Erstellen eines dateibasierten Bitlockerprotektors zu Recovery- und Supportzwecken
Um zu supportende PCs als Admin hochfahren zu können, kann man auf allen Bitlocker-verschlüsselten Geräten einen Startupkey erstellen.
Dies ist eine Datei vom Typ .bek (Bitlocker Encryption Key), welche dann vom Admin auf einen USB-Stick (oder –Platte) kopiert werden kann, den man zum Starten des Rechners einfach ansteckt – Bitlocker sucht automatisch nach einem solchen Key und Windows bootet ohne Rückfrage, was eine angenehme Alternative zur Eingabe des 48-stelligen Recoverykeys darstellt.
Der Dateityp .bek ist im Dateiexplorer per Default ausgeblendet und man sieht diese Dateien somit erst, nachdem man versteckte und Systemdateien einblendet.
Wichtig: wer im Besitz der Schlüsseldatei ist, hat volle Kontrolle über die Festplatte, selbst im Recoverymode. Diese Dateien gehören nicht in die Hände von Nicht-Admins.
Das Vorgehen zum Erstellen ist beispielsweise so: In einem Startskript nutzt man die Codezeile
welche die benötigte Datei anlegt. Es wird dafür gesorgt, dass dieses Kommando nur einmalig läuft, damit nicht mehrere Schlüssel erstellt werden. (Dazu wird ein lokaler Marker erstellt und abgefragt: %windir%\admin\BEK).
Lesenden Zugriff auf die Freigabe gewährt man nur Administratoren. Exklusiv schreibenden Zugriff bekommen die Computerkonten (nur auf den eigenen Ordner ...\%computername%).
Zur Verdeutlichung hier die Ausgabe von Icacls für den .bek-Dateiablageort für PC "Mueller"
Somit ist sichergestellt, dass nicht-Admins keinen Zugriff auf die Dateien bekommen und selbst lokale Admins maximal die Datei für Ihren PC überschreiben können, was Ihnen nichts einbringt.
Optionaler, zusätzlicher Schutz: Diese Freigabe nur zur Einrichtung von PCs überhaupt aktivieren, SMB-Verschlüsselung für die Freigabe anfordern.
Zur Sicherheit sollte man die Dateien auf den Sticks nur einzeln und nur temporär speichern und die Schlüsseldatei nach erfolgter Nutzung sofort selbst verschlüsseln (*) und danach löschen, da ein sicheres Löschen einzelner Dateien auf Flashspeicher mit z.B. Eraser nicht möglich ist. Nimmt man hingegen eine portable, herkömmliche HDD zum Speichern der Schlüssel, so kann man auf dieser selbstverständlich auch Eraser zum Löschen der Keys nutzen. [Könnte man nicht diese Sticks/Festplatten ebenso mit Bitlocker verschlüsseln? Nein, das Starten eines Rechners funktioniert nur mit einem unverschlüsselten Schlüsselspeicher]
*Hierzu ist EFS ungeeignet - es überschreibt die Plaintextdatei nämlich nicht sicher. Also müsste man sicherheitshalber den gesamten Flashspeicher verschlüsseln (z.B. mit Bitlocker unter Verwendung von "used space only") und danach formatieren! Wer es also mit der Sicherheit ganz genau nimmt, sollte vielleicht keine Flashspeicher, sondern HDDs für den Schlüsseltransport nutzen, um sich diesen Aufwand zu sparen.
Sollte man ein Gerät neu verschlüsseln wollen, muss danach ein neuer Key erstellt werden, da der alte natürlich nicht mehr funktioniert.
Für den seltenen (und fragwürdigen) Anwendungsfall, dass verschiedene Admins Zugriff auf ein System bekommen sollen und man diesen Zugriff später bei Bedarf einzeln widerrufen können möchte, kann man auf dieselbe Weise mehrere Keys erstellen.
Die Keys und Ihre IDs kann man auflisten über
Einzelne Keys kann man bei Bedarf löschen über
Beispielinhalt einer solchen Schlüsseldatei („SchlüsselID.bek“), wenn in Notepad geöffnet
œ 0 œ ÷·K(fO‰dUò4ï0Š àRä˜,Ðl ÷·K(fO‰dUò4ï0Šð—ߘ,Ð E x t e r n a l K e y , ÁvèÖ-:’¡Õvýê¤}ݘ§U#ºD1ªÄÒ
Dieser Tipp ist ausgelagert aus Meine Wissenssammlung zu Bitlocker - für Fragen und Kritik bin ich immer offen.
Dies ist eine Datei vom Typ .bek (Bitlocker Encryption Key), welche dann vom Admin auf einen USB-Stick (oder –Platte) kopiert werden kann, den man zum Starten des Rechners einfach ansteckt – Bitlocker sucht automatisch nach einem solchen Key und Windows bootet ohne Rückfrage, was eine angenehme Alternative zur Eingabe des 48-stelligen Recoverykeys darstellt.
Der Dateityp .bek ist im Dateiexplorer per Default ausgeblendet und man sieht diese Dateien somit erst, nachdem man versteckte und Systemdateien einblendet.
Wichtig: wer im Besitz der Schlüsseldatei ist, hat volle Kontrolle über die Festplatte, selbst im Recoverymode. Diese Dateien gehören nicht in die Hände von Nicht-Admins.
Das Vorgehen zum Erstellen ist beispielsweise so: In einem Startskript nutzt man die Codezeile
If not exist %windir%\admin\BEK manage-bde -protectors -add c: -sk \\server\share\%computername% && md %windir%\admin\BEK
Lesenden Zugriff auf die Freigabe gewährt man nur Administratoren. Exklusiv schreibenden Zugriff bekommen die Computerkonten (nur auf den eigenen Ordner ...\%computername%).
Zur Verdeutlichung hier die Ausgabe von Icacls für den .bek-Dateiablageort für PC "Mueller"
icacls \\server\share\mueller
\\server\share\mueller yourdom\mueller$:(OI)(CI)(W)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(OI)(CI)(F)
Optionaler, zusätzlicher Schutz: Diese Freigabe nur zur Einrichtung von PCs überhaupt aktivieren, SMB-Verschlüsselung für die Freigabe anfordern.
Zur Sicherheit sollte man die Dateien auf den Sticks nur einzeln und nur temporär speichern und die Schlüsseldatei nach erfolgter Nutzung sofort selbst verschlüsseln (*) und danach löschen, da ein sicheres Löschen einzelner Dateien auf Flashspeicher mit z.B. Eraser nicht möglich ist. Nimmt man hingegen eine portable, herkömmliche HDD zum Speichern der Schlüssel, so kann man auf dieser selbstverständlich auch Eraser zum Löschen der Keys nutzen. [Könnte man nicht diese Sticks/Festplatten ebenso mit Bitlocker verschlüsseln? Nein, das Starten eines Rechners funktioniert nur mit einem unverschlüsselten Schlüsselspeicher]
*Hierzu ist EFS ungeeignet - es überschreibt die Plaintextdatei nämlich nicht sicher. Also müsste man sicherheitshalber den gesamten Flashspeicher verschlüsseln (z.B. mit Bitlocker unter Verwendung von "used space only") und danach formatieren! Wer es also mit der Sicherheit ganz genau nimmt, sollte vielleicht keine Flashspeicher, sondern HDDs für den Schlüsseltransport nutzen, um sich diesen Aufwand zu sparen.
Sollte man ein Gerät neu verschlüsseln wollen, muss danach ein neuer Key erstellt werden, da der alte natürlich nicht mehr funktioniert.
Für den seltenen (und fragwürdigen) Anwendungsfall, dass verschiedene Admins Zugriff auf ein System bekommen sollen und man diesen Zugriff später bei Bedarf einzeln widerrufen können möchte, kann man auf dieselbe Weise mehrere Keys erstellen.
Die Keys und Ihre IDs kann man auflisten über
manage-bde -protectors -get c: -type ExternalKey
manage-bde -protectors c: -delete -id {ID_des_Schlüssels}
Beispielinhalt einer solchen Schlüsseldatei („SchlüsselID.bek“), wenn in Notepad geöffnet
œ 0 œ ÷·K(fO‰dUò4ï0Š àRä˜,Ðl ÷·K(fO‰dUò4ï0Šð—ߘ,Ð E x t e r n a l K e y , ÁvèÖ-:’¡Õvýê¤}ݘ§U#ºD1ªÄÒ
Dieser Tipp ist ausgelagert aus Meine Wissenssammlung zu Bitlocker - für Fragen und Kritik bin ich immer offen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 392157
Url: https://administrator.de/contentid/392157
Ausgedruckt am: 21.11.2024 um 10:11 Uhr