Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Nutzung von Bitlocker in virtuellen Maschinen

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

09.11.2018, aktualisiert 10.11.2018, 1103 Aufrufe, 3 Kommentare, 3 Danke

Vorbetrachtung: Wen sollte das interessieren?

Wer virtuelle Maschinen zum Test auf seiner lokalen Festplatte speichert, wird diese nur selten auch noch verschlüsseln wollen, es sei denn, er möchte in den Maschinen Aspekte der Verschlüsselung testen. Hat man sein Storage eh selbst gebitlockt, ist es nur dann sinnvoll, die Maschine auch noch zu bitlocken, wenn man diesen Extraschutz gegen andere Benutzer des Host-Rechners benötigt.
Ein Anwendungsfall ist viel häufiger, dass man einen VM-Host hat, der vielleicht gar kein Bitlocker unterstützt (zum Beispiel Vmware ESXI) und tatsächlich gegen Einbrüche in den Serverraum vorbeugen möchte, indem man die Gastsysteme selbst die Verschlüsselung machen lässt.

Nehmen wir also an, wir haben z.B. ESXI und entscheiden uns ebenso dagegen, das VMStorage zu verschlüsseln (auch möglich!), sondern wollen stattdessen einzelne Gastsysteme verschlüsseln.
Das Vorgehen ist bei Systemlaufwerken einfach:

1 man erlaubt per GPO* im Gastsystem, dass Bitlocker auch ohne TPM Chip genutzt werden darf (denn ESXI bietet noch keine virtuellen TPMs)
2 Man erstellt in ESXI entweder eine virtuelle Floppy oder eine virtuelle Festplatte, die man auf der Freigabe eines anderen, physikalisch besser gesicherten Servers als Datei speichert
3 Über ESXI mountet man fortan diese Festplatte/Floppy in der VM, formatiert sie und erstellt einen Startupkey, welchen man auf diese virtuelle Festplatte/Floppy speichert, z.B. so:
01.
manage-bde -on c: -rp -used -sk a:\
bzw.
01.
manage-bde -on c: -rp -used -sk x:\
(wobei a: der Laufwersbuchstabe der Floppy und x: der der Festplatte ist)
Schon fertig. Die virtuelle Festplatte/Floppy bleibt danach einfach gemountet und beim Start der VM wird automatisch der Schlüssel von ihr eingelesen.
[Wer nicht möchte, dass eine Schlüsseldatei ständig zugänglich in Laufwerk a: schlummert, muss eben per GPO den Zugriff auf Wechselmedien verbieten, die Floppy zusätzlich mit NTFS formatieren (mit 3rd party tools) und mit ACLs arbeiten, oder diese per Skript nur zum Start der Maschine einlegen.]
Die virtuelle Festplatte ist die bessere Wahl, da man diese im diskmgmt.msc einfach nach der Schlüsselablage auf "offline" setzen kann und das OS sie nicht einmal mehr sieht. Keine Nebeneffekte und zudem kompatibel mit allen Hypervisorgenerationen, während Floppies bei z.B. Hyper-V Gen2 gar nicht mehr angeboten werden - an dieser Stelle noch einmal Danke an @C.R.S. für den Tipp.

Ist dieses Vorgehen sicher?
Wer Zugriff auf die Schlüsseldatei UND auf die virtuelle Festplatte hat, hat die VM „im Sack“. Somit sollte man sichergehen, dass die Datei der virtuellen Floppy/Festplatte wirklich sicher verwahrt ist, also die Freigabe- und ggf. NTFS-Rechte ebenso wie den physikalischen Zugriff auf den Server absichern.

Ist dieses Vorgehen von Microsoft supported?
Nein! Dennoch sehe ich keine Gefahr, es einzusetzen und habe das schon vor 10 Jahren so gemacht. Offiziell supported ist es nur mit vTPM, also Hyper-V und Gen2 Maschinen.

Wie verhält es sich mit Datenlaufwerken?
Diese können entweder per Autounlock automatisch nach dem Start eingebunden werden, oder man benutzt für sie einen eigenen Startupkey und einen geplanten Task, um sie zu mounten. Beispiel für die Aktion des geplanten Tasks:
01.
manage-bde -unlock d: -rk \\server\share\{keyid}.bek
Wie würde das Ganze mit Oracle Virtualbox VMs oder VMWare workstation laufen?
Exakt gleich.

Und wie würde es mit Hyper-V der aktuellen Generation auf einer VM Gen2 laufen?
Hier würde man einfach einen virtuellen TPM („vTPM“) nehmen und verschlüsseln wie mit einem physikalischen TPM auch. Dokumentationen zum Shielding von VMs mittels TPM gibt es im Netz viele, Suchbegriffe: shielding zusammen mit vTPM.

Auf „alten“ Hyper-V Hosts und/oder „alten“ Gastsystemen (Gen1) müsste man ohne vTPM auskommen und ebenso das geschilderte Vorgehen benutzen.

* gpedit.msc öffnen, dort zu „Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Bitlocker-Laufwerksverschlüsselung/Betriebssystemlaufwerke“, gehen und „Zusätzliche Authentifizierung beim Start anfordern“ öffnen ->aktivieren und Haken setzen bei „Bitlocker ohne kompatibles TPM zulassen …“

Dies ist ein Zusatz zum Hauptartikel Meine Wissenssammlung zu Bitlocker
Mitglied: C.R.S.
09.11.2018 um 19:46 Uhr
[Wer nicht möchte, dass eine Schlüsseldatei ständig zugänglich in Laufwerk a: schlummert, muss eben per GPO den Zugriff auf Wechselmedien verbieten, die Floppy zusätzlich mit NTFS formatieren (mit 3rd party tools) und mit ACLs arbeiten, oder diese per Skript nur zum Start der Maschine einlegen.]

Das geht einfacher und vor allem auch in VMs der zweiten Generation, indem man anstelle der Floppy eine VHD nimmt und sie offline setzt (Admin-Rechte für den Zugang erforderlich).

Grüße
Richard
Bitte warten ..
Mitglied: UweGri
09.11.2018 um 22:50 Uhr
Guten Abend!

Ich nutze BL seit Jahren "verschachtelt". Also LW Bitlockern und darin eine VM ebenfalls. Das LW C lässt sich zumindest bei Virtualbox ohne TPM (lehne ich eh ab (*)) chiffrieren, mittels PW Abfrage beim Start. Weitere LW ebenso.

(*) Es gab vor Tagen einen Artikel, das hardwarebasierte SSD Chiffrierung den Overkill hat. Weltweit ohne Firmwareupdate ab sofort als unsicher gilt. War ein Artikel bei DrWindows. Bei einem TPM ist diese Unsicherheit auch gegeben.

Mir ist klar, dass für eine gute Administration vieles automatisiert sein muss, aber genau das verträgt sich nicht mit dem Konzept Chiffrierung.

Danke für den Beitrag!

Uwe
Bitte warten ..
Mitglied: DerWoWusste
10.11.2018 um 11:55 Uhr
Hi Richard.

Danke für den Hinweis - ja, das klappt auch und mag einfacher erscheinen als die GPO, zumal es keine Nebeneffekte hat. Nehme ich gleich mit auf.
Bitte warten ..
Ähnliche Inhalte
Sicherheitsgrundlagen
Tipp zur UAC-Nutzung
Tipp von DerWoWussteSicherheitsgrundlagen3 Kommentare

Ziel des Tipps: Einen Vorschlag zu machen, wie man die UAC sicher benutzt Hintergrund: das oft zu beobachtende falsche ...

Webbrowser

Adobe Flash: Nutzung im Februar 2018 bereits auf 8 Prozent gefallen

Information von kgbornWebbrowser1 Kommentar

Noch eine kurze Information für die Statistik-Liebhaber. Die Nutzung von Adobe Flash in Webseiten ist stark im Rückgang begriffen. ...

Sicherheit

Anixis Password Policy Enforcer 9 ist raus und bietet nun Nutzung der Pwned Passwords list

Information von DerWoWussteSicherheit4 Kommentare

Vielleicht interessant für den einen oder anderen: Die meiner Ansicht nach gute Software Anixis PPE geht in die neunte ...

Neue Wissensbeiträge
Humor (lol)
Und wie seid Ihr gegen Cyberattacken gewappnet?
Information von DerWoWusste vor 1 TagHumor (lol)5 Kommentare

aber wo ist der Hammer? :-)

Sicherheit
Ein weiterer Microsoft-Stirnklatscher
Information von DerWoWusste vor 2 TagenSicherheit7 Kommentare

Habe gerade einen Artikel zu einem Sicherheitsproblem gefunden, welches mir zu seiner Zeit (gepatcht 2015) wohl durchgerutscht ist. Es ...

Windows 10
Upgradepfade Windows 10 LTSC
Erfahrungsbericht von Datenreise vor 2 TagenWindows 10

Nur eine kurze Info, für diejenigen, die es interessiert, da es hierzu im Netz aus nachvollziehbaren Gründen nicht allzu ...

Administrator.de Feedback
Wartungsarbeiten heute Nacht (Update)
Information von Frank vor 2 TagenAdministrator.de Feedback10 Kommentare

Hallo User, durch Umbauarbeiten in unserem Rechenzentrum (am Backbone) kann es heute Nacht (14-15.01.2019) zu kurzen Ausfällen unserer Seite ...

Heiß diskutierte Inhalte
Microsoft
SFirm 4.0 auf Terminalserver startet für jeden angemeldeten Benutzer diverse Dienste
Frage von Frank84Microsoft25 Kommentare

Hallo zusammen, wir verwenden Sfirm 4.0 auf einem Terminalserver (der SQL Server ist auf einem separaten Server), das Problem ...

Windows 10
Windows 10 - kein Boot mehr nach Domänenaustritt
gelöst Frage von Ghost108Windows 1025 Kommentare

Hallo zusammen, habe hier eine Windows 10 Maschine, die ich gerne aus der Domäne austreten lassen möchte. Nach Austritt ...

Windows 10
VM wächst schnell von 14 auf 35 GB an - warum?
Frage von degudejungWindows 1018 Kommentare

Hallo, ich bin ein Freund schlanker VMs und setze daher gerne mit dem Erscheinen einer neuen Win10 Version - ...

Internet
Google-Suchergebnisse, Schnelleinblendung, woher kommt der Inhalt?
gelöst Frage von departure69Internet17 Kommentare

Hallo. Ich bin der Systembetreuer einer kleinen Gemeinde in Süddeutschland. Wir betreiben auch eine Leihbücherei. Eine Kundin hat letzten ...