Teil 20b: Mit dem BitLocker-DRA ein Volume entschlüsseln

In Teil 6h habe ich einen Datenwiederherstellungs-Agenten für BitLocker konfiguriert. Dabei handelt es sich um ein Zertifikat, welches mittels Gruppenrichtlinien zu den Schlüsselschutzvorrichtungen von BitLocker hinzugefügt wird. Dieses Zertifikat habe ich mit Passwort als .pfx-Datei exportiert und auf CD in zweifacher Ausführung in den Safe gelegt. Mit diesem Zertifikat kann jedes im Unternehmen mit BitLocker verschlüsselte Volume entsperrt werden, sollte also nicht in falsche Hände geraten. Damit die Verwendung des BitLocker-DRA funktioniert, muss die Gruppenrichtlinieneinstellung Provide the unique identifiers for your organization konfiguriert sein (Teil 6h und Teil 20).

Mit dem BitLocker-DRA ein Volume entschlüsseln – Schritte:

  • Entschlüsselung eines Volumes mit Hilfe des  Datenwiederherstellungs-Agenten für BitLocker

Entschlüsselung eines Volumes mit Hilfe des  Datenwiederherstellungs-Agenten für BitLocker

  1. Festplatte aus Client003 aus- und in einen USB-Wechselrahmen einbauen
  2. Als Administrator an SERVER02 anmelden
  3. USB-Festplatte anschließen
    BITLOCKER_RECOVERY-007
  4. Zertifikat Haimann_BitLocker_DRA.pfx nach D:\Sourcen kopieren
  5. MMC als Administrator starten
  6. Mit Strg+m Add or Remove Snap-ins starten
  7. Unter Available snap-ins Certificates markieren > Add >
  8. Certificates snap-in
    1. My user account > Finish
      BITLOCKER_RECOVERY-008
  9. OK
    BITLOCKER_RECOVERY-009
  10. Den Ordner Personal rechts anklicken und im Kontextmenü All Tasks > Import… anklicken
    BITLOCKER_RECOVERY-010
  11. Certificate Import Wizard
    1. Welcome… > Next
      BITLOCKER_RECOVERY-011
    2. File to Import: D:\Sourcen\Haimann_BitLocker_DRA.pfx > Next
      BITLOCKER_RECOVERY-012
    3. Private key protection
      1. Password: Password1 > Next
        BITLOCKER_RECOVERY-013
    4. Certificate store: Personal > Next
      BITLOCKER_RECOVERY-014
    5. Completing the Certificate Import Wizard > Finish
      BITLOCKER_RECOVERY-015
      BITLOCKER_RECOVERY-016
  12. Das importierte Zertifikat rechts anklicken und im Kontextmenü Open anklicken
  13. Auf den Reiter Details wechseln
  14. Das Feld Thumbprint anklicken
  15. Den Fingerabdruck markieren und kopieren (wirklich erst ab der ersten Zahl markieren, sonst ist in der Command Promp ein führendes Fragezeichen)
    BITLOCKER_RECOVERY-023
  16. Command Promp (Admin) starten
  17. Mit folgendem Befehl das Volume mit dem BitLocker-DRA entsperren
    manage-bde -unlock i: -cert -ct "46 4f 75 9b f9 67 7a d2 44 d0 7b 64 61 63 16 80 df dc 0b a2"
  18. Das Volume wurde erfolgreich entsperrt
    BITLOCKER_RECOVERY-018
    BITLOCKER_RECOVERY-019
  19. Mit folgendem Befehl das Volume entschlüsseln
    manage-bde -off i:
  20. Das Volume wird entschlüsselt
    BITLOCKER_RECOVERY-020
  21. Mit folgendem Befehl den Status der Entschlüsselung feststellen
    manage-bde -status i:
  22. Status der Entschlüsselung
    BITLOCKER_RECOVERY-021
  23. Nach einer Weile… Das Volume ist fertig entschlüsselt
    BITLOCKER_RECOVERY-024 BITLOCKER_RECOVERY-025
  24. USB-Laufwerk trennen
  25. Festplatte wieder in Client003 einbauen
  26. Client003 booten > Keine BitLocker-Eingabe
  27. Zertifikate von SERVER02 löschen und CD wieder in den Safe legen

CC BY-NC-SA 4.0 Teil 20b: Mit dem BitLocker-DRA ein Volume entschlüsseln von Dietmar Haimann ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.