Teil 20a: BitLocker-Wiederherstellung durch den Administrator

Veröffentlicht am von

BitLocker-Wiederherstellung durch den Administrator – Schritte:

  • Die häufigsten Ursachen für die Wiederherstellung
  • Wiederherstellungsschlüssel-ID auf Client003 ermitteln
  • Wiederherstellungspasswort ermitteln
  • Das erneute starten der BitLocker-Wiederherstellung beim Booten verhindern

Die häufigsten Ursachen für die Wiederherstellung

Quelle: http://technet.microsoft.com/de-de/library/cc771778(v=ws.10).aspx

  • Ein Angreifer hat den Computer geändert. Dies gilt für Computer mit TPM (Trusted Platform Module), da die Integrität der Startkomponenten während des Starts von TPM überprüft wird.
  • Verschieben des mit BitLocker geschützten Laufwerks auf einen neuen Computer
  • Aktualisieren auf ein neues Motherboard mit einem neuen TPM
  • Ausschalten, Deaktivieren oder Löschen des TPM
  • Aktualisieren wichtiger Komponenten für den frühen Start, die Fehler bei der TPM-Überprüfung verursachen
  • Vergessen der PIN, wenn die PIN-Authentifizierung aktiviert ist
  • Verlieren des austauschbaren USB-Flashlaufwerks mit dem Systemstartschlüssel, wenn die Authentifizierung mit einem Systemstartschlüssel aktiviert ist

Wiederherstellungsschlüssel-ID auf Client003 ermitteln

Die ist jene ID, die der Benutzer dem Helpdesk bekannt geben muss, wenn die BitLocker-Wiederherstellung beim Bootvorgang gestartet wird. Es muss nicht die gesammte ID bekannt gegeben werden, es reichen die ersten 8 Zeichen davon. Im ersten Schritt ermittle ich auf Client003 in Windows die Wiederherstellungs-ID, damit ich das Wiederherstellungs-Szenario durchspielen kann.

  1. Als Markus an Client003 anmelden
  2. Eingabeaufforderung (Administrator) starten
  3. Mit folgendem Befehl den Status der Verschlüsselung ermitteln 
    manage-bde -status c:
  4. Der Status wurde ermittelt
    BITLOCKER_RECOVERY-001
  5. Mit folgendem Befehl Details zu den Schlüsselschutzvorrichtungen ermitteln 
    manage-bde -protectors -get c:
  6. Die Details zu den Schlüsselschutzvorrichtungen wurden ermittelt
    BITLOCKER_RECOVERY-002
  7. Die ersten 8 Stellen der Wiederherstellungsschlüssel-ID EBA5869E notieren
  8. Alle Fenster schließen
  9. Client003 neu starten
  10. Bei der BitLocker-Eingabe ESC drücken, damit die Wiederherstellung gestartet wird
  11. Hier würde die Bekanntgabe der Wiederherstellungsschlüssel-ID an den Administrator erfolgen

Wiederherstellungspasswort ermitteln

  1. Als Administrator an SERVER02 anmelden
  2. Server Manager > Local Server > Tools > Active Directory Users and Computers
  3. haimann.local rechts anklicken und im Kontextmenü Find BitLocker recovery password anklicken
    BITLOCKER_RECOVERY-003
  4. Find BitLocker recovery password
    1. Password ID: EBA5869E > Search
      BITLOCKER_RECOVERY-004
  5. Das Wiederherstellungskennwort entspricht dem Ergebnis unter Punkt 6.
  6. Auf Client003 das Wiederherstellungspasswort eingeben
  7. Windows wird gestartet

Das erneute starten der BitLocker-Wiederherstellung beim Booten verhindern

  1.  Als Markus an Client003 anmelden
  2. Systemsteuerung > System und Sicherheit > BitLocker-Laufwerkverschlüsselung
  3. Schutz anhalten anklicken
    BITLOCKER_RECOVERY-005
  4. Schutz fortsetzen anklicken
    BITLOCKER_RECOVERY-006

Mit diesem Schritt wird die (geänderte) Startumgebung neu gehasht. Damit bestätigt der Benutzer, dass die Änderung eine Bekannte Ursache hatte und damit einverstanden ist.

Ist die Änderung der Startumgebung durch eine unbekannte Ursache erfolgt, muss der Sache genauer auf den Grund gegangen werden. Schadsoftware kann nicht ausgeschlossen werden. In diesem kann die Unternehmensrichtlinie für Rechner mit Virus angewandt werden, um angemessen zu reagieren (sofort vom Netz nehmen, Anti-Virussoftware zur Bereinigung laufen lassen, …). Im schlimmsten Fall muss der Rechner getauscht oder neu aufgesetzt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert