Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Erstellen eines dateibasierten Bitlockerprotektors zu Recovery- und Supportzwecken

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

09.11.2018, aktualisiert 13:04 Uhr, 790 Aufrufe, 5 Danke

Um zu supportende PCs als Admin hochfahren zu können, kann man auf allen Bitlocker-verschlüsselten Geräten einen Startupkey erstellen.
Dies ist eine Datei vom Typ .bek (Bitlocker Encryption Key), welche dann vom Admin auf einen USB-Stick (oder –Platte) kopiert werden kann, den man zum Starten des Rechners einfach ansteckt – Bitlocker sucht automatisch nach einem solchen Key und Windows bootet ohne Rückfrage, was eine angenehme Alternative zur Eingabe des 48-stelligen Recoverykeys darstellt.
Der Dateityp .bek ist im Dateiexplorer per Default ausgeblendet und man sieht diese Dateien somit erst, nachdem man versteckte und Systemdateien einblendet.

Wichtig: wer im Besitz der Schlüsseldatei ist, hat volle Kontrolle über die Festplatte, selbst im Recoverymode. Diese Dateien gehören nicht in die Hände von Nicht-Admins.

Das Vorgehen zum Erstellen ist beispielsweise so: In einem Startskript nutzt man die Codezeile
01.
If not exist %windir%\admin\BEK manage-bde -protectors -add c: -sk \\server\share\%computername% && md %windir%\admin\BEK
welche die benötigte Datei anlegt. Es wird dafür gesorgt, dass dieses Kommando nur einmalig läuft, damit nicht mehrere Schlüssel erstellt werden. (Dazu wird ein lokaler Marker erstellt und abgefragt: %windir%\admin\BEK).

Lesenden Zugriff auf die Freigabe gewährt man nur Administratoren. Exklusiv schreibenden Zugriff bekommen die Computerkonten (nur auf den eigenen Ordner ...\%computername%).
Zur Verdeutlichung hier die Ausgabe von Icacls für den .bek-Dateiablageort für PC "Mueller"
01.
icacls \\server\share\mueller
02.
\\server\share\mueller yourdom\mueller$:(OI)(CI)(W)
03.
                   NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
04.
                   BUILTIN\Administrators:(I)(OI)(CI)(F)
Somit ist sichergestellt, dass nicht-Admins keinen Zugriff auf die Dateien bekommen und selbst lokale Admins maximal die Datei für Ihren PC überschreiben können, was Ihnen nichts einbringt.
Optionaler, zusätzlicher Schutz: Diese Freigabe nur zur Einrichtung von PCs überhaupt aktivieren, SMB-Verschlüsselung für die Freigabe anfordern.

Zur Sicherheit sollte man die Dateien auf den Sticks nur einzeln und nur temporär speichern und die Schlüsseldatei nach erfolgter Nutzung sofort selbst verschlüsseln (*) und danach löschen, da ein sicheres Löschen einzelner Dateien auf Flashspeicher mit z.B. Eraser nicht möglich ist. Nimmt man hingegen eine portable, herkömmliche HDD zum Speichern der Schlüssel, so kann man auf dieser selbstverständlich auch Eraser zum Löschen der Keys nutzen. [Könnte man nicht diese Sticks/Festplatten ebenso mit Bitlocker verschlüsseln? Nein, das Starten eines Rechners funktioniert nur mit einem unverschlüsselten Schlüsselspeicher]
*Hierzu ist EFS ungeeignet - es überschreibt die Plaintextdatei nämlich nicht sicher. Also müsste man sicherheitshalber den gesamten Flashspeicher verschlüsseln (z.B. mit Bitlocker unter Verwendung von "used space only") und danach formatieren! Wer es also mit der Sicherheit ganz genau nimmt, sollte vielleicht keine Flashspeicher, sondern HDDs für den Schlüsseltransport nutzen, um sich diesen Aufwand zu sparen.

Sollte man ein Gerät neu verschlüsseln wollen, muss danach ein neuer Key erstellt werden, da der alte natürlich nicht mehr funktioniert.
Für den seltenen (und fragwürdigen) Anwendungsfall, dass verschiedene Admins Zugriff auf ein System bekommen sollen und man diesen Zugriff später bei Bedarf einzeln widerrufen können möchte, kann man auf dieselbe Weise mehrere Keys erstellen.

Die Keys und Ihre IDs kann man auflisten über
01.
manage-bde -protectors -get c: -type ExternalKey
Einzelne Keys kann man bei Bedarf löschen über
01.
manage-bde -protectors c: -delete -id {ID_des_Schlüssels}
Beispielinhalt einer solchen Schlüsseldatei („SchlüsselID.bek“), wenn in Notepad geöffnet
œ 0 œ ÷·K(fO‰dUò4ï0Š àRä˜,Ðl ÷·K(fO‰dUò4ï0Šð—ߘ,Ð E x t e r n a l K e y , ÁvèÖ-:’¡ÕvýêÂ¤}ݘ§U#ºD1ªÄÒ

Dieser Tipp ist ausgelagert aus Meine Wissenssammlung zu Bitlocker - für Fragen und Kritik bin ich immer offen.
Neue Wissensbeiträge
Humor (lol)
Und wie seid Ihr gegen Cyberattacken gewappnet?
Information von DerWoWusste vor 1 TagHumor (lol)5 Kommentare

aber wo ist der Hammer? :-)

Sicherheit
Ein weiterer Microsoft-Stirnklatscher
Information von DerWoWusste vor 2 TagenSicherheit7 Kommentare

Habe gerade einen Artikel zu einem Sicherheitsproblem gefunden, welches mir zu seiner Zeit (gepatcht 2015) wohl durchgerutscht ist. Es ...

Windows 10
Upgradepfade Windows 10 LTSC
Erfahrungsbericht von Datenreise vor 2 TagenWindows 10

Nur eine kurze Info, für diejenigen, die es interessiert, da es hierzu im Netz aus nachvollziehbaren Gründen nicht allzu ...

Administrator.de Feedback
Wartungsarbeiten heute Nacht (Update)
Information von Frank vor 2 TagenAdministrator.de Feedback10 Kommentare

Hallo User, durch Umbauarbeiten in unserem Rechenzentrum (am Backbone) kann es heute Nacht (14-15.01.2019) zu kurzen Ausfällen unserer Seite ...

Heiß diskutierte Inhalte
Microsoft
SFirm 4.0 auf Terminalserver startet für jeden angemeldeten Benutzer diverse Dienste
Frage von Frank84Microsoft25 Kommentare

Hallo zusammen, wir verwenden Sfirm 4.0 auf einem Terminalserver (der SQL Server ist auf einem separaten Server), das Problem ...

Windows 10
Windows 10 - kein Boot mehr nach Domänenaustritt
gelöst Frage von Ghost108Windows 1025 Kommentare

Hallo zusammen, habe hier eine Windows 10 Maschine, die ich gerne aus der Domäne austreten lassen möchte. Nach Austritt ...

Windows 10
VM wächst schnell von 14 auf 35 GB an - warum?
Frage von degudejungWindows 1018 Kommentare

Hallo, ich bin ein Freund schlanker VMs und setze daher gerne mit dem Erscheinen einer neuen Win10 Version - ...

Internet
Google-Suchergebnisse, Schnelleinblendung, woher kommt der Inhalt?
gelöst Frage von departure69Internet17 Kommentare

Hallo. Ich bin der Systembetreuer einer kleinen Gemeinde in Süddeutschland. Wir betreiben auch eine Leihbücherei. Eine Kundin hat letzten ...