BitLocker-Wiederherstellungsschlüssel aus ActiveDirectory auslesen

Seit Windows 8 ist die Laufwerksverschlüsselung BitLocker auch in den üblicherweise verwendeten Pro bzw. Professional Versionen von Windows enthalten. Aus Sicherheitsgründen sollte sie auf jeden Laptop aktiviert werden!

Um BitLocker vernünftig verwenden zu können ist ein Laptop mit integrietem TPM-Chip erforderlich. Dies ist bei Business-Laptops immer der Fall (evtl. muß TPM einmalig im BIOS aktiviert werden), bei Laptops für Home User fehlt der TPM-Chip normalerweise. In diesem Fall kann zwar per Gruppenrichtline ein Modus aktiviert werden in dem BitLocker auch ohne TPM-Chip verwendet werden kann, aber dann muß direkt nach jedem Einschalten/Neustart ein zusätzliches BitLocker-Kennwort eingegeben werden. Dies ist auf Dauer sehr nervig und daher nicht wirklich praktikabel.

Die Aktivierung von BitLocker ist sehr einfach: Rechtsklick auf das zu verschlüsselnde Laufwerk im Windows Explorer, “BitLocker aktivieren” wählen und durch den Assistenten klicken. An einer Stelle wird man dabei aufgefordert den Wiederherstellungsschlüssel entweder auszudrucken oder als Textdatei auf einem anderen Laufwerk zu sichern. Nach einem Neustart startet die Verschlüsselung, die je nach Festplattengröße schon einige Zeit erfordern kann. Im Normalbetrieb hat man anschließend keine spürbare Verlangsamung durch BitLocker. Moderne SSDs verschlüsseln außerdem durch Hardwareunterstützung in Echtzeit!

Wenn man jetzt z.B. bei einem Defekt des Laptops von extern auf die verschlüsselte Festplatte zugreifen muß, benötigt man zwingend den BitLocker-Wiederherstellungsschlüssel. Diesen hat man zwar bei der Verschlüsselung gedruckt bzw. gesichert, aber im Zweifelsfall ist er nicht da wenn man ihn braucht! Da wäre es schon sehr praktisch wenn man den BitLocker-Wiederherstellungsschlüssel einfach aus dem AD auslesen könnte. Dies ist auch sehr einfach möglich, allerdings muß dies vorab in mehreren Schritten manuell eingeschaltet werden:

Angezeigt wird der BitLocker-Wiederherstellungsschlüssel in einem zusätzlichen Reiter in den Eigenschaften des Computers in “Active Directory-Benutzer und -Computer”. Damit dieser Reiter angezeigt wird, muß einmalig mit dem Server-Manager das Feature “Verwaltungsdienstprogramme für die BitLocker-Laufwerksverschlüsselung” inkl. der beiden Unterpunkte hinzugefügt werden. Zusätzlich wird dadurch auch der Befehl “Kennwort für BitLocker-Wiederherstellung suchen …” im Kontextmenü des Domänennamens in “Active Directory-Benutzer und -Computer” hinzugefügt.

Damit in diesem Reiter auch etwas angezeigt werden kann, muß der BitLocker-Wiederherstellungsschlüssel vorher im AD gesichert worden sein. Das wird er nur wenn man die Gruppenrichtlinie “Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke -> Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können” aktiviert und darin die beiden Punkte “BitLocker-Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS speichern” und (sinnvollerweise) “BitLocker erst aktiveren, nachdem Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS gespeichert wurden” markiert.

Wenn man jetzt an einem Laptop BitLocker aktiviert, wird der BitLocker-Wiederherstellungsschlüssel automatisch im AD gesichert und kann über den oben beschriebenen Reiter einfach wieder ausgelesen werden.

Stellt sich natürlich die Frage wie man bereits existierende BitLocker-Wiederherstellungsschlüssel nachträglich ins AD bekommt: Dies ist über PowerShell möglich, allerdings muß man dazu an dem entprechenden Laptop sitzen. Wie auf dieser Seite beschrieben, kann man sich mit dem Befehl

manage-bde -protectors -get c:

den verwendeten BitLocker-Wiederherstellungsschlüssel inkl. dazugehörigem BitLocker-Bezeichner (wird unter der Überschrift “Numerical Password” als “ID” in geschweiften Klammern ausgegeben) anzeigen lassen. Mit

manage-bde -protectors -adbackup c: -id '{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}'

und der mit dem ersten Befehl ausgelesenen ID kann der BitLocker-Wiederherstellungsschlüssel ins AD geschrieben werden und ist dann auch sofort im oben beschriebenen Reiter sichtbar.