Teil 20: BitLocker mit MDT aktivieren

Als Client003 verwende ich mein HP EliteBook 8560p. Am Ende des Windows Deployments soll das Notebook mit BitLocker verschlüsselt sein. Als Grundlage für die Einstellungen verwende ich den Microsoft Technet-Artikel Best Practices for BitLocker in Windows 7. Die größte Herausforderung dabei ist die Aktivierung des TPM-Chips im BIOS ohne Benutzereingaben.

BitLocker mit MDT aktivieren – Schritte:

  • HP Software herunterladen und konfigurieren
  • Active Directory zum Speichern der TPM Ownership-Informationen vorbereiten
  • BitLocker Drive Encryption-Features installieren
  • Gruppenrichtlinien für BitLocker konfigurieren
  • Anwendungen in MDT zur OSD Prod Share hinzufügen
  • Task Sequence konfigurieren
  • CustomSettings.ini anpassen
  • Notebook mit BitLocker aufsetzen

HP Software herunterladen und konfigurieren

  1. Als Administrator an Client003 anmelden
  2. HPQPswd Anwendung (sp61312.exe) von ftp://ftp.hp.com/pub/softpaq/sp61001-61500/sp61312.exe nach C:\Sourcen herunterladen und mit 7-Zip entpacken
  3. BIOS Configuration Utility (sp65619.exe) von http://ftp.hp.com/pub/softpaq/sp65501-66000/sp65619.exe nach C:\Sourcen herunterladen und mit 7-Zip entpacken
    BITLOCKER_PREP-001
  4. In den Ordner C:\Sourcen\sp65619 wechseln
  5. Setup.exe doppelklicken Weiterlesen

Teil 5f: Einen Datenwiederherstellungs-Agent für BitLocker konfigurieren

Inhaltsverzeichnis

Meine Clients sollen später mit BitLocker verschlüsselt werden. Als Schlüsselschutzvorrichtung verwende ich TPM+PIN, ein nummerisches Kennwort und den Datenwiederherstellungs-Agent für BitLocker (zertifikatbasiert). Dazu später mehr.

  • Mit TPM+PIN startet der Benutzer den Rechner
  • Das nummerische Kennwort wird verwendet, wenn der PIN vergessen wurde oder sich die Startumgebung des Rechners verändert hat z.B. die Bootreihenfolge
  • Der BitLocker-DRA wird zum Entschlüsseln der Festplatte durch den Administrator auf einem anderen PC verwendet, wenn z.B. die Hardware defekt wurde und Windows nicht mehr gestartet werden kann

Das BitLocker Drive Encryption-Feature auf APP1 installieren

Damit unter den Application Policies der Zertifikatsvorlagen die Optionen BitLocker Data Recovery Agent und BitLocker Drive Encryption zur Verfügung stehen, muss das BitLocker Drive Encryption-Feature installiert werden.

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Manage > Add Roles and Features
  3. Add Roles and Features Wizard:
    1. Before You Begin > Next
    2. Installation Type: Role-based or feature-based installation > Next
    3. Server Selection: APP1.intern.einfaches-netzwerk.at > Next
    4. Server Roles: Next
    5. Features: BitLocker Drive Encryption > Add Features > Next
      BitLocker_DRA-001
    6. Confirmation: Install > Close
  4. APP1 neu starten

Die Zertifikatsvorlage für den Datenwiederherstellungs-Agent für BitLocker erstellen und konfigurieren

  1. Server Manager > Tools > Certification Authority
  2. Einfaches-Netzwerk SubCA erweitern
  3. Den Ordner Certificate Templates rechts anklicken > Manage
  4. Das Template Key Recovery Agent rechts anklicken > Duplicate Template
  5. Properties of New Template:
    1. Reiter General:
      1. Template display name: CUSTOM – BitLocker Key Recovery Agent
      2. Validity period: 5 years
        BitLocker_DRA-002
    2. Reiter Extensions:
      1. Application Policies markieren > Edit…
      2. Add…
      3. BitLocker Data Recovery Agent und BitLocker Drive Encryption makieren > OK
        BitLocker_DRA-003
      4. OK
        BitLocker_DRA-004 
    3. Reiter Issuance Requirements:
      1. CA certificate manager approval deaktivieren
        BitLocker_DRA-005
    4. Fenster mit OK schließen
      BitLocker_DRA-006
  6. Certificate Templates-Konsole schließen
  7. In der Certification Authority-Konsole Certificate Templates rechts anklicken > New > Certificate Template to Issue
  8. In der Liste CUSTOM – BitLocker Key Recovery Agent auswählen > OK
    BitLocker_DRA-007
  9. Alle Fenster schließen
    BitLocker_DRA-008

Das Zertifikat für den Datenwiederherstellungs-Agent für BitLocker anfordern und exportieren

  1. MMC (Admin) starten
  2. Das Snap-in Certificates für My user account importieren
  3. Den Ordner Personal rechts anklicken > All Tasks > Request New Certificate…
  4. Certificate Enrollment
    1. Before You Begin: Next
    2. Select Certificate Enrollment Policy > Next
    3. Request Certificates: CUSTOM – BitLocker Key Recovery Agent > Enroll
      BitLocker_DRA-009
    4. Results > Finish
      BitLocker_DRA-010
  5. Das Zertifikat rechts anklicken > All Tasks > Export…
    BitLocker_DRA-011
  6. Certificate Export Wizard
    1. Welcome… > Next
    2. Export Private Key: No, do not export the private key > Next
    3. Export File Format: CER > Next
    4. File to Export: C:\Temp\Einfaches-Netzwerk BitLocker-DRA.cer > Next
      BitLocker_DRA-012
    5. Next > Finish
  7. Das Zertifikat rechts anklicken > All Tasks > Export…
  8. Certificate Export Wizard
    1. Welcome… > Next
    2. Export Private Key: Yes, export the private key > Next
      BitLocker_DRA-013
    3. Export File Format: Personal Information Exchange – PKCS #12 (.PFX) > Next
    4. Security: Passwort Password1 > Next
      BitLocker_DRA-014
    5. File to Export: C:\Temp\Einfaches-Netzwerk BitLocker-DRA.pfx > Next
      BitLocker_DRA-015
    6. Finish
  9. Alle Fenster schließen

Das DRA-Zertifikat mittels Gruppenrichtlinen verteilen

  1. Server Manager > Tools > Group Policy Management
  2. Forest\Domains\intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  3. Das GPO CUSTOM Client Standard Settings rechts anklicken> Edit…
  4. Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
  5. Den Ordner BitLocker Drive Encryption rechts anklicken > Add Data Recovery Agent…
    BitLocker_DRA-016
  6. Add Recovery Agent Wizard
    1. Welcome…  > Next
    2. Select Recovery Agents: Browse Folders… > C:\Temp\Einfaches-Netzwerk BitLocker-DRA.cer > Next
      BitLocker_DRA-017
    3. Finish
      BitLocker_DRA-018
  7. Alle Fenster schließen
    BitLocker_DRA-019

Damit der Datenwiederherstellungs-Agent für BitLocker verwendet werden kann, muss mittels Gruppenrichtlinien der unique identifier for your organization konfiguriert werden. Dazu später mehr.

Weitere Informationen