Erstellen eines dateibasierten Bitlockerprotektors zu Recovery- und Supportzwecken

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

09.11.2018, aktualisiert 13:04 Uhr, 3242 Aufrufe, 6 Danke

Um zu supportende PCs als Admin hochfahren zu können, kann man auf allen Bitlocker-verschlüsselten Geräten einen Startupkey erstellen.
Dies ist eine Datei vom Typ .bek (Bitlocker Encryption Key), welche dann vom Admin auf einen USB-Stick (oder –Platte) kopiert werden kann, den man zum Starten des Rechners einfach ansteckt – Bitlocker sucht automatisch nach einem solchen Key und Windows bootet ohne Rückfrage, was eine angenehme Alternative zur Eingabe des 48-stelligen Recoverykeys darstellt.
Der Dateityp .bek ist im Dateiexplorer per Default ausgeblendet und man sieht diese Dateien somit erst, nachdem man versteckte und Systemdateien einblendet.

Wichtig: wer im Besitz der Schlüsseldatei ist, hat volle Kontrolle über die Festplatte, selbst im Recoverymode. Diese Dateien gehören nicht in die Hände von Nicht-Admins.

Das Vorgehen zum Erstellen ist beispielsweise so: In einem Startskript nutzt man die Codezeile
welche die benötigte Datei anlegt. Es wird dafür gesorgt, dass dieses Kommando nur einmalig läuft, damit nicht mehrere Schlüssel erstellt werden. (Dazu wird ein lokaler Marker erstellt und abgefragt: %windir%\admin\BEK).

Lesenden Zugriff auf die Freigabe gewährt man nur Administratoren. Exklusiv schreibenden Zugriff bekommen die Computerkonten (nur auf den eigenen Ordner ...\%computername%).
Zur Verdeutlichung hier die Ausgabe von Icacls für den .bek-Dateiablageort für PC "Mueller"
Somit ist sichergestellt, dass nicht-Admins keinen Zugriff auf die Dateien bekommen und selbst lokale Admins maximal die Datei für Ihren PC überschreiben können, was Ihnen nichts einbringt.
Optionaler, zusätzlicher Schutz: Diese Freigabe nur zur Einrichtung von PCs überhaupt aktivieren, SMB-Verschlüsselung für die Freigabe anfordern.

Zur Sicherheit sollte man die Dateien auf den Sticks nur einzeln und nur temporär speichern und die Schlüsseldatei nach erfolgter Nutzung sofort selbst verschlüsseln (*) und danach löschen, da ein sicheres Löschen einzelner Dateien auf Flashspeicher mit z.B. Eraser nicht möglich ist. Nimmt man hingegen eine portable, herkömmliche HDD zum Speichern der Schlüssel, so kann man auf dieser selbstverständlich auch Eraser zum Löschen der Keys nutzen. [Könnte man nicht diese Sticks/Festplatten ebenso mit Bitlocker verschlüsseln? Nein, das Starten eines Rechners funktioniert nur mit einem unverschlüsselten Schlüsselspeicher]
*Hierzu ist EFS ungeeignet - es überschreibt die Plaintextdatei nämlich nicht sicher. Also müsste man sicherheitshalber den gesamten Flashspeicher verschlüsseln (z.B. mit Bitlocker unter Verwendung von "used space only") und danach formatieren! Wer es also mit der Sicherheit ganz genau nimmt, sollte vielleicht keine Flashspeicher, sondern HDDs für den Schlüsseltransport nutzen, um sich diesen Aufwand zu sparen.

Sollte man ein Gerät neu verschlüsseln wollen, muss danach ein neuer Key erstellt werden, da der alte natürlich nicht mehr funktioniert.
Für den seltenen (und fragwürdigen) Anwendungsfall, dass verschiedene Admins Zugriff auf ein System bekommen sollen und man diesen Zugriff später bei Bedarf einzeln widerrufen können möchte, kann man auf dieselbe Weise mehrere Keys erstellen.

Die Keys und Ihre IDs kann man auflisten über
Einzelne Keys kann man bei Bedarf löschen über
Beispielinhalt einer solchen Schlüsseldatei („SchlüsselID.bek“), wenn in Notepad geöffnet
œ 0 œ ÷·K(fO‰dUò4ï0Š àRä˜,Ðl ÷·K(fO‰dUò4ï0Šð—ߘ,Ð E x t e r n a l K e y , ÁvèÖ-:’¡ÕvýêÂ¤}ݘ§U#ºD1ªÄÒ

Dieser Tipp ist ausgelagert aus Meine Wissenssammlung zu Bitlocker - für Fragen und Kritik bin ich immer offen.
Heiß diskutierte Inhalte
Windows 10
Windows 10 Pro mehrere RDP Benutzer
Jannik2018FrageWindows 1017 Kommentare

Hallo zusammen, kann ich bei Windows 10 Pro irgendwie Freischalten das 2 benutzer sich gleichzeitig per RDP verbinden können ...

CPU, RAM, Mainboards
Hardwareanforderung für Remote Desktop
gelöst Diddi-tbFrageCPU, RAM, Mainboards11 Kommentare

Hallo zusammen, ich brauche mal wieder einen Rat von euch. Mein Chef möchte gerne öfter von zu Hause aus ...

Batch & Shell
Infrarot Fernbedienung um in Netflix(Browser Version) etc. zu navigieren
SaiinoxFrageBatch & Shell10 Kommentare

Hallo Zusammen, ich bastle aktuell an einem kleinen Projekt. Idee des ganzen in folgende: Ich bin (notgedrungener)Vodafone Kunde, hab ...

Drucker und Scanner
HP LaserJet P3005n muss einmal täglich neu gestartet werden, damit er druckt
HelljumperFrageDrucker und Scanner10 Kommentare

Hallo, seit einiger Zeit macht der Drucker eines Kollegen Probleme: Und zwar geht es um einen HP LaserJet P3005n. ...

Multimedia & Zubehör
Anforderungen an Telefonanlage
jensgebkenFrageMultimedia & Zubehör10 Kommentare

Hallo Gemeinschaft, bin auf der Suche nach einer Telefonanlage die folgendes können muss: - unterschiedliche Ansagen (z.b. während der ...

Windows 10
Probleme mit SMB1-Netzwerklaufwerken seit Build 2004
cmiit97FrageWindows 109 Kommentare

Moin, ich habe seit dem ich auf einigen Computer das Update 2004 installiert habe, das gemappte Laufwerke die noch ...

Ähnliche Inhalte
Virtualisierung

VEEAM Instant VM Recovery Datenverlust möglich

sabinesInformationVirtualisierung

Wer instant VM Recovery unter Veeam nutzt, sollte seine Installation überprüfen. In manchen Fällen könnte es zu Datenverlust kommen, ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT