Teil 5f: Einen Datenwiederherstellungs-Agent für BitLocker konfigurieren

Veröffentlicht am von

Meine Clients sollen später mit BitLocker verschlüsselt werden. Als Schlüsselschutzvorrichtung verwende ich TPM+PIN, ein nummerisches Kennwort und den Datenwiederherstellungs-Agent für BitLocker (zertifikatbasiert). Dazu später mehr.

  • Mit TPM+PIN startet der Benutzer den Rechner
  • Das nummerische Kennwort wird verwendet, wenn der PIN vergessen wurde oder sich die Startumgebung des Rechners verändert hat z.B. die Bootreihenfolge
  • Der BitLocker-DRA wird zum Entschlüsseln der Festplatte durch den Administrator auf einem anderen PC verwendet, wenn z.B. die Hardware defekt wurde und Windows nicht mehr gestartet werden kann

Das BitLocker Drive Encryption-Feature auf APP1 installieren

Damit unter den Application Policies der Zertifikatsvorlagen die Optionen BitLocker Data Recovery Agent und BitLocker Drive Encryption zur Verfügung stehen, muss das BitLocker Drive Encryption-Feature installiert werden.

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Manage > Add Roles and Features
  3. Add Roles and Features Wizard:
    1. Before You Begin > Next
    2. Installation Type: Role-based or feature-based installation > Next
    3. Server Selection: APP1.intern.einfaches-netzwerk.at > Next
    4. Server Roles: Next
    5. Features: BitLocker Drive Encryption > Add Features > Next
      BitLocker_DRA-001
    6. Confirmation: Install > Close
  4. APP1 neu starten

Die Zertifikatsvorlage für den Datenwiederherstellungs-Agent für BitLocker erstellen und konfigurieren

  1. Server Manager > Tools > Certification Authority
  2. Einfaches-Netzwerk SubCA erweitern
  3. Den Ordner Certificate Templates rechts anklicken > Manage
  4. Das Template Key Recovery Agent rechts anklicken > Duplicate Template
  5. Properties of New Template:
    1. Reiter General:
      1. Template display name: CUSTOM – BitLocker Key Recovery Agent
      2. Validity period: 5 years
        BitLocker_DRA-002
    2. Reiter Extensions:
      1. Application Policies markieren > Edit…
      2. Add…
      3. BitLocker Data Recovery Agent und BitLocker Drive Encryption makieren > OK
        BitLocker_DRA-003
      4. OK
        BitLocker_DRA-004 
    3. Reiter Issuance Requirements:
      1. CA certificate manager approval deaktivieren
        BitLocker_DRA-005
    4. Fenster mit OK schließen
      BitLocker_DRA-006
  6. Certificate Templates-Konsole schließen
  7. In der Certification Authority-Konsole Certificate Templates rechts anklicken > New > Certificate Template to Issue
  8. In der Liste CUSTOM – BitLocker Key Recovery Agent auswählen > OK
    BitLocker_DRA-007
  9. Alle Fenster schließen
    BitLocker_DRA-008

Das Zertifikat für den Datenwiederherstellungs-Agent für BitLocker anfordern und exportieren

  1. MMC (Admin) starten
  2. Das Snap-in Certificates für My user account importieren
  3. Den Ordner Personal rechts anklicken > All Tasks > Request New Certificate…
  4. Certificate Enrollment
    1. Before You Begin: Next
    2. Select Certificate Enrollment Policy > Next
    3. Request Certificates: CUSTOM – BitLocker Key Recovery Agent > Enroll
      BitLocker_DRA-009
    4. Results > Finish
      BitLocker_DRA-010
  5. Das Zertifikat rechts anklicken > All Tasks > Export…
    BitLocker_DRA-011
  6. Certificate Export Wizard
    1. Welcome… > Next
    2. Export Private Key: No, do not export the private key > Next
    3. Export File Format: CER > Next
    4. File to Export: C:\Temp\Einfaches-Netzwerk BitLocker-DRA.cer > Next
      BitLocker_DRA-012
    5. Next > Finish
  7. Das Zertifikat rechts anklicken > All Tasks > Export…
  8. Certificate Export Wizard
    1. Welcome… > Next
    2. Export Private Key: Yes, export the private key > Next
      BitLocker_DRA-013
    3. Export File Format: Personal Information Exchange – PKCS #12 (.PFX) > Next
    4. Security: Passwort Password1 > Next
      BitLocker_DRA-014
    5. File to Export: C:\Temp\Einfaches-Netzwerk BitLocker-DRA.pfx > Next
      BitLocker_DRA-015
    6. Finish
  9. Alle Fenster schließen

Das DRA-Zertifikat mittels Gruppenrichtlinen verteilen

  1. Server Manager > Tools > Group Policy Management
  2. Forest\Domains\intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  3. Das GPO CUSTOM Client Standard Settings rechts anklicken> Edit…
  4. Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
  5. Den Ordner BitLocker Drive Encryption rechts anklicken > Add Data Recovery Agent…
    BitLocker_DRA-016
  6. Add Recovery Agent Wizard
    1. Welcome…  > Next
    2. Select Recovery Agents: Browse Folders… > C:\Temp\Einfaches-Netzwerk BitLocker-DRA.cer > Next
      BitLocker_DRA-017
    3. Finish
      BitLocker_DRA-018
  7. Alle Fenster schließen
    BitLocker_DRA-019

Damit der Datenwiederherstellungs-Agent für BitLocker verwendet werden kann, muss mittels Gruppenrichtlinien der unique identifier for your organization konfiguriert werden. Dazu später mehr.

Weitere Informationen

CC BY-NC-SA 4.0 Teil 5f: Einen Datenwiederherstellungs-Agent für BitLocker konfigurieren von Dietmar Haimann ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.