BitLocker für Unternehmen: Einführung und Integration ins Active Directory

In dieser Blogserie geht es rund um das Thema BitLocker für Unternehmen. Wir geben Ihnen eine Einführung in BitLocker, zeigen wie BitLocker aktiviert und ins Active Directory (AD) integriert wird, geben einen Überblick über die Verwaltungsmöglichkeiten mittels GPO und stellen vor, wie BitLocker mittels Intune aktiviert und verwaltet wird.

Blogeintragsserie BitLocker für Unternehmen:

1. Einführung und Integration ins Active Directory

2. Widerherstellungsschlüssel im AD auslesen

3. BitLocker und Intune

4. Verwaltung mittels Gruppenrichtlinien: Best Practices & Allgemeine Richtlinien

5. Verwaltung mittels Gruppenrichtlinien: Verschlüsselung (demnächst)

Einführung in BitLocker

Mittels BitLocker lassen sich Laufwerke, wie das Systemlaufwerk, verschlüsseln. Generell wird für die Verschlüsselung ein Trusted Platform Module (TPM) benötigt, welches auf dem Motherboard vorhanden ist. Mittels des TPM werden Schlüssel generiert, gespeichert und von BitLocker genutzt. Sollte kein TPM auf dem Motherboard verfügbar sein, gibt es noch die Möglichkeit BitLocker mittels Gruppenrichtlinien zu aktivieren. Hier ermöglicht die Einstellung „Zusätzliche Authentifizierung beim Start Anfordern“ (Computer Konfiguration -> Administrative Vorlagen -> Windows Komponenten -> BitLocker Festplatten Verschlüsselung -> Betriebssystemlaufwerke), die Verschlüsselung ohne kompatiblen TPM zu verwenden. Diese Methode ist jedoch unsicherer, da dieses Vorgehen nicht vor dem Ausbau der Festplatte schützt.

Mit TPM ist die verschlüsselte Festplatte von der Hardware abhängig, mit der sie verschlüsselt wird. Ohne TPM wird eine alternative Verschlüsselungsmethode gewählt, wie z.B. eine PIN. Das heißt ohne TPM kann die Festplatte in ein anderes Gerät eingebaut werden und z.B. mit der PIN entschlüsselt werden. Dies funktioniert für eine mit einem TPM verschlüsselte Festplatte nicht.

Es lassen sich auch externe Speichermedien, wie USB Wechseldatenträger oder externe Festplatten verschlüsseln. In diesem Fall sprechen wir von „BitLocker to go“. Für BitLocker und BitLocker to go sind die Betriebssysteme Windows 8 / 8.1 / 10 Professional oder Enterprise notwendig. Wer auf anderen Betriebssystemen BitLocker verwenden möchte, kann das Feature „Device Encryption“ mit ähnlicher Funktionalität verwenden. Das Feature wird nicht von der Windows Home Version unterstützt. Hierfür muss ggf. auf ein Drittanbietertool zurückgegriffen werden.

Voraussetzungen für die AD Integration

Mit dem Schema von Windows Server 2012 sind bereits alle notwendigen AD-Attribute vorhanden, um BitLocker ins AD zu integrieren.

Überprüft werden kann dies mit dem folgenden PowerShell-Befehl:

Get-ADObject -SearchBase ((GET-ADRootDSE).SchemaNamingContext) -Filter {Name -like 'ms-FVE-*'}

Es sollten die folgenden Attribute ausgegeben werden:

• ms-FVE-KeyPackage

• ms-FVE-RecoveryGuid

• ms-FVE-RecoveryInformation

• ms-FVE-RecoveryPassword

• ms-FVE-VolumeGuid

Des Weiteren wird das BitLocker Feature benötigt, um die Wiederherstellungsschlüssel im Active Directory auslesen zu können. Dieses kann mittels des folgenden PowerShell-Befehls installiert werden:

Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools

Oder alternativ über den Server Manager im Bereich Features > BitLocker Laufwerksverschlüsselung.

BitLocker in der AD-Umgebung aktivieren und speichern

BitLocker kann mittels GPO aktiviert werden. Es ist dabei unabhängig, ob es sich um einen Server oder Client handelt. Nachfolgend werden die einzelnen Schritte aufgeführt, um BitLocker in der Umgebung zu aktivieren:

• Erstellen einer neuen Gruppenrichtlinie. Es handelt sich hierbei um eine Computerrichtlinie. Diese sollte auf die gewünschte Organisationseinheit angewendet werden. In diesem Fall wird die Richtlinie „BitLocker“ genannt.

• Im Bereich Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerksverschlüsselung befinden sich die möglichen BitLocker-Einstellungen. Es gibt die Einstellungsmöglichkeiten:

• Betriebssystemverschlüsselung

• Festplattenlaufwerke

• Wechseldatenträger

Abhängig von dem Laufwerk, das verschlüsselt und konfiguriert werden soll, muss der jeweilige Festplattentyp ausgewählt werden. Sollten diese Pfade nicht vorhanden sein, fehlen ggf. die nötigen ADMX-Templates und müssen erst noch heruntergeladen werden.

• Um die Wiederherstellungsschlüssel im AD zu speichern, muss die GPO Festlegen, wie BitLocker geschützte <Laufwerkstyp> wieder­hergestellt werden können. konfiguriert werden. Diese Richtlinie ist drei Mal vorhanden, für jeden Laufwerkstyp genau einmal. Für die Betriebssystemverschlüsselung also in dem Pfad Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerksverschlüsselung > Betriebssystemverschlüsselung > Festlegen, wie BitLocker geschützte Betriebssysteverschlüsselung wieder­hergestellt werden können. Die GPO legt zudem fest wie ins AD gesichert wird. Für die Sicherung ins AD sollte „BitLocker-Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS speichern“ sowie die Einstellung „Wiederherstellungskennwörter und Schlüsselpakete speichern“ ausgewählt werden. Die Schlüsselpakete werden benötigt, wenn eine Festplatte defekt ist. Mindestens die Wiederherstellungskennwörter müssen im AD gespeichert werden.

• Sollte kein TPM Modul auf einem der Computer vorhanden sein, muss die Option BitLocker ohne kompatibles TPM zulassen unter Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerksverschlüsselung > Zusätzliche Authentifizierung beim Start anfordern gesetzt werden.

Laufwerke verschlüsseln

Laufwerke lassen sich über Rechtsklick auf das Laufwerk > BitLocker aktivieren verschlüsseln.

Im daraufhin erscheinenden BitLocker-Wizard kann ausgewählt werden, wie das Laufwerk entsperrt werden soll.

Außerdem sollte anschließend der Wiederherstellungsschlüssel abgespeichert werden, sodass das Laufwerk im Notfall damit entsperrt werden kann.