UEFI/SecureBoot nachträglich aktivieren

Veröffentlicht Veröffentlicht in Computer

Ich habe vor ein paar Tagen einen Windows 7 Laptop mit dem Media Creation Tool und Windows 10 neu installiert. Dabei habe ich leider vergessen vorher UEFI und SecureBoot zu aktivieren.

Einfach nachträglich im BIOS umstellen geht nicht, denn um mit aktivierem UEFI booten zu können muß die SSD den Partitionsstil „GPT“ verwenden. Tat sie aber nicht, es wurde noch der alte „MBR“ verwendet. In einem Artikel habe ich den Hinweis gefunden, dass es seit Windows 10-1703 (Creators Update) möglich ist den Partitionsstil nachträglich ohne Datenverlust zu konvertieren. Dazu muß man (vorher BitLocker deaktivieren!) den Rechner in der Eingabeaufforderung des Recovery Environments starten, dort zuerst mit

mbr2gpt /validate

überprüfen ob irgendwelche Probleme vorliegen und dann mit

mbr2gpt /convert

in wenigen Sekunden den Partitionsstil ändern. Beim anschließend erforderlichen Neustart sollte man dann gleich auf UEFI und SecureBoot umstellen. Das hat bei mir alles problemlos geklappt. Das ThinkPad hat interessanterweise nach der Umstellung auf UEFI beim Starten nicht mehr den „ThinkPad“- sondern einen „Lenovo“-Splashscreen angezeigt.

Dummerweise wurde mir beim anschließenden Aktivieren von BitLocker der Fehler „The system cannot find the file specified“ angezeigt, was natürlich nicht sehr hilfreich war. In einem TechNet-Thread bin ich auf den Hinweis gestoßen, dass durch die Konvertierung des Partitionsstils der Inhalt der Datei C:\Windows\System32\Recovery\REAgent.xml nicht mehr stimmt. Durch einfaches Umbenennen der Datei mit anschließendem Neustart wird die Datei mit den Standardwerten neu erstellt. Anschließend lies sich dann auch BitLocker ohne weitere Probleme aktivieren.

Beim Vergleichen der neu erstellten REAgent.xml mit der umbenannten alten Version ist mir aufgefallen dass in der neuerstellten Version sämtliche Werte auf Null bzw. leer standen, was mich befürchten lies dass das Recovery Environment dadurch nicht mehr funktionieren würde. Ich habe dann einen Artikel gefunden der sich mit genau dieser Frage beschäftigt und als einfachste Lösung anbietet mit (normal gebootet, nicht im Recovery Environment)

reagentc /disable
reagentc /enable

das Recovery Environment zu deaktivieren/aktivieren, wodurch die entprechenden Pfade und GUIDs in die REAgent.xml geschrieben werden sollten. Das war auch so, jetzt sieht die REAgent.xml beruhigenderweise wieder vernünftig aus.

BitLocker-Wiederherstellungsschlüssel aus ActiveDirectory auslesen

Veröffentlicht Veröffentlicht in Computer

Seit Windows 8 ist die Laufwerksverschlüsselung BitLocker auch in den üblicherweise verwendeten Pro bzw. Professional Versionen von Windows enthalten. Aus Sicherheitsgründen sollte sie auf jeden Laptop aktiviert werden!

Um BitLocker vernünftig verwenden zu können ist ein Laptop mit integrietem TPM-Chip erforderlich. Dies ist bei Business-Laptops immer der Fall (evtl. muß TPM einmalig im BIOS aktiviert werden), bei Laptops für Home User fehlt der TPM-Chip normalerweise. In diesem Fall kann zwar per Gruppenrichtline ein Modus aktiviert werden in dem BitLocker auch ohne TPM-Chip verwendet werden kann, aber dann muß direkt nach jedem Einschalten/Neustart ein zusätzliches BitLocker-Kennwort eingegeben werden. Dies ist auf Dauer sehr nervig und daher nicht wirklich praktikabel.

Die Aktivierung von BitLocker ist sehr einfach: Rechtsklick auf das zu verschlüsselnde Laufwerk im Windows Explorer, „BitLocker aktivieren“ wählen und durch den Assistenten klicken. An einer Stelle wird man dabei aufgefordert den Wiederherstellungsschlüssel entweder auszudrucken oder als Textdatei auf einem anderen Laufwerk zu sichern. Nach einem Neustart startet die Verschlüsselung, die je nach Festplattengröße schon einige Zeit erfordern kann. Im Normalbetrieb hat man anschließend keine spürbare Verlangsamung durch BitLocker. Moderne SSDs verschlüsseln außerdem durch Hardwareunterstützung in Echtzeit!

Wenn man jetzt z.B. bei einem Defekt des Laptops von extern auf die verschlüsselte Festplatte zugreifen muß, benötigt man zwingend den BitLocker-Wiederherstellungsschlüssel. Diesen hat man zwar bei der Verschlüsselung gedruckt bzw. gesichert, aber im Zweifelsfall ist er nicht da wenn man ihn braucht! Da wäre es schon sehr praktisch wenn man den BitLocker-Wiederherstellungsschlüssel einfach aus dem AD auslesen könnte. Dies ist auch sehr einfach möglich, allerdings muß dies vorab in mehreren Schritten manuell eingeschaltet werden:

Angezeigt wird der BitLocker-Wiederherstellungsschlüssel in einem zusätzlichen Reiter in den Eigenschaften des Computers in „Active Directory-Benutzer und -Computer“. Damit dieser Reiter angezeigt wird, muß einmalig mit dem Server-Manager das Feature „Verwaltungsdienstprogramme für die BitLocker-Laufwerksverschlüsselung“ inkl. der beiden Unterpunkte hinzugefügt werden. Zusätzlich wird dadurch auch der Befehl „Kennwort für BitLocker-Wiederherstellung suchen …“ im Kontextmenü des Domänennamens in „Active Directory-Benutzer und -Computer“ hinzugefügt.

Damit in diesem Reiter auch etwas angezeigt werden kann, muß der BitLocker-Wiederherstellungsschlüssel vorher im AD gesichert worden sein. Das wird er nur wenn man die Gruppenrichtlinie „Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke -> Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können“ aktiviert und darin die beiden Punkte „BitLocker-Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS speichern“ und (sinnvollerweise) „BitLocker erst aktiveren, nachdem Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS gespeichert wurden“ markiert.

Wenn man jetzt an einem Laptop BitLocker aktiviert, wird der BitLocker-Wiederherstellungsschlüssel automatisch im AD gesichert und kann über den oben beschriebenen Reiter einfach wieder ausgelesen werden.

Stellt sich natürlich die Frage wie man bereits existierende BitLocker-Wiederherstellungsschlüssel nachträglich ins AD bekommt: Dies ist über PowerShell möglich, allerdings muß man dazu an dem entprechenden Laptop sitzen. Wie auf dieser Seite beschrieben, kann man sich mit dem Befehl

manage-bde -protectors -get c:

den verwendeten BitLocker-Wiederherstellungsschlüssel inkl. dazugehörigem BitLocker-Bezeichner (wird unter der Überschrift „Numerical Password“ als „ID“ in geschweiften Klammern ausgegeben) anzeigen lassen. Mit

manage-bde -protectors -adbackup c: -id '{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}'

und der mit dem ersten Befehl ausgelesenen ID kann der BitLocker-Wiederherstellungsschlüssel ins AD geschrieben werden und ist dann auch sofort im oben beschriebenen Reiter sichtbar.