Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ein besserer Weg zur Delegation of Control für Bitlocker Recoverykeys

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

04.09.2019, aktualisiert 29.09.2019, 2062 Aufrufe, 1 Kommentar, 8 Danke

Will man Supportmitarbeitern ermöglichen, Bitlocker-Recoverykeys auszulesen, dann bietet sich eigentlich der Delegation of Control Wizard an.
Ich zeige zunächst mal, wie das gemacht würde:
1 - Klicke auf das Bild, um es zu vergrößern
2 - Klicke auf das Bild, um es zu vergrößern
3 - Klicke auf das Bild, um es zu vergrößern
Das Dumme ist nur: damit der Supporter hier etwas auslesen kann, braucht er „Full Control“!
Ebenso arbeitet der Wizard nur auf OU-Ebene und kann nicht granular pro Rechner Rechte setzen, falls gewünscht.

Er kann somit diese Keys nicht nur lesen, sondern (via ADSI-Edit oder Kommandos) auch löschen und somit (versehentlich) großen Schaden anrichten. Dass hier keine Leserechte ausreichen, liegt an einem interessanten Umstand: Microsoft benutzt zum Absichern der Recoverykeys das sogenannte „Confidentiality Bit“. Ich zitiere aus https://blog.nextxpert.com/2011/01/11/how-to-delegate-access-to-bitlocke ... :
All objects created with the Confidentiality bit set to 1, are only available for users, who have full control access to that object. These objects are hidden for other users in Active Directory
Das ist nicht schön, denn der Delegation of Control Wizard kann dieses Bit nicht setzen oder entfernen, sprich: entweder, wir vergeben Vollzugriff, oder der Supporter kommt gar nicht ran - etwas dazwischen bietet der Wizard nicht!

Doch es gibt einen Ausweg:
Man kann die LDP.exe von 2019 Server nutzen, um Leserechte und „Control Access“ zu erteilen, so dass man genau das Gewünschte erreicht: „nur lesen, sonst nichts“.
Die LDP.exe von 2016 Server kann seltsamerweise hierzu nicht genutzt werden. Für diese Serverversion muss man ldp.exe aus diesem Download extrahieren und damit arbeiten: https://www.microsoft.com/en-us/download/details.aspx?id=4201
Ich liefere noch die passenden Screenshots. Zunächst LDP.exe starten, Connect – OK – Bind – OK – Tree (CTRL-T) – OK
Dann zur OU navigieren, auf die Rechte gesetzt werden sollen und dem folgenden Bild folgen:
4 - Klicke auf das Bild, um es zu vergrößern
Im Descriptor dann DACL anklicken und „add trustee“ und z.B. wie im Bild einstellen:
ldp2 - Klicke auf das Bild, um es zu vergrößern
Dann OK und zuletzt "Update" klicken.
Damit haben wir „yourdom\someuser“ Leserechte auf die Recoverykeys aller Computer in der OU „Server“ gegeben.
Erfreulicherweise kann man über ldp.exe die OU weiter aufklappen und das Selbe auf Rechnerebene und sogar auf Partitionsebene/Keyebene machen. Sprich, man könnte einem Supporter den Zugriff auf den Recoverykey lediglich einer einzelnen Partition eines einzelnen Servers erteilen.
Mitglied: DerWoWusste
29.09.2019 um 12:50 Uhr
Edit: ich musste eine Korrektur vornehmen: das letzte Bild war schlicht falsch und hätte nicht zum erwünschten Ergebnis geführt. Ich muss beim Testen verschiedene Screenshots gemacht haben und hatte hier den falschen eingefügt
Bitte warten ..
Neue Wissensbeiträge
iOS

IOS-Bug unterbindet vollständiges VPN-Tunneling

Information von transocean vor 40 MinuteniOS

Moin, seit dem letzten Update hat iOS für iPhone und iPad ein Problem mit der Verschlüsselung. Lest selbst. Grüße ...

Sicherheit
Corona Malware über manipulierte Router
Information von sabines vor 3 StundenSicherheit

Heise berichtet über Malware, die in Zusammenhang zum Suchethema Corona steht und über DNS Einstellungen bei D-Link und Linksys ...

Windows 10
Windows 10 Update KB4535996 fehlerhaft
Information von Frank vor 10 StundenWindows 101 Kommentar

Laut Microsoft ist das Update KB4535996 die Ursache für aktuelle Verbindungsprobleme bei Virtual Private Networks (VPNs). Microsoft arbeitet bereits ...

Administrator.de Feedback
Entwicklertagebuch: Der neue Ticker ist da
Information von admtech vor 10 StundenAdministrator.de Feedback2 Kommentare

Hallo User, mit dem aktuellen Release haben wir den neuen "Ticker" zur Seite hinzugefügt. Oben im Hauptmenü findet ihr ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Verrücktes Netzwerkproblem in einer alten SBS 2008 Domäne
Frage von PA-PeterNetzwerkmanagement36 Kommentare

Hallo zusammen, ich bin hier leider sehr verzweifelt und ersuche deshalb in Eurer Community ein paar Ideen oder Ansätze ...

Windows Server
Erreichbarkeit von Freigaben auf Server 2019 durch ältere Linux-basierte Geräte
gelöst Frage von SarekHLWindows Server13 Kommentare

Hallo zusammen, ich habe hier zwei Geräte, einen Kopierer (Ricoh MP2554) und eine WebCam (Trendnet TV-IP311IP), die trotz korrekter ...

Firewall
PFsense OPENVPN nur RDP zulassen
gelöst Frage von schicksalFirewall12 Kommentare

Hallo zusammen, ich will folgendes konfigurieren: Ich habe einige OPENVpn Cilents bei diesen funktioniert der Tunnel. Nur folgendes, es ...

Humor (lol)
EBlocker.de e.Blocker.com IP Adresse ändern?
Frage von Sibelius001Humor (lol)10 Kommentare

Hallo, also ich starte hier gleich mal unter "Humor", weil die meisten Antworten sofort dort hingehen würden Und es ...