TPM / BitLocker Schlüssel in AD DS speichern

#client, #de, #server, #server-2008, #server-2008-r2 edit this page

Wenn BitLocker im Unternehmen aktiviert wird, empfiehlt es sich die Wiederherstellungsinformationen in Active Directory zu sichern. Diese Anleitung richtet sich an Windows Server 2008 / 2008 R2 und Windows 7 als Client-Betriebssystem. Die Anleitung beschreibt, welche Schritte erforderlich sind um TPM- und BitLocker Schlüssel in AD DS zu speichern, als Beispiel wird jenes Volume verschlüsselt, welches das Betriebssystem enthält.

Wir unterscheiden hier zwischen 2 diverse Schlüssel:

TPM: Hierbei wird der Besitzerschlüssel des TPM Bausteins in AD DS gespeichert
BitLocker: Hierbei handelt es sich um den Wiederherstellungsschlüssel für die betreffende Partition

Schritt 1: AD DS zum speichern von TPM Besitzerschlüssel vorbereiten

Als erstes muss AD DS für das speichern des TPM Besitzerschlüssels konfiguriert werden. Sofern Server 2003 als DC verwendet wird, muss vorher noch ein Schema-Update durchgeführt werden. Für die Betriebssysteme Server 2008 und Server 2008 R2 ist dies nicht notwendig, da diese die Erweiterung bereits mitbringen.

Damit der Client den TPM Besitzerschlüssel in AD DS speichern kann, muss das Script Add-TPMSelfWriteACE.vbs auf dem DC ausgeführt werden. Dieses Script setzt die Berechtigungen des Attributs msTPM-OwnerInformation so, dass der Client seinen TPM Schlüssel einfügen kann.

ACHTUNG: Sollte man nicht das Server-Betriebssystem in englischer Sprachversion verwenden, so muss das Script noch angepasst werden: Anstatt die Berechtigung “SELF” zu setzen, muss diese z.B. für Deutsch in “SELBST” ersetzt werden. Sonst läuft das Script nicht erfolgreich durch.

image

Schritt 2: Setzen der GPO’s

Da nun Active Directory zum speichern von TPM Schlüsseln vorbereitet ist, setzten wir die Gruppenrichtlinien und weisen den Client an, die Wiederherstellungsschlüssel in Active Directory zu speichern.

BitLocker

Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / BitLocker Laufwerksverschlüsselung / Betriebssystemlaufwerke

”Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können”

Anhand dieser Richtlinie weißen wir den Client an die Wiederherstellungsinformationen in der Active Directory zu speichern. BitLocker kann erst aktiviert werden, sobald die Widerherstellungsinformationen in Active Directory hinterlegt sind.

image

TPM

Computerkonfiguration / Administrative Vorlagen / System / Trusted Platform Module-Dienste

“TPM-Sicherung in Active-Directory-Domänendienste aktivieren”

Anhand dieser Richtlinie wird der Client angewiesen den TPM Besitzerschlüssel in der Active Directory zu speichern.

image

Schritt 3: TPM am Client initialisieren

Wenn der TPM am Client initialisiert wird, wird ein Besitzerschlüssel generiert.

image

In Active Directory werden die Informationen im Attribut msTPM-OwnerInformation mitgeschrieben.

image

Schritt 4: Verwaltungsprogramm für BitLocker-Schlüssel installieren

Server 2008 liefert eine zusätzliche Registerkarte für Active Directory um BitLocker-Schlüssel anzuzeigen. Vorher muss jedoch das Feature Verwaltungsdienstprogramm für BitLocker aktiviert werden.

image

Nach der Aktivierung findet man eine neue Registerkarte in den Computerkonten.

image 

Schritt 5: BitLocker aktivieren und Wiederherstellungsschlüssel einsehen

Nun können wir am Client BitLocker für das Volume aktivieren, welches das Betriebssystem enthält.

image

Nach der Aktivierung kann der Wiederherstellungsschlüssel im jeweiligen Computerkonto in der Registerkarte “BitLocker-Wiederherstellung” eingesehen werden.

image

Grüße
dn