Teil 5f: Einen Datenwiederherstellungs-Agent für BitLocker konfigurieren

Meine Clients sollen später mit BitLocker verschlüsselt werden. Als Schlüsselschutzvorrichtung verwende ich TPM+PIN, ein nummerisches Kennwort und den Datenwiederherstellungs-Agent für BitLocker (zertifikatbasiert). Dazu später mehr.

  • Mit TPM+PIN startet der Benutzer den Rechner
  • Das nummerische Kennwort wird verwendet, wenn der PIN vergessen wurde oder sich die Startumgebung des Rechners verändert hat z.B. die Bootreihenfolge
  • Der BitLocker-DRA wird zum Entschlüsseln der Festplatte durch den Administrator auf einem anderen PC verwendet, wenn z.B. die Hardware defekt wurde und Windows nicht mehr gestartet werden kann

Das BitLocker Drive Encryption-Feature auf APP1 installieren

Damit unter den Application Policies der Zertifikatsvorlagen die Optionen BitLocker Data Recovery Agent und BitLocker Drive Encryption zur Verfügung stehen, muss das BitLocker Drive Encryption-Feature installiert werden.

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Manage > Add Roles and Features
  3. Add Roles and Features Wizard:
    1. Before You Begin > Next
    2. Installation Type: Role-based or feature-based installation > Next
    3. Server Selection: APP1.intern.einfaches-netzwerk.at > Next
    4. Server Roles: Next
    5. Features: BitLocker Drive Encryption > Add Features > Next
      BitLocker_DRA-001
    6. Confirmation: Install > Close
  4. APP1 neu starten

Die Zertifikatsvorlage für den Datenwiederherstellungs-Agent für BitLocker erstellen und konfigurieren

  1. Server Manager > Tools > Certification Authority
  2. Einfaches-Netzwerk SubCA erweitern
  3. Den Ordner Certificate Templates rechts anklicken > Manage
  4. Das Template Key Recovery Agent rechts anklicken > Duplicate Template
  5. Properties of New Template:
    1. Reiter General:
      1. Template display name: CUSTOM – BitLocker Key Recovery Agent
      2. Validity period: 5 years
        BitLocker_DRA-002
    2. Reiter Extensions:
      1. Application Policies markieren > Edit…
      2. Add…
      3. BitLocker Data Recovery Agent und BitLocker Drive Encryption makieren > OK
        BitLocker_DRA-003
      4. OK
        BitLocker_DRA-004 
    3. Reiter Issuance Requirements:
      1. CA certificate manager approval deaktivieren
        BitLocker_DRA-005
    4. Fenster mit OK schließen
      BitLocker_DRA-006
  6. Certificate Templates-Konsole schließen
  7. In der Certification Authority-Konsole Certificate Templates rechts anklicken > New > Certificate Template to Issue
  8. In der Liste CUSTOM – BitLocker Key Recovery Agent auswählen > OK
    BitLocker_DRA-007
  9. Alle Fenster schließen
    BitLocker_DRA-008

Das Zertifikat für den Datenwiederherstellungs-Agent für BitLocker anfordern und exportieren

  1. MMC (Admin) starten
  2. Das Snap-in Certificates für My user account importieren
  3. Den Ordner Personal rechts anklicken > All Tasks > Request New Certificate…
  4. Certificate Enrollment
    1. Before You Begin: Next
    2. Select Certificate Enrollment Policy > Next
    3. Request Certificates: CUSTOM – BitLocker Key Recovery Agent > Enroll
      BitLocker_DRA-009
    4. Results > Finish
      BitLocker_DRA-010
  5. Das Zertifikat rechts anklicken > All Tasks > Export…
    BitLocker_DRA-011
  6. Certificate Export Wizard
    1. Welcome… > Next
    2. Export Private Key: No, do not export the private key > Next
    3. Export File Format: CER > Next
    4. File to Export: C:\Temp\Einfaches-Netzwerk BitLocker-DRA.cer > Next
      BitLocker_DRA-012
    5. Next > Finish
  7. Das Zertifikat rechts anklicken > All Tasks > Export…
  8. Certificate Export Wizard
    1. Welcome… > Next
    2. Export Private Key: Yes, export the private key > Next
      BitLocker_DRA-013
    3. Export File Format: Personal Information Exchange – PKCS #12 (.PFX) > Next
    4. Security: Passwort Password1 > Next
      BitLocker_DRA-014
    5. File to Export: C:\Temp\Einfaches-Netzwerk BitLocker-DRA.pfx > Next
      BitLocker_DRA-015
    6. Finish
  9. Alle Fenster schließen

Das DRA-Zertifikat mittels Gruppenrichtlinen verteilen

  1. Server Manager > Tools > Group Policy Management
  2. Forest\Domains\intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  3. Das GPO CUSTOM Client Standard Settings rechts anklicken> Edit…
  4. Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
  5. Den Ordner BitLocker Drive Encryption rechts anklicken > Add Data Recovery Agent…
    BitLocker_DRA-016
  6. Add Recovery Agent Wizard
    1. Welcome…  > Next
    2. Select Recovery Agents: Browse Folders… > C:\Temp\Einfaches-Netzwerk BitLocker-DRA.cer > Next
      BitLocker_DRA-017
    3. Finish
      BitLocker_DRA-018
  7. Alle Fenster schließen
    BitLocker_DRA-019

Damit der Datenwiederherstellungs-Agent für BitLocker verwendet werden kann, muss mittels Gruppenrichtlinien der unique identifier for your organization konfiguriert werden. Dazu später mehr.

Weitere Informationen

Teil 5e: Einen Datenwiederherstellungs-Agent für EFS konfigurieren

Sollte eine Sicherheitsrichtlinie im Unternehmen das Archivieren der privaten Schlüssel nicht gestatten, kann mit dem privaten Schlüssel des Zertifikats des Datenwiederherstellungs-Agent eine Wiederherstellung verschlüsselter Dateien durchgeführt werden.

Eine Zertifikatsvorlage für den Datenwiederherstellungs-Agent konfigurieren

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > Certification Authority
  3. Einfaches-Netzwerk SubCA erweitern
  4. Den Ordner Certificate Templates rechts anklicken > Manage
  5. Die Zertifikatsvorlage EFS Recovery Agent rechts anklicken > Duplicate Template
  6. Properties of New Template
  7. Reiter General:
    1. Template display name: CUSTOM – EFS Recovery Agent
    2. Validity period: 5 years
      EFS_DRA-001
  8. Fenster mit OK schließen
    EFS_DRA-002
  9. Certificate Templates-Konsole schließen
  10. In der Certification Authority-Konsole Certificate Templates rechts anklicken > New > Certificate Template to Issue
  11. CUSTOM – EFS Recovery Agent markieren > OK
    EFS_DRA-003
  12. EFS Recovery Agent-Template rechts anklicken > Delete
    EFS_DRA-004
  13. Alle Fenster schließen

Das Zertifikat für den Data Recovery Agent anfordern und exportieren

  1. MMC (Admin) starten
  2. Das Snap-in Certificates für My user account importieren
  3. Den Ordner Personal rechts anklicken > All Tasks > Request New Certificate…
  4. Certificate Enrollment
    1. Before You Begin: Next
    2. Select Certificate Enrollment Policy > Next
    3. Request Certificates: CUSTOM – EFS Recovery Agent > Enroll
      EFS_DRA-005
  5. Finish
    EFS_DRA-006
  6. Das Zertifikat rechts anklicken > All Tasks > Export…
    EFS_DRA-007
  7. Certificate Export Wizard
    1. Welcome… : Next
    2. Export private key: No, do not export the private key > Next
      EFS_DRA-008
    3. Export File Format: DER > Next
      EFS_DRA-009
    4. File to Export: C:\Temp\Einfaches-Netzwerk EFS-DRA.cer > Next
      EFS_DRA-010
    5. Finish
      EFS_DRA-011
  8. Das Zertifikat rechts anklicken > All Tasks > Export…
  9. Certificate Export Wizard
    1. Welcome… : Next
    2. Export Private Key: Yes, export the private key > Next
      EFS_DRA-012
    3. Export File Format: Personal Information Exchange – PKCS #12 (.PFX) > Next
      EFS_DRA-013
    4. Security: Passwort Password1 > Next
      EFS_DRA-014
    5. File to Export: C:\Temp\Einfaches-Netzwerk EFS-DRA.pfx > Next
      EFS_DRA-015
    6. Finish
      EFS_DRA-016
  10. Alle Fenster schließen

Das DRA-Zertifikat mittels Gruppenrichtlinen verteilen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. Forest\Domain\intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  4. Das GPO CUSTOM – Client Standard Settings rechts anklicken > Edit…
  5. Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
  6. Encrypting File System rechts anklicken > Add Data Recovery Agent…
    EFS_DRA-017
  7. Add Recovery Agent Wizard:
    1. Welcome… > Next
    2. Select Recovery Agents: Browse Folders… > C:\Temp\Einfaches-Netzwerk EFS-DRA.cer > NextEFS_DRA-018
    3. Finish
      EFS_DRA-019
      EFS_DRA-020
  8. Alle Fenster schließen

Die Zertifikate für den EFS-DRA sollten auf einen externen Datenträger kopiert und im Safe aufbewahrt werden. Die Kopien auf dem Server anschließend löschen.

Weitere Informationen