traller
Goto Top

BitLocker mit Smartcard??

Hallo,
ist folgendes unter Windows 10 mit BitLocker möglich?
  • Entsperren einer BitLocker Systemlaufwerksverschlüsselung mit SmartCard
  • Wenn SmartCard drin, soll einfach starten
  • Wenn keine SmartCard > PIN-Abfrage
Funktioniert das mit einem USB SmartCard Reader? Welchen benötigt man dafür und wo kommt man günstig an eine Smartcard dafür dran?

Content-ID: 310394

Url: https://administrator.de/forum/bitlocker-mit-smartcard-310394.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

DerWoWusste
DerWoWusste 21.07.2016 um 09:58:09 Uhr
Goto Top
Hi.

Ja, BL funktioniert mit Smartcards als Schlüssel. Wenn Du aber eh einen USB-Smartcardreader bräuchtest und auch eine Smartcard anschaffen müsstest, warum legst Du den Schlüssel nicht auf einen USB-Stick?
Und ja, es funktioniert wie erhofft: Schlüssel nicht angeschlossen bringt die PIN-Abfrage.

Natürlich nur mit win10 Pro.
traller
traller 21.07.2016 aktualisiert um 11:17:18 Uhr
Goto Top
Zitat von @DerWoWusste:

Hi.

Ja, BL funktioniert mit Smartcards als Schlüssel. Wenn Du aber eh einen USB-Smartcardreader bräuchtest und auch eine Smartcard anschaffen müsstest, warum legst Du den Schlüssel nicht auf einen USB-Stick?
Und ja, es funktioniert wie erhofft: Schlüssel nicht angeschlossen bringt die PIN-Abfrage.

Natürlich nur mit win10 Pro.
das funktioniert wohl. Nur wie bekomme ich hin, dass wenn kein Schlüssel da, die PIN abgefragt wird. Da wird mir in diesem Fall nur der Wiederherstellungsschlüssel angeboten. Muss da noch was in den Gruppenrichtlinienkonfiguriert werden?? TPM ist vorhanden
unbenannt
DerWoWusste
Lösung DerWoWusste 21.07.2016 um 11:29:37 Uhr
Goto Top
Zeig mal bitte die Ausgabe von
manage-bde -protectors -get c:
traller
traller 21.07.2016 um 11:37:02 Uhr
Goto Top
Zitat von @DerWoWusste:

Zeig mal bitte die Ausgabe von
manage-bde -protectors -get c:
das geht natürlich nur als Administrator und die Ausgabe hab ich mal etwas gekürzt:
BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.10011
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.

Volume "C:"   
Alle Schlüsselschutzvorrichtungen

    Numerisches Kennwort:
      ID: {abcd}
      Kennwort:
        000000-000000-000000-000000-000000-000000-000000-000000

    TPM und Startschlüssel:
      ID: {defg}
      PCR-Validierungsprofil:
        0, 2, 4, 8, 9, 10, 11
      Name der externen Schlüsseldatei:
        defg.BEK
DerWoWusste
DerWoWusste 21.07.2016 um 11:53:08 Uhr
Goto Top
Du hast also gar keinen PIN-Protektor eingerichtet. So kann er natürlich nicht kommen.
Führe folgende Befehle aus:
manage-bde -protectors -delete C: -Type TPMAndStartupKey
Danach:
manage-bde -protectors -add c: -TPMAndPIN
traller
traller 21.07.2016 aktualisiert um 12:02:40 Uhr
Goto Top
richtig. Nun ist wohl Recovery Key und TPM + PIN konfiguriert. Wie geht nun TPM+PIN+USB?

Volume "C:"   
Alle Schlüsselschutzvorrichtungen

    Numerisches Kennwort:
      ID: {abcd}
      Kennwort:
        000000-000000-000000-000000-000000-000000-000000-000000 

    TPM und PIN:
      ID: {defg}
      PCR-Validierungsprofil:
        0, 2, 4, 8, 9, 10, 11
DerWoWusste
DerWoWusste 21.07.2016 um 12:44:36 Uhr
Goto Top
Ok, Du musst nun noch einen Schritt machen:
manage-bde -protectors -add c: -sk x:\
(x: ist Dein USB-Laufwerk)
Danach läuft es wie gewünscht.
traller
traller 21.07.2016 um 14:36:55 Uhr
Goto Top
Danke, das funktioniert so sehr gut.
Mich würde nur noch interessieren, wie man es hin bekommt, dass wenn man den Stick abzieht, der Rechner gesperrt wird und auch solange der nicht dran ist nach 5 Minuten Inaktivität gesperrt wird. Die Anmeldung sollte natürlich noch über das Benutzerpasswort erfolgen können.
Folgendes ist bisher eingestellt und sollte so auch mit vorhandenem USB-Stick so bleiben:
  • Automatische Anmeldung des Nutzers, trotz Passwort (über netplwiz)
  • kein Sperren bei Inaktivität, kein Standby nach x Minuten, kein Bildschirm"schoner"

Vermutlich brauch ich ein Zusatzprogramm zum definieren der Regeln? Welches kann so etwas?
DerWoWusste
Lösung DerWoWusste 21.07.2016 um 17:21:29 Uhr
Goto Top
Du kannst mit dem Taskplaner arbeiten, der kennt Auslöser (so genannte Trigger), die auf Sperrung oder auf Inaktivität reagieren können. Ebenso könnte man einen Trigger erstellen, der an ein Event gebunden ist. Device Removal (Stick abziehen) wird ja in der Ereignisanzeige vermerkt.
Der Task würde dann den Befehl rundll... absetzen, welcher den Rechner sperrt. Die Laufwerke würde ich nicht sperren, wozu? Oder können sich noch andere an dem PC anmelden?
Wenn ja, dann sperre mit

manage-bde -lock d:
zum Beispiel. Ausführendes Konto: system.
traller
traller 21.07.2016 aktualisiert um 19:06:15 Uhr
Goto Top
das scheint der richtige Weg zu sein. Aber irgendwie harkt das gerade. Device Removal oder Connected wird wohl in DriverFrameworks-Usermod protokolliert. Beim Anschluss des Sticks bspw. über die Ereignis-ID 2003 und
Der UMDF-Hostprozess ({xxxx}) wurde zum Laden von Treibern für Gerät "SWD\WPDBUSENUM\_??_USBSTOR...{XYZ}" aufgefordert.  

Jetzt könnte ich einen Trigger mit dieser Quelle und Ereignis-ID 2003 hinterlegen, dass dann was passiert. Das hilft mir ja nicht weiter, wenn ich irgendeinen anderen Stick anschließe. Dann passiert ja das selbe. Kann man das irgendwie über die Identifikation XYZ weiter spezifizieren?

Die IDs basieren auf http://dfstream.blogspot.de/2014/01/the-windows-7-event-log-and-usb-dev ...
DerWoWusste
DerWoWusste 21.07.2016 um 19:32:56 Uhr
Goto Top
Ich kann Dir mal meinen Artikel zu Bad-USB verlinken, da arbeite ich mit Aktionen, die in Abhängigkeit von der Device-ID gestartet werden: Bad-USB geskriptet abwehren (ab Windows 8)
traller
traller 21.07.2016 um 20:15:21 Uhr
Goto Top
hab mich nun gegen das Wuseln entschieden und einfach USBLogon genommen: http://quadsoft.org/downloads