BitLocker für Unternehmen: Verwaltung mittels Gruppenrichtlinien - Verschlüsselung

In diesem Kapitel der Blogeintragsserie gehen wir auf die Verwaltung von BitLocker mittels Gruppenrichtlinien ein. Dabei geben wir einen Überblick über Betriebssystem-, Festplatten- und Wechseldatenträgerverschlüsselung.

Blogeintragsserie BitLocker für Unternehmen:

1. Einführung und Integration ins Active Directory

2. Widerherstellungsschlüssel im AD auslesen

3. BitLocker und Intune

4. Verwaltung mittels Gruppenrichtlinien: Best Practices & Allgemeine Richtlinien

5. Verwaltung mittels Gruppenrichtlinien: Verschlüsselung

Betriebssystemverschlüsselung

Zu finden sind die GPOs unter Computer Configuration > Policies > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives

Allow enhanced PINs for startup:

Die Richtlinie ermöglicht die Verwendung von erweiterten PINs, wenn eine Unlock-Methode verwendet wird, die eine PIN enthält. Mit Unlock-Methode ist eine Methode gemeint, welche ein Gerät entsperrt. Standard-PINs bestehen lediglich aus Zahlen, im Gegensatz zu erweiterten Start PINs, welche die Verwendung von Zeichen ermöglichen.

Allow network to unlock at startup:

Mit dieser Richtlinie kann gesteuert werden, ob ein TPM-kompatibler Computer, der mit einem vertrauenswürdigen lokalen Netzwerk verbunden ist, den Netzwerkschlüssel Schutz erstellen und verwenden kann. Und somit das Betriebssystemlaufwerk beim Starten des Computers automatisch entschlüsselt wird. Ist diese Richtlinie aktiv, können Clients, die mit einem Bitlocker-Netzwerksperren-Zertifikat konfiguriert sind, Netzwerkschlüssel-Schutzvorrichtungen erstellen und verwenden.

Allow Secure Boot for integrity validation:

Durch Aktivieren dieser Richtlinie wird die Secure Boot Überprüfung während des Startvorgangs erzwungen. Secure Boot ist ein Sicherheitsstandard, der entwickelt wurde, um sicherzustellen, dass ein Gerät nur mit Software gebootet wird, die der OEM (Original Equipment Manufacturer) vertraut. Sobald der PC startet, prüft die Firmware die Signatur jeder Boot-Software, einschließlich UEFI-Firmware-Treibern, EFI-Anwendungen und des Betriebssystems. BitLocker verwendet den Secure Boot für die Plattformintegrität, wenn die Plattform eine Secure Boot basierte Integritätsüberprüfung durchlaufen kann. Secure Boot überprüft die Einstellungen der Boot-Konfigurationsdaten (BCD) gemäß den Einstellungen der Secure Boot Richtlinien, die separat von BitLocker konfiguriert sind.

Choose how BitLocker-protected operating system drives can be recovered:

Hier wird festgelegt, welche Wiederherstellungsmethode für Betriebssystemlaufwerke verwendet wird, wenn die erforderlichen Startschlüsselinformationen fehlen. Wenn diese Richtlinie aktiviert ist, kann eine Methode gewählt werden, die Nutzer zur Wiederherstellung von Daten aus durch BitLocker geschützten Betriebssystemlaufwerken verwenden können.

Es gibt folgende Optionen:

• Allow data recovery agent: Hiermit wird bestimmt, ob ein Daten-Wiederherstellungs-Agent mit durch BitLocker geschützten Laufwerken verwendet werden kann. Damit der Agent genutzt werden kann, muss dieser aus den Public Key Policies hinzugefügt werden. Diese befinden sich in der Gruppenrichtlinien-Verwaltungskonsole (GPMC).

• Configure user storage of BitLocker recovery information:  Hiermit kann die Auswahl getroffen werden, ob die Nutzer ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschlüssel generieren können.

• Omit recovery options from the BitLocker setup wizard: Durch die Option wird verhindert, dass Nutzer eine Wiederherstellungsoption angeben, wenn sie BitLocker auf einem Laufwerk aktivieren. Die Wiederherstellungsoptionen werden dann durch diese Richtlinie bestimmt. Mit dem Kontrollkästchen Save BitLocker recovery information to AD DS for operating system drives wird festgelegt, dass die Wiederherstellungsinformationen im AD DS gespeichert werden sollen. Durch die Option Backup recovery passwords and key packages werden sowohl das Wiederherstellungskennwort, als auch das Schlüsselpaket im AD DS gespeichert. Das Schlüsselpaket unterstützt das Wiederherstellen von Daten aus einem physisch beschädigten Laufwerk. Wenn die Option Backup recovery password only gewählt wird, wird nur das Wiederherstellungskennwort im AD DS gespeichert.

Do not enable BitLocker until recovery information is stored to AD DS for operating system drives legt fest, dass Benutzer BitLocker erst aktivieren können, wenn die Wiederherstellungsinformationen im AD DS gesichert sind.

Configure minimum PIN length for startup:

Durch diese Richtlinie kann über eine minimale PIN-Länge entschieden werden, wenn eine Unlock-Methode verwendet wird, die eine PIN enthält. Die Start-PIN muss eine Mindestlänge von 4 Ziffern aufweisen und kann eine maximale Länge von 20 Ziffern haben. Standardmäßig ist die minimale PIN-Länge mit 6 Ziffern konfiguriert.

Configure pre-boot recovery message and URL:

Diese Richtlinie wird verwendet, um den BitLocker-Wiederherstellungsbildschirm so zu konfigurieren, dass eine benutzerdefinierte Nachricht und eine angepasste URL angezeigt werden. Wenn aktiviert, werden die angepasste Nachricht und URL auf dem Bildschirm Pre-Boot Recovery angezeigt.

Configure TPM platform validation Profile (Win Vista, WS 2008/R2, Win 7):

Diese Richtlinie bestimmt, welche Werte bei der Überprüfung der frühen Startkomponenten vom TPM gemessen werden, bevor ein Laufwerk entschlüsselt werden kann. Wenn sich eine dieser Komponenten ändert, während der BitLocker-Schutz aktiv ist, gibt das TPM das Laufwerk nicht frei. Stattdessen wird die BitLocker-Wiederherstellungskonsole angezeigt und setzt voraus, dass das Wiederherstellungskennwort oder -schlüssel zum Entsperren des Laufwerks bereitgestellt wird.

Configure TPM platform validation profile for BIOS-based firmware configurations:

Mit dieser Richtlinie können die Boot-Komponenten konfiguriert werden, die das TPM validiert, bevor die Freigabe des Zugriffs auf das durch BitLocker geschützte Betriebssystemlaufwerk erfolgt. Wenn sich eine dieser Komponenten ändert, während der BitLocker-Schutz in Kraft ist, gibt das TPM den Verschlüsselungsschlüssel des Laufwerks nicht frei. Auch hier wird stattdessen die BitLocker-Wiederherstellungskonsole angezeigt und das Wiederherstellungskennwort oder der Wiederherstellungsschlüssel wird benötigt.

Configure TPM platform validation profile for native UEFI firmware configurations:

Diese Richtlinieneinstellung legt fest, welche Werte das TPM misst, wenn es die frühen Boot-Komponenten auf einem Computer mit nativen UEFI-Firmwarekonfigurationen vor dem Entsperren eines Betriebssystemlaufwerks validiert.

Das Verhalten bei Änderung der Boot-Komponenten gleicht dem Verhalten der TPM-Gruppenrichtlinie Configure TPM platform validation profile for BIOS-based firmware configurations / Configure TPM platform validation Profile (Windows Vista, Windows Server 2008/R2, Windows 7). Diese GPO bezieht sich jedoch auf Server bis 2008R2 und Clients bis Windows 7.

Configure use of hardware-based encryption for operating system drives:

Durch diese Richtlinieneinstellung kann die hardwarebasierte Verschlüsselung verwaltet und angegeben werden, welche Verschlüsselungsalgorithmen verwendet werden können. Die Verwendung hardwarebasierter Verschlüsselung kann die Leistung der Laufwerksoperationen verbessern, die häufiges Lesen oder Schreiben von Daten auf dem Laufwerk erfordern.

Configure use of passwords for operating system drives:

Mit dieser Einstellung wird gesteuert, wie Nicht-TPM-basierte Systeme den Passwortschutz nutzen. Diese Richtlinie erlaubt es die Länge und Komplexität des Kennwortes zu bestimmen, welches zum Entsperren von Betriebssystemlaufwerken verwendet wird. Standardmäßig müssen Passwörter acht Zeichen lang sein. Um eine größere Mindestlänge für das Passwort zu konfigurieren, kann die gewünschte Anzahl von Zeichen in das Feld Minimum password length for operating system drive eingetragen werden.

Wenn non-TPM-Schutzfunktionen auf Betriebssystemlaufwerken erlaubt sind, kann ein Passwort bereitgestellt, Komplexitätsanforderungen durchgesetzt und eine Mindestlänge für das Kennwort eingestellt werden. Damit die Einstellung der Komplexitätsanforderungen wirksam wird, muss die Gruppenrichtlinie Password must meet complexity requirements ebenfalls aktiviert sein. Diese befindet sich unter Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy. Wenn aktiviert, stehen bei dieser Richtlinie drei Optionen zur Wahl:

• Require password complexity: Durch diese Option wird eine Verbindung zu einem Domaincontroller erforderlich, um die Komplexität des Kennworts zu überprüfen.

• Allow password complexity: Hierbei wird versucht, mittels der Verbindung zu einem Domaincontroller zu überprüfen, ob die Komplexität den durch die Richtlinie festgelegten Regeln entspricht. Wenn keine Verbindung zu einem Domaincontroller besteht, wird das Kennwort unabhängig von der tatsächlichen Komplexität akzeptiert.

• Do not allow password complexity: Hierbei erfolgt keine Validierung der Kennwortkomplexität.

Disallow standard users from changing the PIN or password:

Diese Einstellung erlaubt die Konfiguration, so dass Standardnutzer die PIN oder das Passwort, welche zum Schutz des Betriebssystemlaufwerks verwendet werden, ändern dürfen. Um die PIN oder das Passwort zu ändern, muss der Benutzer das aktuelle Passwort oder die PIN angeben.

Enable use of BitLocker authentication requiring preboot keyboard input on slates:

Diese Richtlinie erlaubt es, Authentifizierungsoptionen zu aktivieren, die eine Benutzereingabe aus der Pre-Boot-Umgebung erfordern, selbst wenn das System einen Mangel an Pre-Boot-Eingabefähigkeit anzeigt. Die Richtlinie sollte nur für Geräte aktiviert werden, die über eine alternative Möglichkeit der Pre-Boot-Eingabe verfügen (z.B. USB-Tastatur).

Enforce drive encryption type on operating system drives:

Mit dieser Einstellung wird gesteuert, ob Betriebssystemlaufwerke die Verschlüsselung Full encryption oder Used Space Only encryption verwenden. Durch diese Richtlinie wird die Seite des BitLocker Setup Wizard mit den Verschlüsselungsoptionen übersprungen, sodass dem Nutzer keine Verschlüsselungsauswahl angezeigt wird. Mit der Option Full encryption wird die Verschlüsselung des gesamten Laufwerks erzwungen, wenn BitLocker aktiv ist. Mit der Option Used Space Only encryption wird nur der Teil des Laufwerks verschlüsselt, der belegt ist.

Require additional authentication at startup:

Die Richtlinieneinstellung legt fest, ob BitLocker bei jedem Start des Computers eine zusätzliche Authentifizierung anfordert und zudem, ob Bitlocker mit einem Trusted Platform Module (TPM) verwendet wird. Ist diese Richtlinie konfiguriert, kann der Nutzer erweiterte Startoptionen im BitLocker-Setup-Wizard einstellen. Wenn BitLocker auf einem Computer ohne TPM verwendet werden soll, muss die Option Allow BitLocker without a compatible TPM gewählt werden. Damit ist zum Starten ein Kennwort oder ein USB-Laufwerk erforderlich, auf dem der Startschlüssel hinterlegt wird, welcher zum Verschlüsseln des Laufwerks verwendet wird. Wenn das USB-Laufwerk eingesteckt wird, wird der Startschlüssel authentifiziert und das Betriebssystemlaufwerk ist zugänglich.

Bei einem Gerät, das TPM kompatibel ist, können beim Start zusätzliche Authentifizierungsmethoden verwendet werden, um den Schutz der verschlüsselten Daten zu verbessern. Hier kann zwischen mehreren Optionen gewählt werden:

• Es kann nur das TPM genutzt werden

• Die Eingabe eines USB-Laufwerks mit Startschlüssel kann verwendet werden

• Die Eingabe einer PIN kann vorausgesetzt werden

• Es kann eine Kombination aus PIN und Eingabe eines USB-Laufwerks genutzt werden

Für die vier Einstellungen für TPM-fähige Computer gibt es jeweils drei Optionen:

Configure TPM startup:

• Allow TPM

• Require TPM

• Do not allow TPM

Configure TPM startup PIN:

• Allow startup PIN with TPM

• Require startup PIN with TPM

• Do not allow startup PIN with TPM

Configure TPM startup key:

• Allow startup key with TPM

• Require startup key with TPM

• Do not allow startup key with TPM

Configure TPM startup key and PIN:

• Allow TPM startup key with PIN

• Require startup key with PIN

• Do not allow TPM startup key with PIN   

Require additional authentication at startup (WS 2008/Win Vista):

Mit dieser Richtlinie kann gesteuert werden, ob der BitLocker-Setup-Wizard, unter Windows Vista oder Windows Server 2008, eine zusätzliche Authentifizierungsmethode einrichten kann, die bei jedem Start des Computers erforderlich ist.

Auf einem TPM kompatiblen Computer können beim Start zwei Authentifizierungsmethoden verwendet werden. Entweder kann der Benutzer beim Start des Computers dazu aufgefordert werden, ein USB-Laufwerk anzuschließen, auf dem der Verschlüsselungsschlüssel hinterlegt ist, oder der Benutzer muss eine 6- bis 20-stelligen PIN eingeben. Auf nicht TPM kompatiblen Computern kann die Checkbox Allow BitLocker without a compatible TPM gewählt werden. Hier wird beim Start ein USB-Laufwerk mit Startschlüssel benötigt. Ohne TPM werden die, durch BitLocker, verschlüsselten Daten ausschließlich durch das Schlüsselmaterial auf dem entsprechenden USB-Laufwerk geschützt.

Hier stehen zwei Einstellungen, für TPM kompatible Computer, mit jeweils drei Optionen zur Verfügung:

Configure TPM startup PIN:

• Allow startup PIN with TPM,

• Require startup PIN with TPM

• Do not allow startup PIN with TPM

Configure TPM startup key:

• Allow startup key with TPM

• Require startup key with TPM

• Do not allow startup key with TPM

Diese Optionen schließen sich gegenseitig aus. Daher kann nur eine der beiden Einstellungen konfiguriert werden, andernfalls wird ein Richtlinienfehler auftreten.

Reset platform validation data after BitLocker recovery:

Hier wird festgelegt, ob die Plattformvalidierungsdaten beim Starten von Windows nach einer BitLocker-Wiederherstellung, aktualisiert werden sollen. Ist diese Richtlinie aktiviert oder nicht konfiguriert, werden die Plattformvalidierungsdaten beim Starten von Windows nach der Wiederherstellung aktualisiert.

Use enhanced Boot Configuration Data validation profile:

Diese Richtlinieneinstellung legt bestimmte Einstellungen der Boot-Konfigurationsdaten (BCD) fest, die während der Plattformvalidierung überprüft werden müssen. Bei einer Plattformvalidierung werden die Daten im Plattformvalidierungsprofil verwendet. Dieses besteht aus einem Satz von PCR-Indizes (Platform Configuration Register) im Bereich von 0 bis 23.

Festplattenverschlüsselung

Configure use of smart cards on fixed data drives:

Die Richtlinie wird für die Konfiguration von Smartcards verwendet. Sie gibt an, ob Smartcards zur Authentifizierung des Benutzerzugriffs auf die mit Bitlocker geschützten Laufwerke verwendet werden können. Um Smartcards mit Bitlocker verwenden zu können, müssen gegebenenfalls die Einstellung der Objekt-ID der Validate smart card certificate usage rule compliance angepasst werden, sodass sie der Objekt-ID der Smartcard-Zertifikate entspricht.

Deny write access to fixed drives not protected by BitLocker:

Mit dieser Richtlinie wird festgelegt, ob der BitLocker-Schutz erforderlich ist, damit Laufwerke beschrieben werden können. Wenn diese Richtlinie aktiv ist, werden alle Festplatten, die nicht mit BitLocker geschützt sind, schreibgeschützt bereitgestellt (Read only). Die durch BitLocker geschützten Datenlaufwerke werden wie gewohnt mit Lese- und Schreibzugriff bereitgestellt.

Configure use of hardware-based encryption for fixed data drives:

Durch diese Richtlinie wird die Verwendung der hardwarebasierten Verschlüsselung von Bitlocker auf Festplatten verwaltet und der Verschlüsselungsalgorithmus, den Bitlocker verwendet, angegeben. Zusätzlich kann festgelegt werden, ob BitLocker die softwarebasierte Verschlüsselung verwendet, wenn der Computer keine hardwarebasierte Verschlüsselung unterstützt. Mit der Option Restrict encryption algorithms and cipher suites allowed for hardware-based encryption kann der verwendete Verschlüsselungsalgorithmus eingeschränkt werden. Wenn der festgelegte Algorithmus nicht verfügbar ist, deaktiviert BitLocker die Verwendung von hardwarebasierter Verschlüsselung.

Enforce drive encryption type on fixed data drives:

Diese Richtlinie konfiguriert, welchen Verschlüsselungstyp BitLocker verwenden soll. Diese Richtlinie gleicht der Enforce drive encryption type on operating system drives Richtlinie, welche im vorherigen Kapitel erläutert wurde.

Allow access to BitLocker-protected fixed data drives from earlier versions of Windows:

Mit dieser Richtlinie kann eingestellt werden, ob Datenträger, die mit dem FAT-Dateisystem formatiert sind, freigeben und auf Computern unter Windows Vista und Windows XP (SP2/SP3) angezeigt werden können. Mit der Option Do not install BitLocker To Go Reader on FAT formatted fixed drives wird verhindert, dass Benutzer den BitLocker To Go-Reader auf ihren Festplatten ausführen können. Wenn diese Option nicht gewählt ist, wird der BitLocker To Go-Reader auf dem festgelegten Laufwerk installiert, damit Benutzer das Laufwerk unter Windows Vista und Windows XP (SP2/SP3) entsperren können.

Configure use of passwords for fixed data drives:

Mit dieser Einstellung kann angegeben werden, ob ein Kennwort zum Entsperren von BitLocker-geschützten Festplatten erforderlich ist. Wenn diese Richtlinie aktiviert ist, können Benutzer ein Kennwort konfigurieren, welches die eigens definierten Anforderungen erfüllt. Eine genauere Erläuterung zu den Optionen dieser Richtlinie ist im vorherigen Kapitel unter Configure use of passwords for operating system drives zu finden.

Wechseldatenträgerverschlüsselung

Allow access to BitLocker-protected removable data drives from earlier versions of Windows:

Diese Richtlinie bestimmt, ob Wechseldatenträger, die mit dem FAT-Dateisystem formatiert sind, auf Computern unter Windows Vista und Windows XP (SP2/SP3) entsperrt und angezeigt werden können. Diese Richtlinie gleicht der Richtlinie Allow access to BitLocker-protected fixed data drives from earlier versions of Windows, welche im Kapitel Verwaltung mittels GPO: Betriebssystemverschlüsselung erläutert wurde.

Choose how BitLocker-protected removable drives can be recovered:

Mit dieser Richtlinieneinstellung kann gesteuert werden, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können, wenn die erforderlichen Anmeldeinformationen fehlen. Diese Richtlinie gleicht der Choose how BitLocker-protected operating system drives can be recovered Richtlinie und hat die gleichen Optionen zur Auswahl.

Configure use of hardware-based encryption for removable data drives:

Hier kann die Verwendung der hardwarebasierten Verschlüsselung durch BitLocker auf Wechseldatenträger verwaltet und festgelegt werden. Sie gibt vor, welche Verschlüsselungsalgorithmen BitLocker bei der hardwarebasierten Verschlüsselung verwenden kann.

Configure use of passwords for removable data drives:

Diese Einstellung legt fest, ob zum Entsperren von BitLocker-geschützten Wechseldatenträger ein Kennwort erforderlich ist. Die Optionen dieser Richtlinie gleichen der Configure use of passwords for fixed data drives Richtlinie.

Configure use of smart cards on removable data drives:

Durch diese Richtlinie wird die Verwendung von Smartcards zur Authentifizierung des Benutzerzugriffs auf BitLocker-geschützte Wechseldatenträger, erfordert, zugelassen oder verweigert. Wenn diese Richtlinie konfiguriert ist, kann die Smartcard Authentifizierung verlangt werden, indem die Option Require use of smart cards on removable data drives ausgewählt wird.

Control use of BitLocker on removable drives:

Diese Einstellung kann genutzt werden, um zu verhindern, dass Benutzer BitLocker auf Wechseldatenträgern ein- oder ausschalten können. Hier stehen zwei Optionen zur Auswahl. Allow users to apply BitLocker on removable data drives ermöglicht dem Benutzer den BitLocker-Setup-Wizard auf einem Wechseldatenträger auszuführen. Die Option Allow users to suspend and decrypt BitLocker on removable data drives ermöglicht es dem Benutzer, BitLocker von dem Wechseldatenträger zu entfernen oder die Verschlüsselung, beispielsweise bei einer Wartung, zu deaktivieren.

Deny write access to removable drives not protected by BitLocker:

Mit dieser Richtlinieneinstellung wird festgelegt, dass Wechseldatenträger verschlüsselt werden müssen, bevor Schreibzugriff gewährt werden kann. Es kann zudem gesteuert werden, ob durch BitLocker-geschützte Wechseldatenträger mit Schreibzugriff, die in einer anderen Organisation konfiguriert wurden, geöffnet werden können.

Enforce drive encryption type on removable data drives:

Hier wird festgelegt, welche Verschlüsselungsmethode der Wechseldatenträger nutzt. Gleich der Enforce drive encryption type on fixed data drives Richtlinie stehen auch hier die Optionen Full encryption und Used Space Only encryption zur Verfügung.  

Choose how BitLocker-protected fixed drives can be recovered:

Hier wird festgelegt, welche Wiederherstellungsmethode für Festplatten verwendet wird. Wenn diese Richtlinie aktiviert ist, kann eine Methode gewählt werden, die Nutzer zur Wiederherstellung von Daten aus durch BitLocker geschützten Laufwerken verwenden können.

Die Richtlinie gleicht der Choose how BitLocker-protected operating system drives can be recovered Richtlinie und hat die gleichen Optionen zur Wahl, auch diese Richtlinie ist im vorherigen Kapitel zu finden.  

Sollten Sie weitere Fragen haben, können Sie uns unter support@ESCde.net oder https://www.escde.net/kontakt kontaktieren.