TPM Bitlocker Schlüssel in Active Directory speichern - www.itnator.net

TPM Bitlocker Schlüssel in Active Directory speichern

Vor allem in Unternehmen wird die IT – SICHERHEIT groß geschrieben. Ein Punkt wäre hier die Verschlüsselung der Festplatten und Laufwerke, vor allem bei Notebooks ist das oft gewünscht. Es gibt inzwischen viele Anbieter, aber warum nicht die Windows interne Verschlüsselung benutzen ? Windows hat den Bitlocker im Angebot. Man kann ja über Microsoft Produkte sagen was man will, aber es hat schon gewisse Vorteile. Ein Vorteil wäre, dass man den TPM Bitlocker Schlüssel in Active Directory speichern lassen kann. Um das geht es in diesem Beitrag.

tumbledore / Pixabay

 

Vorteile Bitlocker – auch in Unternehmen

  • sehr gute Integration im Betriebssystem
  • Einfache Bedienung
  • Die Keys / Schlüssel können im AD (Active Directory) gespeichert werden
  • Kann über GPO (Gruppenrichtlinien) gesteuert werden
  • Kostenlos, solange kein MBAM (Microsoft BitLocker-Administration und -Überwachung) benutzt wird

 

TPM / Bitlocker

TPM:
Hier wird der Besitzerschlüssel des TPM Bausteins in Active Directory gespeichert

BitLocker:
Hierbei handelt es sich um den Wiederherstellungsschlüssel für die betreffende Partition

 

Schritt 1 – Active Directory für Bitlocker vorbereiten

Als erstes muss das Active Directory vorbereitet werden, um TPM Bitlocker Schlüssel in Active Directory speichern zu können.

🙁

Wenn noch ein Windows Server 2003 im Einsatz sein sollte, muss vorher unbedingt ein Schema-Update durchgeführt werden.

🙂

Bei Server 2008 R2 und höher ist das nicht mehr notwendig, da diese die Schema-Erweiterung bereits mitbringen.
Dadurch kann direkt zu Schritt 2 gesprungen werden.

Damit der Client den TPM Besitzerschlüssel in das ActiveDirectory speichern kann, muss das Script Schema-Update auf dem Domain Controlelr ausgeführt werden. Dieses Script setzt die Berechtigungen des Attributs msTPM-OwnerInformation so, dass der Client seinen TPM Schlüssel einfügen kann.

ACHTUNG:
Sollte das Server OS NICHT Englisch sein, so muss das Script noch angepasst werden:
Anstatt die Berechtigung “SELF” zu setzen, muss diese z.B. für Deutsch in “SELBST” ersetzt werden.

 

 

Schritt 2 – TPM Bitlocker Schlüssel in Active Directory speichern

Da das AD jetzt vorbereitet ist, müssen wir noch Gruppenrichtlinien definieren. Diese Gruppenrichtlinien geben dem Client vor, dass der den Wiederherstellungsschlüssel im Active Directory unter dem Computerobjekt gespeichert werden.

Bitlocker GPO

Pfad:
Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / BitLocker Laufwerksverschlüsselung / Betriebssystemlaufwerke

Richtlinie:
”Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können”

TPM GPO

Pfad:
Computerkonfiguration / Administrative Vorlagen / System / Trusted Platform Module-Dienste

Richtlinie:
“TPM-Sicherung in Active-Directory-Domänendienste aktivieren”

 

Schritt 3 – Verwaltungsprogramm für Bitlocker installieren

Um die Bitlocker Wiederherstellung im Computerobjekt anzeigen zu können, muss noch ein Verwaltungsprogramm für Bitlocker auf dem Domain Controller installiert werden.

Dazu müssen folgende Schritte ausgeführt werden:

  1. Server Manager starten
  2. Zu „Features“ navigieren
  3. Remoteserver-Verwaltungstools“ öffnen
  4. Featureverwaltungstools“ öffnen
  5. Verwaltungshilfsprogramm für Bitlocker“ aufklappen
  6. Bitlocker-Wiederherstellungskennwort-Viewer“ auswählen
  7. Installieren und den Server neu starten

 

Nun gibt es in den Computerobjekten im ActiveDirectory einen Reiter „BitLocker-Wiederherstellung

 

Schritt 4 – BitLocker auf Client aktivieren

Jetzt müssen wir nur noch „Computer“ öffnen und Bitlocker aktivieren.
Natürlich können noch weitere Gruppenrichtlinien definiert werden, um den Assistenten „abzuspecken“.

Die TPM Bitlocker Schlüssel in Active Directory schreiben, sollte nun ohne Probleme funktionieren.

 

Nicht vergessen !

…die Gruppenrichtlinien der richtigen OU zuzuweisen 😉

 

Den Status der Verschlüsselung anzeigen? Funktioniert ganz einfach!

BitLocker Status per PowerShell anzeigen

Click Here to Leave a Comment Below 0 comments

Leave a Reply: