BitLocker-Key im Active Directory speichern

Festlegen wie Bitlocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können

Mit Gruppenrichtlinien (GPO) lässt sich BitLocker so konfigurieren, dass die Wiederherstellungsschlüssel in den Computerobjekten des Active Directory gespeichert werden. Es ermöglicht die einfache und zentrale Verwaltung der Schlüssel ohne Drittanbieter-Software.

Anforderungen an das Active Directory

Die Speicherung des Wiederherstellungsschlüssels im Active Directory benötigt eine Erweiterung des AD-Schemas. Es bringt fünf zusätzliche Attribute zum speichern der Wiederherstellungsschlüssel mit.

In der Schemaversion von Windows Server 2012 und höher ist die Funktion bereits standardmäßig enthalten. In Version 2008 ist eine zusätzliche Konfiguration erforderlich.

Mit folgenden Befehl, kann das AD-Schema erweitert werden:

Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools

War die Erweiterung erfolgreich, kann das aktuelle AD-Schema auf die notwendigen Attribute überprüft werden.

Get-ADObject -SearchBase ((GET-ADRootDSE).SchemaNamingContext) -Filter {Name -like 'ms-FVE-*'}

Es sollten die folgenden fünf Attribute ausgegeben werden:

  • ms-FVE-KeyPackage
  • ms-FVE-RecoveryGuid
  • ms-FVE-RecoveryInformation
  • ms-FVE-RecoveryPassword
  • ms-FVE-VolumeGuid

Konfiguration der Gruppenrichtlinie

Erstellen Sie mithilfe des Gruppenrichtlinien-Editor eine neue Gruppenrichtlinie und verknüpfen diese mit der Organisationseinheit, welche die Computerobjekte enthält, die das Wiederherstellungskennwort in AD speichern sollen. Wechseln Sie in der Gruppenrichtlinie in den Menüpunkt:

Computerkonfiguration -> Administrative Vorlage-> Windows-Komponenten-> Bitlocker-Laufwerksverschlüsselung

und bearbeiten die Richtlinie „BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichen“.

Aktivieren Sie die Richtlinie und konfigurieren Sie diese wie folgt:

BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichen
BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichen

Je nachdem welche Laufwerke Sie verschlüsseln möchten, können sie unter dem Abschnitt „BitLocker-Laufwerksverschlüsselung“ folgende Typen von Laufwerken auswählen:

  • Festplattenlaufwerke
  • Betriebssystemlaufwerke
  • Wechseldatenträger

In diesem Beispiel konfiguriere ich die Gruppenrichtlinie „Zusätzliche Authentifizierung beim Start anfordern“ für Betriebssystemlaufwerke unter folgenden Menüpunkt:

Computerkonfiguration -> Administrative Vorlage-> Windows-Komponenten-> Bitlocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke

Zusätzliche Authentifizierung beim Start anfordern
Zusätzliche Authentifizierung beim Start anfordern

Hinweis: Sollte mindestens einer der Computer, die Sie verschlüsseln über kein TPM-Modul besitzen, muss die Option „BitLocker ohne kompatibles TPM zulassen“ gesetzt werden.

Als letztes müssen Sie festlegen, wie die verschlüsselten Betriebssystemlaufwerke wiederhergestellt werden können. Hier muss die Richtlinie „Festlegen wie Bitlocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können“ wie folgt aktiviert und konfiguriert werden:

Festlegen wie Bitlocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können
Festlegen wie Bitlocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können

Achtung! Die Wiederherstellungsschlüssel werden nur im Active Directory gespeichert, wenn die Richtlinie vor der Verschlüsselung aktiviert wurde. Wenn der Computer bereits Verschlüsselt wurde, können Sie mit dem Tool „manage-bde“ das speichern der Informationen im Active Directory nachträglich erzwingen.

Finden des BitLocker Wiederherstellungsschlüssels im Active Directory

Die Informationen zu den verfügbaren Wiederherstellungsschlüsseln finden Sie für jedes Computerobjekt in der Registerkarte „BitLocker Wiederherstellung„.

BitLocker-Schlüssel anzeigen
BitLocker-Schlüssel anzeigen

Alternativ können Sie auch das Tool „BitLocker Recovery Viewer“ zur Suche nach den Wiederherstellungsschlüsseln nutzen, welches in den Remoteserver-Verwaltungstools (RSAT) enthalten ist.