Ein besserer Weg zur Delegation of Control für Bitlocker Recoverykeys

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

04.09.2019, aktualisiert 16.01.2021, 3648 Aufrufe, 1 Kommentar, 8 Danke

Will man Supportmitarbeitern ermöglichen, Bitlocker-Recoverykeys auszulesen, dann bietet sich eigentlich der Delegation of Control Wizard an.
Ich zeige zunächst mal, wie das gemacht würde:
1 - Klicke auf das Bild, um es zu vergrößern
2 - Klicke auf das Bild, um es zu vergrößern
3 - Klicke auf das Bild, um es zu vergrößern
Das Dumme ist nur: damit der Supporter hier etwas auslesen kann, braucht er „Full Control“!
Ebenso arbeitet der Wizard nur auf OU-Ebene und kann nicht granular pro Rechner Rechte setzen, falls gewünscht.

Er kann somit diese Keys nicht nur lesen, sondern (via ADSI-Edit oder Kommandos) auch löschen und somit (versehentlich) großen Schaden anrichten. Dass hier keine Leserechte ausreichen, liegt an einem interessanten Umstand: Microsoft benutzt zum Absichern der Recoverykeys das sogenannte „Confidentiality Bit“. Ich zitiere aus https://blog.nextxpert.com/2011/01/11/how-to-delegate-access-to-bitlocke ... :
All objects created with the Confidentiality bit set to 1, are only available for users, who have full control access to that object. These objects are hidden for other users in Active Directory
Das ist nicht schön, denn der Delegation of Control Wizard kann dieses Bit nicht setzen oder entfernen, sprich: entweder, wir vergeben Vollzugriff, oder der Supporter kommt gar nicht ran - etwas dazwischen bietet der Wizard nicht!

Doch es gibt einen Ausweg:
Man kann die LDP.exe von 2019 Server nutzen, um Leserechte und „Control Access“ zu erteilen, so dass man genau das Gewünschte erreicht: „nur lesen, sonst nichts“.
Die LDP.exe von 2016 Server kann seltsamerweise hierzu nicht genutzt werden. Für diese Serverversion muss man ldp.exe aus diesem Download extrahieren und damit arbeiten: https://web.archive.org/web/20200803205237/https://download.microsoft.co ...
Ich liefere noch die passenden Screenshots. Zunächst LDP.exe starten, Connect – OK – Bind – OK – Tree (CTRL-T) – OK
Dann zur OU navigieren, auf die Rechte gesetzt werden sollen und dem folgenden Bild folgen:
4 - Klicke auf das Bild, um es zu vergrößern
Im Descriptor dann DACL anklicken und „add trustee“ und z.B. wie im Bild einstellen:
ldp2 - Klicke auf das Bild, um es zu vergrößern
Dann OK und zuletzt "Update" klicken.
Damit haben wir „yourdom\someuser“ Leserechte auf die Recoverykeys aller Computer in der OU „Server“ gegeben.
Erfreulicherweise kann man über ldp.exe die OU weiter aufklappen und das Selbe auf Rechnerebene und sogar auf Partitionsebene/Keyebene machen. Sprich, man könnte einem Supporter den Zugriff auf den Recoverykey lediglich einer einzelnen Partition eines einzelnen Servers erteilen.
Mitglied: DerWoWusste
29.09.2019 um 12:50 Uhr
Edit: ich musste eine Korrektur vornehmen: das letzte Bild war schlicht falsch und hätte nicht zum erwünschten Ergebnis geführt. Ich muss beim Testen verschiedene Screenshots gemacht haben und hatte hier den falschen eingefügt :-| face-plain
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
Erklärung zu diesen Geräten
RoadmaxVor 1 TagFrageRouter & Routing7 Kommentare

Hallo Zusammen, bei uns war heute spontan das Internet weg und wir mussten die Carrier Geräte neu starten. Mir stellt sich die Frage, welches ...

Viren und Trojaner
Emotet angeblich unschädlich gemacht
DoskiasVor 14 StundenInformationViren und Trojaner14 Kommentare

Hallo zusammen, kam grade rein. Wir werden sehen ob es stimmt: Eilmeldung Bundeskriminalamt: Weltweit gefährlichste Schadsoftware unschädlich gemacht Stand: 27.01.2021 13:18 Uhr Deutsche Ermittler ...

Erkennung und -Abwehr
GDATA oder Defender in MS W10-Umgebung?
winackerVor 1 TagFrageErkennung und -Abwehr7 Kommentare

Hallo, seit Jahren habe ich eine Firmenlizenz des GDATA-AV. Die ist nun wieder zur Verlängerung fällig und ich frage mich ob das noch Sinn ...

Firewall
PfSense als Exposed Host hinter FritzBox 6591 Cable
SMT000Vor 1 TagFrageFirewall6 Kommentare

Hallo zusammen, ich kenne mich mit dem Thema leider nicht gut aus und habe deshalb einige Verständnisfragen. Vorab, ich hab hier eine FritzBox 6591 ...

Windows Update
Clients melden sich nicht selbständig am WSUS Server
BPeterVor 1 TagFrageWindows Update11 Kommentare

Hallo, ich habe einen Windows Server 2019 WSUS in unserem AD eingerichtet. Die Clientkonfig übertrage ich per Group Policy. Sie wird auch vom Client ...

Windows Server
Server "Soft-RAID"
EckiD1Vor 1 TagFrageWindows Server7 Kommentare

Hi, ich habe an einem Hyper-V Host (WS 2019 Standard) mehrer NVMe am HBA die ich zu einem RAID verbinden möchte. Nur für das ...

Exchange Server
5.4.1 Recipient address rejected: Access denied. AS(201806281)
gelöst DeclarationVor 1 TagFrageExchange Server5 Kommentare

Hallo im Unternehmen ist Microsoft 365 business installiert inclusice AD Syncronisierung bei 10 MA . Bis Samstag lief der Exchange perfekt. Seitdem bekommt ein ...

Windows Server
Benutzer und Postfach über AD erstellen
Igdirli76Vor 1 TagFrageWindows Server10 Kommentare

Hallo Leute, bitte erschießt mich nicht gleich wegen meiner frage. Ich habe einen Windows Server 2019 Datacenter installiert und wollte beim User erstellen, dass ...