Teil 21a: BitLocker To Go mittels Virtual Smart Card aktivieren

Veröffentlicht am von

BitLocker To Go mittels Virtual Smart Card aktivieren – Schritte:

  • Gruppenrichtlinien für BitLocker auf Wechseldatenträgern konfigurieren
  • Zertifikatsvorlage für virtuelle Smart Card für BitLocker konfigurieren
  • Auf CLIENT004 Zertifikat für die virtuelle Smart Card anfordern
  • USB-Wechseldatenträger mit BitLocker To Go verschlüsseln

 Gruppenrichtlinien für BitLocker auf Wechseldatenträgern (BitLocker To Go) konfigurieren

Mit den folgenden Einstellungen kann ein Kennwort und/oder eine Smart Card für die Entsperrung eines USB-Laufwerks verwendet werden. Dass es zum Thema passt, werde ich auf meine virtuelle Smart Card auf CLIENT004 (Teil 21) ein weiteres Zertifikat für die BitLocker-Laufwerksverschlüsselung installieren und diese zum Entsperren verwenden. In der Praxis macht das wenig Sinn, weil der USB-Stick nur noch auf genau diesem Rechner entsperrt werden kann (VSC am TPM).

Um Kompatibilität zu erreichen, können die Benutzer firmeneigene und fremde USB-Laufwerke lesen, aber nur auf die eigenen schreiben und auch nur dann, wenn diese mit BitLocker verschlüsselt sind (Provide the unique identifiers for your organization, Teil 6h und Teil 20). Da kann man mit den Einstellungen etwas experimentieren.

Als Grundlage für die Einstellungen verwende ich Best Practices for BitLocker in Windows 7.

  1. Als Administrator an SERVER01 anmelden
  2. Server Manager > Local Server > Tools > Group Policy Management
  3. haimann.local\Group Policy Objects erweitern
  4. Computer Standard Settings rechts anklicken und im Kontextmenü Edit… anklicken
    VIRTUAL_SMARTCARD-060
  5. Computer Configuration\Policies\Administrative Templates\Windows Components\BitLocker Drive Encryption erweitern
  6. Removable Data Drives anklicken
  7. Folgende Gruppenrichtlinieneinstellungen konfigurieren
    1. Choose how BitLocker-protected removeable drives can be recovered
      VIRTUAL_SMARTCARD-061
    2. Configure use of passwords for removable data drives
      VIRTUAL_SMARTCARD-062
    3. Configure use of smart cards on removable data drives
      VIRTUAL_SMARTCARD-063
    4. Control use of BitLocker on removable drives
      VIRTUAL_SMARTCARD-064
    5. Deny write access to removable drives not protected by BitLocker
      VIRTUAL_SMARTCARD-065
  8. Group Policy Management Editor schließen
    VIRTUAL_SMARTCARD-066
  9. Group Policy Management schließen

 Zertifikatsvorlage für virtuelle Smart Card für BitLocker konfigurieren

  1. Auf SERVER01 > Server Manager > Local Server > Tools > Certification Authority
  2. Haimann Root CA erweitern
  3. Certificate Templates rechts anklicken und im Kontextmenü Manage anklicken
    VIRTUAL_SMARTCARD-001
  4. Im Detailbereich die Zertifikatsvorlage Smartcard User rechts anklicken und im Kontextmenü Duplicate Template anklicken
    VIRTUAL_SMARTCARD-023
  5. Properties of New Template
    1. Reiter General
      1. Template display name: Haimann Virtual Smart Card for BitLocker
      2. Validity Period: 5 years
        VIRTUAL_SMARTCARD-024
    2. Reiter Request Handling
      1. Purpose: Encryption
        VIRTUAL_SMARTCARD-025
    3. Reiter Cryptography
      1. Minimum key size: 2048
      2. Requests must use one of the following providers
        1. Microsoft Base Smart Card Crypto Provider
          VIRTUAL_SMARTCARD-026
    4. Reiter Extensions
      1. Application Policies > Edit…
      2. Edit Application Policies Extensions
        1. Alle Einträge markieren > Remove
          VIRTUAL_SMARTCARD-027
        2. Add…
        3. Add Application Policy
          1. BitLocker Drive Encryption > OK
            VIRTUAL_SMARTCARD-028
        4. OK
          VIRTUAL_SMARTCARD-029
      3. Key Usage > Edit…
      4. Edit Key Usage Extension
        1. Allow key exchange only with key encryption (key encipherment)
        2. Make this extension critical > OK
          VIRTUAL_SMARTCARD-030
    5. Reiter Subject Name
      1. Subject name format: Fully distinguished name
      2. Include this information in alternate subject name:
        1. User principal name
          VIRTUAL_SMARTCARD-031
    6. Reiter Security
      1. Authenticated Users
      2. Allow > Read, Enroll > OK
        VIRTUAL_SMARTCARD-032
  6. Certificate Templates Console schließen
    VIRTUAL_SMARTCARD-033
  7. In der Certification Authority-Konsole Certificate Templates rechts anklicken und im Kontextmenü New > Certificate Template to Issue anklicken
    VIRTUAL_SMARTCARD-008
  8. Enable Certificate Template
    1. Haimann Virtual Smart Card for BitLocker > OK
      VIRTUAL_SMARTCARD-035
  9. Alle Fenster schließen
    VIRTUAL_SMARTCARD-036
  10. Administrator von SERVER01 abmelden

Auf CLIENT004 Zertifikat für die virtuelle Smart Card anfordern

  1. Als Markus an CLIENT004 anmelden
  2. Start > Suche: MMC
  3. Das Zertifikate-Snap-In für Aktueller Benutzer hinzufügen
    VIRTUAL_SMARTCARD-012
  4. Zertifikate – Aktueller Benutzer erweitern
  5. Eigene Zertifikate rechts anklicken und im Kontextmenü Alle Aufgaben > Neues Zertifikat anfordern… anklicken
    VIRTUAL_SMARTCARD-013
  6. Zertifikatsregistrierung
    1. Vorbereitung > Weiter
      VIRTUAL_SMARTCARD-014
    2. Zertifikatregistrierungsrichtlinie auswählen > Weiter
      VIRTUAL_SMARTCARD-015
    3. Zertifikate anfordern: Haimann Virtual Smart Card for BitLocker > Registrieren
      VIRTUAL_SMARTCARD-037
    4. Windows-Sicherheit
      1. PIN: 11223344 > OK
        VIRTUAL_SMARTCARD-039
    5. Zertifikatsinstallationsergebnisse > Fertig stellen
      VIRTUAL_SMARTCARD-040
  7. MMC schließen
    VIRTUAL_SMARTCARD-041

USB-Wechseldatenträger mit BitLocker To Go verschlüsseln

  1. Windows Explorer starten
  2. USB-Wechseldatenträger anschließen
  3. Laufwerk rechts anklicken und im Kontextmenü BitLocker aktivieren anklicken
    VIRTUAL_SMARTCARD-042
  4. BitLocker-Laufwerkverschlüsselung
    1. Methode zum Entsperren des Laufwerks auswählen
      1. Smartcard zum Entsperren des Laufwerks verwenden > Weiter
        VIRTUAL_SMARTCARD-043
    2. Auswählen, wieviel Speicherplatz des Laufwerks verschlüsselt werden soll
      1. Nur verwendeten Speicherplatz verschlüsseln > Weiter
        VIRTUAL_SMARTCARD-044
    3. Möchten Sie das Laufwerk jetzt verschlüsseln? > Verschlüsselung starten
      VIRTUAL_SMARTCARD-045
    4. Verschlüsselung…
      VIRTUAL_SMARTCARD-046
  5. Nach nur wenigen Augenblicken…
    VIRTUAL_SMARTCARD-047
  6. Laufwerk trennen und wieder anschließen
  7. BitLocker (D:)
    1. Smartcard verwenden
      VIRTUAL_SMARTCARD-048
  8. Smartcard
    1. PIN: 11223344 > OK
      VIRTUAL_SMARTCARD-049
  9. Das Laufwerk wurde entsperrt
    VIRTUAL_SMARTCARD-050
  10. Alle Fenster schließen
  11. Eingabeaufforderung (Administrator) starten
  12. Mit folgendem Befehl den Status der BitLocker-Verschlüsselung ermitteln 
    manage-bde -status d:
  13. Status der BitLocker-Verschlüsselung (Schlüsselschutzvorrichtung Smartcard im Vergleich zu TPM und PIN beachten)
    VIRTUAL_SMARTCARD-051
  14. Mit folgendem Befehl Details zu den Schlüsselschutzvorrichtungen von Laufwerk D: ermitteln 
    manage-bde -protectors -get d:
  15. Details zu den Schlüsselschutzvorrichtungen
    VIRTUAL_SMARTCARD-052
  16. Das BitLocker-Wiederherstellungskennwort in Active Directory (Teil 20a), sollte jemand seine PIN vergessen
    VIRTUAL_SMARTCARD-053

Genauso funktioniert BitLocker To Go bei Verwendung eines Passworts für die Entsperrung (bis auf die Zertifikatsvorlage und das Anfordern des Zertifikats, das fällt zur Gänze weg). Wenn keine Smart Card zum Entsperren verwendet werden darf,  kann in den Gruppenrichtlinieneinstellungen Configure use of passwords for removable data drives das Häkchen Require password for removable data drive aktiviert werden und Configure use of smart cards on removable data drives wird Disabled.

2 Gedanken zu „Teil 21a: BitLocker To Go mittels Virtual Smart Card aktivieren

  1. Genialer Artikel Dietmar!

    Ich bin auch immer wieder mit Kunden im Gespräch die gerne den BitLocker mit eine 2FA nutzen möchten, aber den Aufwand einer vollständigen CA Installation scheuen. Duschen ohne Nass werden wäre der Wunsch, aber mit Deiner Step-by-Step Anleitung müssten selbst hartgesottene Security-Verweigerer ihre CA Templates korrekt konfigurieren und Zertifikate verteilen können.
    Besonders gut finde ich auch, dass Du dem BitLocker Zertifikat ein eigenes Template erstellt hast und nicht so wie ich es bei anderen Installationen schon gesehen habe ein Multi-Funktions-Template nutzt, dass möglichst alle Funktionen wie Auth, Email-Security für S/MIME, digitale Signatur und Verschlüsselung abdecken soll.

    Problematisch bei der virtuellen Smartcard sehe ich nur, dass man die virtuelle Smartcard ja nicht auf mehreren PCs nutzen kann, da sie ja über den TPM eines einzelnen Gerätes geschützt ist. Der BitLocker to Go den USB-Stick aber mit einem definierten Zertifikat das in einer vSmartcard liegt schützen wird. Was ist Dein Vorschlag für einen Benutzer der mehrere PCs (so wie ich 2 Notebooks) mit den selben BitLocker to Go Devices über Zertifikate nutzen möchte?

    Sichere Grüße, Andreas

    Kommentiere

    • Hallo! Vielen Dank für’s Lesen und das positive Feedback! Leider habe ich dieses Szenario noch nicht probiert. Man kann aber mit „manage-bde -protectors d: -add -certificate“ eine zusätzliche Schlüsselschutzvorrichtung hinzufügen. Da würde ich das Zertifikat der zweiten vSC hinzufügen. Kann das aber jetzt leider nicht probieren. Kannst du mir bitte Bescheid geben, ob das funktioniert hat? Vielen Dank im Voraus!

      Dietmar

      Kommentiere

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert