Teil 21a: BitLocker To Go mittels Virtual Smart Card aktivieren

BitLocker To Go mittels Virtual Smart Card aktivieren – Schritte:

  • Gruppenrichtlinien für BitLocker auf Wechseldatenträgern konfigurieren
  • Zertifikatsvorlage für virtuelle Smart Card für BitLocker konfigurieren
  • Auf CLIENT004 Zertifikat für die virtuelle Smart Card anfordern
  • USB-Wechseldatenträger mit BitLocker To Go verschlüsseln

 Gruppenrichtlinien für BitLocker auf Wechseldatenträgern (BitLocker To Go) konfigurieren

Mit den folgenden Einstellungen kann ein Kennwort und/oder eine Smart Card für die Entsperrung eines USB-Laufwerks verwendet werden. Dass es zum Thema passt, werde ich auf meine virtuelle Smart Card auf CLIENT004 (Teil 21) ein weiteres Zertifikat für die BitLocker-Laufwerksverschlüsselung installieren und diese zum Entsperren verwenden. In der Praxis macht das wenig Sinn, weil der USB-Stick nur noch auf genau diesem Rechner entsperrt werden kann (VSC am TPM).

Um Kompatibilität zu erreichen, können die Benutzer firmeneigene und fremde USB-Laufwerke lesen, aber nur auf die eigenen schreiben und auch nur dann, wenn diese mit BitLocker verschlüsselt sind (Provide the unique identifiers for your organization, Teil 6h und Teil 20). Da kann man mit den Einstellungen etwas experimentieren.

Als Grundlage für die Einstellungen verwende ich Best Practices for BitLocker in Windows 7.

  1. Als Administrator an SERVER01 anmelden
  2. Server Manager > Local Server > Tools > Group Policy Management
  3. haimann.local\Group Policy Objects erweitern
  4. Computer Standard Settings rechts anklicken und im Kontextmenü Edit… anklicken
    VIRTUAL_SMARTCARD-060 Weiterlesen

Teil 21: Die Verwendung von Virtual Smart Cards konfigurieren

Virtual Smart Card (VSC) wurde mit Windows 8 und Windows Server 2012 eingeführt. Sie bieten zu physischen Smart Cards eine vergleichbare Sicherheit (Besitz und Wissen). VSCs emulieren eine physische Smart Card, speichern das Zertifikat aber am TPM-Chip mit all seinen Sicherheitsfunktionen (Sperre bei häufigen Fehlversuchen, Anti-Hammering). Wie man die TPM-Sperre aufhebt, habe ich in Teil 20c beschrieben. Praktisch sind VSCs in Verbindung mit Tablets, die selten ein physisches Kartenlesegerät eingebaut haben (z.B. Microsoft Surface). So kann man z.B. mit DirectAccess mittels Zwei-Faktor-Authentifizierung auf Unternehmensressouren zugreifen.

Voraussetzungen:

  • mind. Windows Server 2012, mind. Windows 8
  • TPM Version 1.2 und Version 2.0; eingeschaltet und aktiviert, Besitz übernommen; darf nicht gesperrt sein
  • max. 10 VSCs pro Device
  • max. 30 Zertifikate pro VSC
  • Public Key Infrastructure
  • BitLocker Network Unlock Feature installiert (Teil 20d)

Die Verwendung von Virtual Smart Cards konfigurieren – Schritte:

  • Zertifikatsvorlage für die Windows-Anmeldung mit Smart Card konfigurieren
  • Auf CLIENT004 eine virtuelle Smart Card erzeugen
  • Zertifikat anfordern
  • Die virtuelle Smart Card verwenden

Zertifikatsvorlage für die Windows-Anmeldung mit Smart Card konfigurieren

  1. Als Administrator an SERVER01 anmelden
  2. Server Manager > Local Server > Tools > Certification Authority
  3. Haimann Root CA erweitern
  4. Certificate Templates rechts anklicken und im Kontextmenü Manage anklicken
    VIRTUAL_SMARTCARD-001
  5. Im Detailbereich die Zertifikatsvorlage Smartcard Logon rechts anklicken und im Kontextmenü Duplicate Template anklicken
    VIRTUAL_SMARTCARD-002 Weiterlesen