsschlüssel-ID auf Client003 ermitteln

Die ist jene ID, die der Benutzer dem Helpdesk bekannt geben muss, wenn die BitLocker-Wiederherstellung beim Bootvorgang gestartet wird. Es muss nicht die gesammte ID bekannt gegeben werden, es reichen die ersten 8 Zeichen davon. Im ersten Schritt ermittle ich auf Client003 in Windows die Wiederherstellungs-ID, damit ich das Wiederherstellungs-Szenario durchspielen kann.

  1. Als Markus an Client003 anmelden
  2. Eingabeaufforderung (Administrator) starten
  3. Mit folgendem Befehl den Status der Verschlüsselung ermitteln 
    manage-bde -status c:
  4. Der Status wurde ermittelt
    BITLOCKER_RECOVERY-001 Weiterlesen