Auf dieser Seite

Auf dieser Seite

So speichern Sie BitLocker-Wiederherstellungsschlüssel sicher in Active Directory

BitLocker ist eine dieser Funktionen, die die meisten Windows-Nutzer erst dann richtig zu schätzen wissen. Dabei ist sie ziemlich leistungsstark – sie verschlüsselt Ihre Laufwerke und schützt Ihre Daten –, aber die Verwaltung der Wiederherstellungsschlüssel kann etwas umständlich sein, insbesondere in Unternehmensumgebungen. Der Clou: Speichern Sie diese Wiederherstellungsschlüssel in Active Directory. So können Sie, falls Sie Ihr Passwort vergessen oder ausgesperrt werden, die Schlüssel aus AD abrufen, ohne sich die Haare raufen zu müssen, wenn Sie nach ausgedruckten Belegen oder versehentlich verlorenen USB-Sticks suchen. Es ist beruhigend zu wissen, dass alles zentralisiert und sicher ist, aber die Einrichtung kann etwas verwirrend sein, wenn Sie mit Gruppenrichtlinien oder der Befehlszeile nicht vertraut sind.

Wenn Sie das richtig machen, vermeiden Sie hektische Anrufe, wenn sich jemand aussperrt oder ein Laufwerksfehler auftritt. Es mag etwas ungewöhnlich klingen, aber die automatisierte Speicherung von Wiederherstellungsschlüsseln spart Ihnen enorm viel Aufwand, wenn Sie viele Geräte verwalten. Die Wiederherstellungsschlüssel werden übersichtlich in Active Directory gespeichert und sind über die Verwaltungstools zugänglich, sodass Sie sie problemlos wiederherstellen oder überprüfen können. Konfigurieren Sie Gruppenrichtlinien, die diese Schlüssel automatisch sichern, und übertragen Sie vorhandene Schlüssel manuell – denn Windows übernimmt das bei älteren Verschlüsselungen nicht automatisch. Hier die wichtigsten Schritte.

So speichern und rufen Sie BitLocker-Wiederherstellungsschlüssel in Active Directory ab

Konfigurieren von Gruppenrichtlinien für die automatische Schlüsselsicherung

Hier scheitern die meisten Konfigurationen. Sie müssen die Gruppenrichtlinie festlegen, die Windows anweist, die Wiederherstellungsinformationen automatisch in Active Directory (AD) zu speichern. Warum? Weil Ihre Wiederherstellungsschlüssel sonst lokal gespeichert bleiben und nicht remote zugänglich sind. Bei korrekter Konfiguration wird der Wiederherstellungsschlüssel jedes mit BitLocker verschlüsselten Laufwerks automatisch in AD hochgeladen. Der Schlüssel wird dann im Tab „BitLocker-Wiederherstellung“ jedes Computerobjekts in AD angezeigt.

Hier wird es etwas technischer, aber es ist ganz einfach, wenn man den vorgegebenen Pfaden folgt:

  • Öffnen Sie die Gruppenrichtlinienverwaltungskonsole (GPMC).
  • Navigieren Sie zu Computerkonfiguration → Richtlinien → Administrative Vorlagen → Windows-Komponenten → BitLocker-Laufwerkverschlüsselung
  • Aktivieren Sie die Richtlinie mit dem Namen „BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichern“.
  • Aktivieren Sie für Betriebssystemlaufwerke außerdem die Option „Ermitteln, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können“ und prüfen Sie beide Optionen:
    • BitLocker-Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS speichern
    • Aktivieren Sie BitLocker erst, nachdem die Wiederherstellungsinformationen des Betriebssystemlaufwerks in AD DS gespeichert wurden.

Auf manchen Rechnern kann dies einen Neustart oder sogar eine Richtlinienaktualisierung ( gpupdate /forcein PowerShell) erfordern. Stellen Sie sicher, dass Sie die Richtlinie den richtigen Organisationseinheiten zugewiesen haben. Im schlimmsten Fall können Sie die Gruppenrichtlinienverwaltungskonsole verwenden, um Ihre Richtlinien mit der korrekten Organisationseinheit oder Domäne zu verknüpfen. Bei einer meiner Konfigurationen funktionierte es nach der ersten Aktualisierung – in anderen Fällen schien ein Neustart das Problem zu beheben.

Vorhandene BitLocker-Wiederherstellungsschlüssel in Active Directory speichern

Wenn Ihre Laufwerke bereits verschlüsselt sind, kein Problem – die oben genannte Richtlinie sichert diese alten Schlüssel nicht automatisch. Sie müssen sie manuell mit PowerShell oder CMD abrufen. Das ist zwar nicht elegant, funktioniert aber zuverlässig. Die folgenden Befehle erledigen das.

Öffnen Sie ein PowerShell-Fenster mit Administratorrechten. Um die Wiederherstellungs-ID eines Laufwerks abzufragen, führen Sie folgenden Befehl aus:

manage-bde -protectors -get c:

Dadurch werden viele Informationen ausgegeben, aber Sie benötigen die „ID für das numerische Passwort“ – sie sieht aus wie eine UUID, z. B.{05296A47-B528-43C9-9E1C-FE6ACBFE2538}. Sobald Sie diese haben, sichern Sie sie mit:

manage-bde -protectors -adbackup c: -id "{Your-UUID-Here}"

Dieser Befehl überträgt den Wiederherstellungsschlüssel an Active Directory. Bei erfolgreicher Ausführung wird die Meldung „Die Wiederherstellungsinformationen wurden in Active Directory gespeichert“ angezeigt. Je nach Konfiguration müssen Sie diesen Befehl auf manchen Systemen für jedes Laufwerk oder Gerät einzeln ausführen. Es funktioniert nicht immer beim ersten Versuch, aber in der Regel reicht ein erneuter Versuch oder ein Neustart aus.

So rufen Sie gespeicherte Wiederherstellungsschlüssel aus Active Directory ab

Sobald die Schlüssel in Active Directory gespeichert sind, ist der Zugriff darauf kinderleicht, aber Sie benötigen die richtigen Tools. In einer Domänenumgebung öffnen Sie üblicherweise das Snap-In „Active Directory-Benutzer und -Computer“ oder installieren besser den „BitLocker-Wiederherstellungskennwort-Viewer“.Dieses Tool kann über die Remoteserver-Verwaltungstools (RSAT) hinzugefügt werden.

Nach der Installation finden Sie auf jedem Computerobjekt Ihrer Domäne eine Registerkarte mit der Bezeichnung BitLocker-Wiederherstellung. Dort werden die Wiederherstellungskennwörter und -IDs angezeigt. Falls Sie Wiederherstellungsinformationen in großen Mengen oder per Skript abrufen müssen, können Sie Active Directory auch über PowerShell abfragen. Dies ist jedoch für fortgeschrittenere Konfigurationen gedacht.

Nur zur Info: Damit das funktioniert, benötigen Sie die entsprechenden Berechtigungen in Active Directory, typischerweise Domänenadministratorrechte oder delegierte Rechte. Andernfalls bleiben die Wiederherstellungsinformationen verborgen – was etwas ironisch ist, da sie ja bei Bedarf zugänglich sein sollen.

Zusammenfassend lässt sich sagen, dass die Einrichtung zwar etwas Konfigurationsaufwand erfordert, später aber viel Ärger erspart. Die manuelle Datensicherung bereits verschlüsselter Laufwerke ist etwas umständlich, aber nicht unmöglich – nur mühsam, wenn man viele Daten hat. Die automatische Vorgehensweise für neue Verschlüsselungen ist unkompliziert, sobald die Richtlinien eingerichtet sind.

Hoffentlich spart das ein paar Stunden Fehlersuche, wenn sich jemand aussperrt. Es ist die Mühe wert, um beruhigt zu sein.

Zusammenfassung

  • Konfigurieren Sie Gruppenrichtlinien über gpedit.msc oder die Gruppenrichtlinienverwaltungskonsole (GPMC), um Wiederherstellungsschlüssel automatisch hochzuladen.
  • Alte Wiederherstellungsschlüssel manuell mit manage-bdeBefehlen sichern
  • Verwenden Sie AD-Tools oder Shell-Skripte, um die Schlüssel später abzurufen.
  • Wenden Sie die Richtlinien auf die richtigen Organisationseinheiten an.

Zusammenfassung

Die Speicherung Ihrer BitLocker-Wiederherstellungsschlüssel in Active Directory ist beim ersten Mal etwas knifflig, aber die Mühe lohnt sich absolut. So können Sie Ihre Daten im Notfall wiederherstellen, falls Festplatten ausfallen oder Mitarbeiter Passwörter vergessen – alles an einem zentralen, geschützten Ort. Zugegeben, ein paar Befehle und Richtlinien sind nötig, aber sobald alles eingerichtet ist, ist es eine enorme Erleichterung. Außerdem ist Windows in solchen Angelegenheiten nicht immer intuitiv, daher ist die manuelle Datensicherung weiterhin nützlich, wenn Sie bereits mehrere Laufwerke verschlüsselt haben. Bei mir hat es funktioniert – ich hoffe, bei Ihnen auch.

Ähnliche Artikel

Zuletzt angesehen

War dieser Artikel hilfreich?