Endpoint Security - Bitlocker

Als Teil der Serie zu Endpoint Security ist natürlich Bitlocker eine wichtige Komponente. Für "einfache" Diebe ist natürlich das Endgerät selbst erst mal interessant. Auch wenn Notebooks doch relativ günstig geworden sind, so ist schon noch ein beträchtlicher Unterschied zwischen einem "Business Notebook" und einem "Volks Netbook". Dieser Personenkreis wird auch eine verschlüsselte Festplatte nicht stören, solange er sie neu formatieren und dank des überall aufgeklebten Lizenzschlüssel frisch installieren kann. Hier kann aber schon ein BIOS-Kennwort in den meisten Fällen die erste Freude vergällen, wenn letztlich nur noch Akku und Display als "Ersatzteile" verkauft werden können.

Tipp: Zettel mit Adresse mit Aussicht auf Finderlohn unter den Akku kleben.
Dann erhalten sie vielleicht ihr Notebook für wenige Geld zurück und minimieren den Verlust.

Wäre der Notebook aber ungeschützt, dann ist schon fast Volkssport mal zu sehen, was man noch in Erfahrung bringen kann. Tools und Wissen können Sie in einschlägigen Foren erhalten und Knoppix und Konsorten sind schon auf Grundschulen bekannt, um Schutzmechanismen zu umgehen.

Windows 7 Bitlocker kann hier helfen, den Schaden zu reduzieren, indem nur eine kleine Basispartition zum  Booten unverschlüsselt ist und alle anderen Bereiche komplett verschlüsselt sind. Technisch wird eine kleine Systempartition (unverschlüsselt) angelegt, von der ein Bootloader startet, der dann den Zugriff auf die verschlüsselte Partition einrichtet. Dazu benötigt er natürlich den kryptografischen Schlüssel, der von einem USB-Stick oder aus dem TPM-Chip kommen kann. Der TPM-Chip kann zusätzlich per PIN und/oder USB-Key geschützt werden.

Achtung
Solle der TPM-Chip eine unerlaubte Veränderung erkennen und daher das System als nicht mehr "Trusted" ansehen, dann kommen Sie nur noch mit dem gesicherten Encryption-Key an die Daten. Wenn der PC Mitglied einer Windows 2008 Active Directory Umgebung ist, dann sollten sie "VORHER" eine Gruppenrichtlinie einrichten, die die Ablage des Schlüssels im Active Directory erzwingt.

PDF Betrachtung zu Bitlocker unter Windows Vista
http://testlab.sit.fraunhofer.de/content/output/project_results/bitlocker/
http://testlab.sit.fraunhofer.de/content/output/project_results/bitlocker/BitLocker-Leitfaden.pdf
Beschreibt zwar noch Bitlocker unter Windows Vista RTM und kennt daher die Verbesserungen von Windows 7 noch nicht, aber es ist ein sehr guter Einstieg in die Materie

WHITEPAPER: Microsoft BitLocker Administration and Monitoring Deployment Guide (80Seiten, 1.62MB)
http://www.microsoft.com/en-us/download/details.aspx?id=38398

Konfiguration per Gruppenrichtlinien

Die komplette Vorgabe der Bitlocker-Einstellungen ist über Gruppenrichtlinien möglich und sollte hier auch Firmenweit vorgegeben werden. Nur so ist sicher gestellt, dass alle PCs auch die richtigen Einstellungen bei der Verschlüsselung umsetzen

Wichtig
Die Einstellungen der Gruppenrichtlinien wirken nur auf die Einrichtung der Verschlüsselung aber nicht auf Bitlocker selbst. Wer also nachträglich andere Vorgaben macht, muss die bestehenden Systeme entweder komplett entschlüsseln und neu verschlüsseln oder bestimmte Einstellungen per "Manager-BDE"-Kommandozeile umstellen.

Hier ein paar Bilder zu den Einstellungen:

Beachten Sie hier, dass die Einstellungen auf "Bitlocker Drive Encryption nur für Windows Vista und Windows 2008 gelten. Einstellungen für Windows 7 und Windows 2008R2 sind in den drei Unterschlüsseln zu finden, die mehr Optionen anbieten.

Ganz besonders sollten Sie folgende Konfiguration in den Gruppenrichtlinien beachten. Sie stellt ein, welche verschiedenen Verfahren freigeschaltet sind und jede der vier Einstellungen kennt die Option "Erforderlich, Zulassen und nicht zulassen".

Fatal ist hierbei, dass die MMC zur Verwaltung der GPOs nicht auf einen Konfigurationskonflikt hinweist: Wenn Sie eine dieser vier Optionen z.B.: auf "Erforderlich" stellen und eine andere auf "Erlauben", dann erhalten bei der Einrichtung nur eine ziemlich nichtssagende Fehlermeldung, dass die Gruppenrichtlinien einen Konflikt hätten.

Das wird deutlich wenn Sie "TPM-Start konfigurieren" so interpretieren, dass damit TPM erst aktiviert/gefordert wird. Diese Einstellung steuert aber den Start mit "TPM alleine", also ohne weitere PIN oder Systemstartschlüssel (=USB-Laufwerk mit Key). Wenn Sie diese Option daher im Irrglauben "erforderlich" setzen und dann noch eine andere Option als erforderlich einstufen, haben Sie ihren Konflikt. Sie sollten also hier die Optionen verbieten, die sie nicht unterstützen wollen und genau einen Eintrag erzwingen. Oder sie lassen den Benutzern die Wahl zwischen verschiedenen Optionen und erzwingen keine Option.

Wichtige Information
Die Veröffentlichung im Active Directory funktioniert nur, wenn das Computerkonto die Rechte hat (ab Windows 2008 per Default, bei Windows 2003 zu setzen) und per Gruppenrichtlinie dies dem Client auch erlaubt ist. Hierbei ist zu beachten, dass die Einstellungen zu Bitlocker durch Vista-Richtlinien NICHT für Windows 7 gelten!! Das ist aber so nicht einfach zu ersehen.

Windows 7 nutzt nur die Einstellungen in den Unterbereichen "Betriebssystemlaufwerke, Festplattenlaufwerke und Wechseldatenträger)

Lesen Sie daher bei den GPO-Einstellungen genau durch, für welche Version die Einstellungen gültig ist. Einige Einstellungen sind mit "Mindestens Windows Vista" gekennzeichnet, was dann auch Windows 7 und Windows 2008 einschließt. Andere sind aber erst für Windows 7 oder gar "nur für Vista und Windows 2008" und damit nicht für Windows 7 oder Windows 2008R2 zutreffend.

Bein Einsatz von TPM müssen Sie zusätzlich noch eine Richtlinie Unter System\Trusted Platform Module Services

Note: TPM initialization may be needed during BitLocker setup. Enable the policy setting to "Turn on TPM backup to Active Directory Domain Services" in "System\Trusted Platform Module Services\" to ensure that TPM information is also backed up.
Quelle:GPMC Hilfe

Wenn Sie dann versuchen Bitlocker auf einem PC zu aktivieren, der den DC nicht erreichen kann, dann sehen Sie folgende Meldung:

Einen anderen Fehler hatte ich auf einem Notebook, dessen Disk per Acronis "gecloned" (Offline) und dann über die Windows 7 Wiederherstellung der Bootsektor korrigiert wurde. Dabei wurde aber nicht der MBR entsprechend "gefixt", was zu folgender Fehlermeldung führte:

Hier half dann der Start von der Windows 7 DVD und der Sprung in die Wiederherstellung per Kommandozeile:

Bootrec.exe /FixMBR
BootSect.exe /nt60 All

Schlüssel im AD hinterlegen

Wenn sie "sicher" sein wollen, dass ein Notebook auch nicht durch fremde "Dienste" ausgelesen wird, dann sollten Sie den RecoveryKey vielleicht besser nicht im Active Directory speichern.
Real betrachtet: Firmendaten liegen auf einem Notebook in der Regel sowieso nur als "Kopie" vor und werden auf die Server ihrer Firma repliziert oder gesichert. Im Falle eines Verluste kann man den Notebook auch neu aufsetzen. Zudem können Sie auch immer noch ein ausreichend langes Kennwort parallel zum TPM-Chip einsetzen.

Über einen passende Anwendung kann dann der berechtigte Personenkreis das hinterlegte Kennwort nutzen, um wieder den Zugriff auf eine Festplatte zu gewähren. Beim Einsatz von TPM sollten sich auch dort die Sicherung im Active Directory aktiviert werden (System\Trusted Plattform Modul Dienste)

Für Windows Vista oder Windows 2008 ist das Tool ein separater Download:

BitLocker Repair Tool
32bit http://www.microsoft.com/downloads/genuineValidation.aspx?familyid=16088271-f95d-4c5c-9ea9-03746c96ffff&displaylang=en
64bit http://www.microsoft.com/downloads/details.aspx?familyid=80749FCA-E3C4-4FEE-BB09-90E714FA6B4C&displaylang=en
928202 How to use the BitLocker Recovery Password Viewer for Active Directory Users and Computers tool to view recovery passwords for Windows Vista

Danach wurde die MMC für Benutzer und Computer entsprechend erweitert. Auf der Domäne ist eine Suche möglich und auch auf dem Computerkonto kommt eine Karteikarte dazu

Alternativ kann man auf dem Computerobjekt die Daten einsehen, wenn man den Namen des Computers kennt:

Die Einrichtung von Bitlocker in einem Netzwerk ist aber nicht als "Plug and Play"-Operation zu verstehen!. Hier ist durchaus eine Planung der Berechtigungen erforderlich, nicht dass jeder Domain Benutzer die Bitlocker-Schlüssel der Geschäftsführernotebooks auslesen kann. Im wesentlichen sind dazu folgende Schritte erforderlich:

  1. CScript Add-TPMSelfWriteACE.vbs
    Damit das Objekt "Self" Schreibrechte auf das Feld "ms-TPM-OwnerInformation" bekommt.
    http://technet.microsoft.com/en-us/library/cc749026(WS.10).aspx
    http://www.microsoft.com/downloads/details.aspx?FamilyID=3a207915-dfc3-4579-90cd-86ac666f61d4&DisplayLang=en
    DIES IST ERFORDERLICH, UM DIE TPM-Informationen zu speichern
  2. Gruppenrichtlinie anpassen
    Damit die Clients auch angewiesen werden, dieses Feld zu schreiben, müssen Sie eine GPO entsprechend einrichten oder das Bitlocker Tools mit den passenden Optionen starten. Das wird z.B. durch System Center Configuration Manager genutzt.
  3. Bitlocker auf den Client aktivieren
    Das kann entweder per GUI durch den Anwender oder Installateur erfolgen oder indem Sie die Befehle per Kommandozeile über "Manage-BDE" absetzen, z.B. im Rahmen einer Unattended Installation oder per Softwareverteilung.

nachträglich können Sie den Key natürlich auch noch veröffentlichen, z.B. als lokaler Administrator mit:

REM Auslesen der GUIDs zu den Schluesseln
manage-bde -protectors -get c:

REM Hochladen des Recovery Key in das AD
manage-bde -protectors -adbackup c: -ID {12345678-1234-ABCD-4567-123456789012}

Wenn Sie nun einfach mit ADSIEDIT oder DSA.MSC sucht, wird erst mal nicht am Computerobjekt selbst fündig werden. In einem Untercontainer liegt das entsprechende Objekt. Die MMC mit aktiviertem Snapin zeigt das an bzw. sucht danach, wenn Sie die ersten 8 Stellen eingeben. Wer sich mit LDAP beschäftigt, wird aber sehr schnell eine Suchmöglichkeit finden. Die Informationen stehen im Feld "msFVE- RecoveryInformation".

(msFVE-RecoveryPassword=*)

oder

(objectclass=objectclass=msFVE-RecoveryInformation))

Entsprechend schnell kann man per Powershell o.ä. zu einem Computer auch die Revovery-Information ermitteln oder eine Liste generieren, indem man einfach alle Computer sucht und mit diesen als Basis-DN nach Unterobjekten vom Typ "objectclass=msFVE-RecoveryInformation)"

Die Information über TPM-Chip-Daten stehen aber wieder auf dem Computerobjekt im Feld "msTPM-OwnerInformation". Auf diese

Bitlocker per Kommandozeile

Die Verwaltung von Bitlocker ist über die Kommandozeile möglich. Hierüber können Sie z.B. die Wiederherstellungsschlüssel auch nachträglich in das AD überführen oder PIN ändern oder die "Protectors" umstellen

REM Diese Befehle bitte mit administrativen Berechtigungen ausfuehren.
REM Auslesen der aktellen Keys der C:-Festplatte
manage-bde -protectors c: -get

BitLocker-Laufwerkverschlüsselung: Konfigurationstoolversion 6.1.7600
Copyright (C) Microsoft Corporation. Alle Rechte vorbehalten.

Volume "C:" [FC-MOBIL C-500GB]
Alle Schlüsselschutzvorrichtungen

    TPM:
      ID: {87654321-1234-5678-ABCD-ABCDEFGH1234}

    Numerisches Kennwort:
      ID: {ABCDEFGH-ABCD-ABCD-ABCD-ABCDEFGH1234}
      Kennwort:
        xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx

    Externer Schlüssel:
      ID: {09E67E09-C167-4181-981F-766291001FED}
      Name der externen Schlüsseldatei:
        09E67E09-C167-4181-981F-766291001FED.BEK
REM Optional weitere RecoveryPassworte addieren
manage-bde -protectors -add -RecoveryPassword C:
REM Key im AD publizieren
manage-bde -protectors c: -adbackup -ID {ABCDEFGH-ABCD-ABCD-ABCD-ABCDEFGH1234}
BitLocker-Laufwerkverschlüsselung: Konfigurationstoolversion 6.1.7600
Copyright (C) Microsoft Corporation. Alle Rechte vorbehalten. 

Die Wiederherstellungsinformationen wurden in Active Directory gesichert.

Weitere nützliche Optionen sind:

Eine genaue Beschreibung finden Sie auch auf

Bitlocker und Exchange

Wenn Sie mit Bitlocker eine Festplatte transparent und mit wenig Performanceeinbußen verschlüsseln können, dann liegt es ja nahe, diese Funktion genauso über Domain Controller und insbesondere auch für Exchange Server zu verwenden. So lässt sich ein "offline-Angriff" auf das Active Directory oder ein Zugriff auf die Exchange Datenbank (z.B. mit Ontrack Powercontrols 6) zuverlässig verhindern. Natürlich bedeutet zusätzliche Arbeit auch weniger Leistung. Die Verschlüsselung mit Bitlocker wird aber mit 5-7% in dem meisten Fällen angegeben. Wenn die höhere Sicherheit erforderlich ist, wird dieser Preis sicher gerne zu zahlen sein.

Lange Zeit war aber genau der Einsatz mit Exchange 2010 nicht oder nur eingeschränkt möglich. Das hat sich aber im Februar 2011 geändert:

This means that if your DAG is running Windows Server 2008 R2 or later, once you download and install the QFE from 2446607, it is supported to use BitLocker for Exchange database and log file volumes in the DAG.
Quelle: New High Availability Feature Article and Updated Support Guidance for Exchange 2010 http://blogs.technet.com/b/exchange/archive/2011/02/25/458322.aspx

Die entsprechenden Einträge in der TechNet werden bald auch aktualisiert sein.

Exchange 2007 ist hingegen schon länger auf Windows 2008 unterstützt.

Bitlocker Disks kopieren

Seit Windows 7 habe ich meine primäre Notebookfestplatte mit Bitlocker verschlüsselt und bislang keine Einschränkungen bemerkt. Nun ist es aber normal, das auch eine 500 GB Festplatte irgendwann angefüllt wird und am Ende immer langsamer wird. Sicher wäre aufräumen und Löschen eine Lösung aber immer mehr Programme und Daten belegen natürlich auch immer mehr Platz. Da ist es einfacher (und billiger) einfach das nächst größere Modell einzubauen. So habe ich auch im November 2011 meine 500 GB Seagate Momentus 7200.4 mit 500 GB gegen eine große 1T Disk von Samsung (1MBB) ausgetauscht. Die Samsung hat zwar mit 8 MB nur die Hälfte des Cache und dreht auch nur mit 5400 U/Min, aber die doppelte Kapazität und dichtere Packung hilft schon weiter.

Die Frage war nur, wie ich nun die 100MB Startpartition und 500 GB mit Bitlocker verschlüsselte Partition auf die neue Festplatte bringen ?. Ein langwieriges "Entschlüsseln" von Bitlocker und späteres neues Verschlüsseln wollte ich mir ersparen. Hier meine Schritte zum Erfolg

Resümee: Übernahme geglückt, doppelt so viel Platz, vergleichbare Leistung, und ca. 10 Stunden "offline". Es ist entgegen einiger Aussagen in Foren möglichBitlocker-Disks komplett zu kopieren. Ohne den RecoveryKey sind die Daten weiterhin wertlos.

Weitere Links

Tags:Endpoint Security CA 802.1x Virenscanner