Mit Gruppenrichtlinien (GPO) lässt sich BitLocker so konfigurieren, dass die Wiederherstellungsschlüssel in den Computerobjekten des Active Directory gespeichert werden. Es ermöglicht die einfache und zentrale Verwaltung der Schlüssel ohne Drittanbieter-Software.
Anforderungen an das Active Directory
Die Speicherung des Wiederherstellungsschlüssels im Active Directory benötigt eine Erweiterung des AD-Schemas. Es bringt fünf zusätzliche Attribute zum speichern der Wiederherstellungsschlüssel mit.
In der Schemaversion von Windows Server 2012 und höher ist die Funktion bereits standardmäßig enthalten. In Version 2008 ist eine zusätzliche Konfiguration erforderlich.
Mit folgenden Befehl, kann das AD-Schema erweitert werden:
Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools
War die Erweiterung erfolgreich, kann das aktuelle AD-Schema auf die notwendigen Attribute überprüft werden.
Get-ADObject -SearchBase ((GET-ADRootDSE).SchemaNamingContext) -Filter {Name -like 'ms-FVE-*'}
Es sollten die folgenden fünf Attribute ausgegeben werden:
- ms-FVE-KeyPackage
- ms-FVE-RecoveryGuid
- ms-FVE-RecoveryInformation
- ms-FVE-RecoveryPassword
- ms-FVE-VolumeGuid
Konfiguration der Gruppenrichtlinie
Erstellen Sie mithilfe des Gruppenrichtlinien-Editor eine neue Gruppenrichtlinie und verknüpfen diese mit der Organisationseinheit, welche die Computerobjekte enthält, die das Wiederherstellungskennwort in AD speichern sollen. Wechseln Sie in der Gruppenrichtlinie in den Menüpunkt:
Computerkonfiguration -> Administrative Vorlage-> Windows-Komponenten-> Bitlocker-Laufwerksverschlüsselung
und bearbeiten die Richtlinie „BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichen“.
Aktivieren Sie die Richtlinie und konfigurieren Sie diese wie folgt:
Je nachdem welche Laufwerke Sie verschlüsseln möchten, können sie unter dem Abschnitt „BitLocker-Laufwerksverschlüsselung“ folgende Typen von Laufwerken auswählen:
- Festplattenlaufwerke
- Betriebssystemlaufwerke
- Wechseldatenträger
In diesem Beispiel konfiguriere ich die Gruppenrichtlinie „Zusätzliche Authentifizierung beim Start anfordern“ für Betriebssystemlaufwerke unter folgenden Menüpunkt:
Computerkonfiguration -> Administrative Vorlage-> Windows-Komponenten-> Bitlocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke
Hinweis: Sollte mindestens einer der Computer, die Sie verschlüsseln über kein TPM-Modul besitzen, muss die Option „BitLocker ohne kompatibles TPM zulassen“ gesetzt werden.
Als letztes müssen Sie festlegen, wie die verschlüsselten Betriebssystemlaufwerke wiederhergestellt werden können. Hier muss die Richtlinie „Festlegen wie Bitlocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können“ wie folgt aktiviert und konfiguriert werden:
Achtung! Die Wiederherstellungsschlüssel werden nur im Active Directory gespeichert, wenn die Richtlinie vor der Verschlüsselung aktiviert wurde. Wenn der Computer bereits Verschlüsselt wurde, können Sie mit dem Tool „manage-bde“ das speichern der Informationen im Active Directory nachträglich erzwingen.
Finden des BitLocker Wiederherstellungsschlüssels im Active Directory
Die Informationen zu den verfügbaren Wiederherstellungsschlüsseln finden Sie für jedes Computerobjekt in der Registerkarte „BitLocker Wiederherstellung„.
Alternativ können Sie auch das Tool „BitLocker Recovery Viewer“ zur Suche nach den Wiederherstellungsschlüsseln nutzen, welches in den Remoteserver-Verwaltungstools (RSAT) enthalten ist.