» Home » Verschiedenes » Endpoint Security » Bitlocker

Endpoint Security - Bitlocker

Als Teil der Serie zu Endpoint Security ist natürlich Bitlocker eine wichtige Komponente

Für "einfache" Diebe ist natürlich das Endgerät selbst erst mal interessant. Auch wenn Notebooks doch relativ günstig geworden sind, so ist schon noch ein beträchtlicher Unterschied zwischen einem "Business Notebook" und einem "Volks Netbook". Dieser Personenkreis wird auch eine verschlüsselte Festplatte nicht stören, solange er sie neu formatieren und dank des überall aufgeklebten Lizenzschlüssel frisch installieren kann. Hier kann aber schon ein BIOS-Kennwort in den meisten Fällen die erste Freude vergällen, wenn letztlich nur noch Akku und Display als "Ersatzteile" verkauft werden können.

Tipp: Zettel mit Adresse mit Aussicht auf Finderlohn unter den Akku kleben.
Dann erhalten sie vielleicht ihr Notebook für wenige Geld zurück und minimieren den Verlust.

Wäre der Notebook aber ungeschützt, dann ist schon fast Volkssport mal zu sehen, was man noch in Erfahrung bringen kann. Tools und Wissen können Sie in einschlägigen Foren erhalten und Knoppix und Konsorten sind schon auf Grundschulen bekannt, um Schutzmechanismen zu umgehen.

Windows 7 Bitlocker kann hier helfen, den Schaden zu reduzieren, indem nur eine kleine Basispartition zum  Booten unverschlüsselt ist und alle anderen Bereiche komplett verschlüsselt sind. Technisch wird eine kleine Systempartition (unverschlüsselt) angelegt, von der ein Bootloader startet, der dann den Zugriff auf die verschlüsselte Partition einrichtet. Dazu benötigt er natürlich den kryptografischen Schlüssel, der von einem USB-Stick oder aus dem TPM-Chip kommen kann. Der TPM-Chip kann zusätzlich per PIN und/oder USB-Key geschützt werden.

Achtung
Solle der TPM-Chip eine unerlaubte Veränderung erkennen und daher das System als nicht mehr "Trusted" ansehen, dann kommen Sie nur noch mit dem gesicherten Encryption-Key an die Daten. Wenn der PC Mitglied einer Windows 2008 Active Directory Umgebung ist, dann sollten sie "VORHER" eine Gruppenrichtlinie einrichten, die die Ablage des Schlüssels im Active Directory erzwingt.

PDF Betrachtung zu Bitlocker unter Windows Vista
http://testlab.sit.fraunhofer.de/content/output/project_results/bitlocker/BitLocker-Leitfaden.pdf
Beschreibt zwar noch Bitlocker unter Windows Vista RTM und kennt daher die Verbesserungen von Windows 7 noch nicht, aber es ist ein sehr guter Einstieg in die Materie

Konfiguration per Gruppenrichtlinien

Die komplette Vorgabe der Bitlocker-Einstellungen ist über Gruppenrichtlinien möglich und sollte hier auch Firmenweit vorgegeben werden. Nur so ist sicher gestellt, dass alle PCs auch die richtigen Einstellungen bei der Verschlüsselung umsetzen

Wichtig
Die Einstellungen der Gruppenrichtlinien wirken nur auf die Einrichtung der Verschlüsselung aber nicht auf Bitlocker selbst. Wer also nachträglich andere Vorgaben macht, muss die bestehenden Systeme entweder komplett entschlüsseln und neu verschlüsseln oder bestimmte Einstellungen per "Manager-BDE"-Kommandozeile umstellen.

Hier ein paar Bilder zu den Einstellungen:

Ganz besonders sollten Sie folgende Konfiguration in den Gruppenrichtlinien beachten. Sie stellt ein, welche verschiedenen Verfahren freigeschaltet sind und jede der vier Einstellungen kennt die Option "Erforderlich, Zulassen und nicht zulassen".

Fatal ist hierbei, dass die MMC zur Verwaltung der GPOs nicht auf einen Konfigurationskonflikt hinweist: Wenn Sie eine dieser vier Optionen z.B.: auf "Erforderlich" stellen und eine andere auf "Erlauben", dann erhalten bei der Einrichtung nur eine ziemlich nichtssagende Fehlermeldung, dass die Gruppenrichtlinien einen Konflikt hätten.

Das wird deutlich wenn Sie "TPM-Start konfigurieren" so interpretieren, dass damit TPM erst aktiviert/gefordert wird. Diese Einstellung steuert aber den Start mit "TPM alleine", also ohne weitere PIN oder Systemstartschlüssel (=USB-Laufwerk mit Key). Wenn Sie diese Option daher im Irrglauben "erforderlich" setzen und dann noch eine andere Option als erforderlich einstufen, haben Sie ihren Konflikt. Sie sollten also hier die Optionen verbieten, die sie nicht unterstützen wollen und genau einen Eintrag erzwingen. Oder sie lassen den Benutzern die Wahl zwischen verschiedenen Optionen und erzwingen keine Option.

Wichtige Information
Die Veröffentlichung im Active Directory funktioniert nur, wenn das Computerkonto die Rechte hat (ab Windows 2008 per Default, bei Windows 2003 zu setzen) und per Gruppenrichtlinie dies dem Client auch erlaubt ist. Hierbei ist zu beachten, dass die Einstellungen zu Bitlocker durch Vista-Richtlinien NICHT für Windows 7 gelten!! Das ist aber so nicht einfach zu ersehen.

Windows 7 nutzt nur die Einstellungen in den Unterbereichen "Betriebssystemlaufwerke, Festplattenlaufwerke und Wechseldatenträger)

Lesen Sie daher bei den GPO-Einstellungen genau durch, für welche Version die Einstellungen gültig ist. Einige Einstellungen sind mit "Mindestens Windows Vista" gekennzeichnet, was dann auch Windows 7 und Windows 2008 einschließt. Andere sind aber erst für Windows 7 oder gar "nur für Vista und Windows 2008" und damit nicht für Windows 7 oder Windows 2008R2 zutreffend. Wenn Sie dann versuchen Bitlocker auf einem PC zu aktivieren, der den DC nicht erreichen kann, dann sehen Sie folgende Meldung:

Einen anderen Fehler hatte ich auf einem Notebook, dessen Disk per Acronis "gecloned" (Offline) und dann über die Windows 7 Wiederherstellung der Bootsektor korrigiert wurde. Dabei wurde aber nicht der MBR entsprechend "gefixt", was zu folgender Fehlermeldung führte:

Hier half dann der Start von der Windows 7 DVD und der Sprung in die Wiederherstellung per Kommandozeile:

Bootrec.exe /FixMBR
BootSect.exe /nt60 All

• 927392 How to use the Bootrec.exe tool in the Windows Recovery Environment to troubleshoot and repair startup issues in Windows
• 919529 Windows no longer starts after you install an earlier version of the Windows operating system in a dual-boot configuration

Schlüssel im AD hinterlegen

Über einen passende Anwendung kann dann der berechtigte Personenkreis das hinterlegte Kennwort nutzen, um wieder den Zugriff auf eine Festplatte zu gewähren. Beim Einsatz von TPM sollten sich auch dort die Sicherung im Active Directory aktiviert werden (System\Trusted Plattform Modul Dienste)

Für Windows Vista oder Windows 2008 ist das Tool ein separater Download:

BitLocker Repair Tool
32bit http://www.microsoft.com/downloads/genuineValidation.aspx?familyid=16088271-f95d-4c5c-9ea9-03746c96ffff&displaylang=en
64bit http://www.microsoft.com/downloads/details.aspx?familyid=80749FCA-E3C4-4FEE-BB09-90E714FA6B4C&displaylang=en
928202 How to use the BitLocker Recovery Password Viewer for Active Directory Users and Computers tool to view recovery passwords for Windows Vista

Danach wurde die MMC für Benutzer und Computer entsprechend erweitert. Auf der Domäne ist eine Suche möglich und auch auf dem Computerkonto kommt eine Karteikarte dazu

Alternativ kann man auf dem Computerobjekt die Daten einsehen, wenn man den Namen des Computers kennt:

Die Einrichtung von Bitlocker in einem Netzwerk ist aber nicht als "Plug and Play"-Operation zu verstehen!. Hier ist durchaus eine Planung der Berechtigungen erforderlich, nicht dass jeder Domain Benutzer die Bitlocker-Schlüssel der Geschäftsführernotebooks auslesen kann. Im wesentlichen sind dazu folgende Schritte erforderlich:

1. CScript Add-TPMSelfWriteACE.vbs
   Damit das Objekt "Self" Schreibrechte auf das Feld "ms-TPM-OwnerInformation" bekommt.
   http://technet.microsoft.com/en-us/library/cc749026(WS.10).aspx
   http://www.microsoft.com/downloads/details.aspx?FamilyID=3a207915-dfc3-4579-90cd-86ac666f61d4&DisplayLang=en
2. Gruppenrichtlinie anpassen
   Damit die Clients auch angewiesen werden, dieses Feld zu schreiben, müssen Sie eine GPO entsprechend einrichten oder das Bitlocker Tools mit den passenden Optionen starten. Das wird z.B. durch System Center Configuration Manager genutzt.
3. Bitlocker auf den Client aktivieren
   Das kann entweder per GUI durch den Anwender oder Installateur erfolgen oder indem Sie die Befehle per Kommandozeile über "Manage-BDE" absetzen, z.B. im Rahmen einer Unattended Installation oder per Softwareverteilung.

Bitlocker per Kommandozeile

Die Verwaltung von Bitlocker ist über die Kommandozeile möglich. Hierüber können Sie z.B. die Wiederherstellungsschlüssel auch nachträglich in das AD überführen oder PIN ändern oder die "Protectors" umstellen

REM Diese Befehle bitte mit administrativen Berechtigungen ausfuehren.
REM Auslesen der aktellen Keys der C:-Festplatte
manage-bde -protectors c: -get

BitLocker-Laufwerkverschlüsselung: Konfigurationstoolversion 6.1.7600
Copyright (C) Microsoft Corporation. Alle Rechte vorbehalten.

Volume "C:" [FC-MOBIL C-500GB]
Alle Schlüsselschutzvorrichtungen

    TPM:
      ID: {87654321-1234-5678-ABCD-ABCDEFGH1234}

    Numerisches Kennwort:
      ID: {ABCDEFGH-ABCD-ABCD-ABCD-ABCDEFGH1234}
      Kennwort:
        xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx

    Externer Schlüssel:
      ID: {09E67E09-C167-4181-981F-766291001FED}
      Name der externen Schlüsseldatei:
        09E67E09-C167-4181-981F-766291001FED.BEK

REM Optional weitere RecoveryPassworte addieren
manage-bde -protectors -add -RecoveryPassword C:

REM Key im AD publizieren
manage-bde -protectors c: -adbackup -ID {ABCDEFGH-ABCD-ABCD-ABCD-ABCDEFGH1234}
BitLocker-Laufwerkverschlüsselung: Konfigurationstoolversion 6.1.7600
Copyright (C) Microsoft Corporation. Alle Rechte vorbehalten. 

Die Wiederherstellungsinformationen wurden in Active Directory gesichert.

Weitere nützliche Optionen sind:

• Pin ändern
  manage-bde –protectors –delete –t -TPMandPIN C:.
  manage-bde –protectors –add –TPMandPIN <neue-PIN> C:

Eine genaue Beschreibung finden Sie auch auf

• Manage-bde.exe Parameter Reference
  http://technet.microsoft.com/en-us/library/dd875513(WS.10).aspx

Weitere Links

• BitLocker Drive Encryption Configuration Guide: Backing Up BitLocker and TPM Recovery Information to Active Directory
  http://technet.microsoft.com/en-us/library/cc766015(WS.10).aspx
• Manage-bde.exe Parameter Reference
  http://technet.microsoft.com/de-de/library/dd875513(WS.10).aspx
• How to backup recovery information in AD after Bitlocker is turned ON in Windows 7
  http://blogs.technet.com/askcore/archive/2010/04/06/how-to-backup-recovery-information-in-ad-after-bitlocker-is-turned-on-in-windows-7.aspx
• Bitlocker Policies for Windows 7 on Windows Server 2003 or Windows Server 2008
  http://blogs.technet.com/b/askcore/archive/2010/07/02/bitlocker-policies-for-windows-7-on-windows-server-2003-or-windows-server-2008.aspx
• Cannot Save Recovery Information for Bitlocker in Windows 7
  http://blogs.technet.com/b/askcore/archive/2010/02/16/cannot-save-recovery-information-for-bitlocker-in-windows-7.aspx
  Mit Video zur Beschreibung wie Bitlocker arbeitet
• Konfigurieren von Active Directory für die Sicherung der Wiederherstellungsinformationen für die Windows BitLocker-Laufwerkverschlüsselung und TPM (Trusted Platform Module)
  http://technet.microsoft.com/de-de/library/cc766015(WS.10).aspx
• Wikipedia über Bitlocker
  http://en.wikipedia.org/wiki/BitLocker_Drive_Encryption
• Auflistung und Vergleich verschiedener Verschlüsselungsprodukte
  http://en.wikipedia.org/wiki/Comparison_of_disk_encryption_software
  Key geschützt durch TPM-Modul, USB-Key oder kombinationen von TPM + Pin + USB-Key
  Achtung: Firmen sollten unbedingt per GPO die Ablage des "Masterkey" im Active Directory vorschreiben.
• 933246 Description of the BitLocker Drive Preparation Tool
• 930063 Beschreibung des BitLocker-Laufwerkvorbereitungstools
• 928202 How to use the BitLocker Recovery Password Viewer for Active Directory Users and Computers tool to view recovery passwords for Windows Vista
• Configuring Active Directory to Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery Information
  http://www.microsoft.com/downloads/details.aspx?FamilyID=3a207915-dfc3-4579-90cd-86ac666f61d4&displaylang=en
• Guide for Configuring AD to Back up BitLocker and TPM Recovery Information
  http://msmvps.com/blogs/mika/archive/2007/01/12/guide-for-configuring-ad-to-back-up-bitlocker-and-tpm-recovery-information.aspx
• A best practice guide on how to configure BitLocker (Part 1)
  http://www.windowsecurity.com/articles/Best-practice-guide-how-configure-BitLocker-Part1.html
• Stanford Windows Infrastructure - BitLocker Key Escrow
  http://windows.stanford.edu/Public/Infrastructure/Services/BitLocker.html
• Backing Up BitLocker and TPM Recovery Information to AD DS
  http://technet.microsoft.com/en-us/library/dd875529(WS.10).aspx
• BitLocker Recovery Password Viewer for Active Directory
  http://technet.microsoft.com/en-us/library/dd875531(WS.10).aspx
• BitLocker Group Policy Reference
  http://technet.microsoft.com/en-us/library/ee706521(WS.10).aspx
• Windows BitLocker Drive Encryption Step-by-Step Guide
  http://technet.microsoft.com/en-us/library/cc766295(WS.10).aspx
• Using Smart Cards with BitLocker
  http://technet.microsoft.com/en-us/library/dd875530(WS.10).aspx
• BitLocker Deployment Sample Resources
  http://code.msdn.microsoft.com/bdedeploy/Release/ProjectReleases.aspx?ReleaseId=3205
• Best Practices for BitLocker in Windows 7
  http://technet.microsoft.com/en-us/library/dd875532(WS.10).aspx
• Unable to Force BitLocker\TPM info to AD using Manage-BDE
  http://social.technet.microsoft.com/Forums/en/w7itprosecurity/thread/71f8180b-36e5-4b1a-a7b8-2d39a2c1ef8a
• BitLocker Drive Encryption
  http://en.wikipedia.org/wiki/BitLocker_Drive_Encryption
• PDF Betrachtung zu Bitlocker unter Windows Vista
  http://testlab.sit.fraunhofer.de/content/output/project_results/bitlocker/BitLocker-Leitfaden.pdf
  Beschreibt zwar noch Bitlocker unter Windows Vista RTM und kennt daher die Verbesserungen von Windows 7 noch nicht, aber es ist ein sehr guter Einstieg in die Materie
• Why Am I Unable to Turn On Microsoft® Windows® BitLocker™ Drive Encyption Without a Trusted Platform Module (TPM) in Windows Vista™?
  http://support.euro.dell.com/support/topics/topic.aspx/emea/shared/support/dsn/de/document?docid=28B4E8E17B3C74B4E040A68F5B28760D

Keywords:

Endpoint Security CA 802.1x Virenscanner

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
• Unified Communication
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
  • Infofilm
  • NTFS Intern
  • Timesync/NTP
  • Gruppenrichtlinien
  • Windows Gruppen
  • NLB
  • Datenhaltung
  • Vererbung
  • Kerberos
  • Schattenkopien
  • Imagebackup
  • Update/Patch
  • Bluescreen
  • WSUS
  • RPC
  • RIS und PXE
  • WDS/WAIK
  • Endpoint Security
    • Client Management
    • Bitlocker
    • Devicelock
    • Smartcard
    • Security
    • 802.1x
  • NIS und NFS
  • WPad
  • SQL-Server
  • Cityhosting
  • Podcast
  • MSBlaster
  • Privat PC Sicherheit
  • IBM R40 Praxisbericht
  • Windows Home Server
  • Maus8000
  • Wiki
  • Blog
  • Wurmmails
  • Filesync
  • Contoso
  • GUIDAccess
  • ISDNTechnik
  • Meine erste Facharbeit
  • 6h Lader
  • Bluefritz! Umbau
  • 220V Adapterstecker
  • Hauptschalter
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages