Bitlocker-Wiederherstellungs-Agent
Microsoft hat mit
Windows Vista die Bitlocker-Laufwerksverschlüsselung eingeführt.
Bei Einsatz von
Verschlüsselungstechnologien ist es empfehlenswert für den Fall, das der
normale Weg zum Entschlüsseln der Daten oder Laufwerke nicht funktioniert,
einen Weg bereitzustellen, die Daten wiederherzustellen. Bitlocker bietet
mehrere Wege. Einer ist im Unternehmensnetzwerk der Wiederherstellungsagent. Um
einen Bitlocker-Wiederherstellungs-Agenten in einen Netzwerk mit AD DS
einzurichten, muss ein Zertifikat für den entsprechenden Benutzer erstellt und
dieses auf die Computer verteilt werden.
In den
administrativen Vorlagen der Gruppenrichtlinie muss die Unternehmens ID
konfiguriert sein.
Die Konfiguration
des BitLocker Wiederherstellungs-Agenten lässt sich in vier Schritte
unterteilen
Vorbereiten der PKI zur Bereitstellung
der Zertifikatvorlage
Bereitstellen der
Zertifikatvorlage für den Bitlocker-Wiederherstellungs-Agenten
Zertifikat registrieren und exportieren
Erstellen des Bitlocker-Wiederherstellungs-Agenten
Vorbereiten der PKI zur Bereitstellung der Zertifikatvorlage
Um die benötigten
Anwendungsrichtlinien für die Zertifikatvorlagen zur Verfügung zu haben, muss
das Feature BitLocker-Laufwerksverschlüsselung auf dem Domänencontroller, der
die Betriebsmasterrolle Schemamaster ausführt, installiert werden.
Klicken Sie im
Server-Manager auf Verwalten > Rollen und Features hinzufügen. Wählen
Sie > Rollenbasierte oder
featurebasierte Installation. Wählen
Sie den Server aus. Klicken Sie auf
der Seite Rollen auf > Weiter.
Wähle Sie auf der
Seite Features das Feature > BitLocker-Laufwerksverschlüsselung.
Bestätigen Sie die Installation der zusätzlichen Features > Features hinzufügen.
Bereitstellen der Zertifikatvorlage für den Bitlocker-Wiederherstellungs-Agenten
Nachdem die
Installation abgeschlossen und der Server neu gestartet wurde, erstellen Sie eine
Zertifikatvorlage für den BitLocker-Wiederherstellungs-Agent. Öffnen Sie die
Konsole Zertifizierungsstelle.
Klicken Sie mit der rechten Maustaste auf > Zertifikatvorlagen.
Klicken Sie auf
> Verwalten.
Die Konsole Zertifikatvorlagen wird geöffnet.
Klicken Sie mit der
rechten Maustaste auf die Zertifikatvorlage > Key Recovery Agent
Klicken Sie auf
> Vorlage duplizieren
Auf der Karteikarte
Allgemein vergeben Sie einen Namen für
die Vorlage und konfigurieren sie die Gültigkeitsdauer des Zertifikats.
Auf der Karteikarte
Erweiterungen markieren Sie Anwendungsrichtlinien und klicken auf
> Bearbeiten. Wählen Sie die
beiden BitLocker-Richtlinien aus.
Auf der Karteikarte
Ausstellungsvoraussetzungen
deaktivieren Sie die Option Genehmigung
von Zertifikatverwaltung der Zertifizierungsstelle.
Auf der Karteikarte
Sicherheit legen Sie fest, wer ein Zertifikat auf Basis dieser
Zertifikatvorlage registrieren darf.
Anschließend wird
die Zertifikatvorlage aktiviert.
Klicken Sie in der
Konsole Zertifizierungsstelle mit
der rechten Maustaste auf Zerifikatvorlagen
> Neu > Auszustellende Zertifikatvorlage.
Wählen Sie die neue
Zertifikatvorlage > OK
Zertifikat registrieren und exportieren
Nun kann das
Zertifikat des zukünftige Wiederherstellungs-Agent registriert und exportiert
werden. Dazu melden Sie sich mit den entsprechenden Anmeldeinformationen an
einem Computer an.
Öffnen Sie die MMC
und fügen das Snap-in Zertifikate
hinzu.
Klicken Sie auf
> Zertifikate - Aktueller Benutzer
> Eigene Zertifikate. Mit der rechten Maustaste auf > Zertifikate > Alle Aufgaben > Neues
Zertifikat anfordern
Im Assistenten klicken
Sie zweimal auf > Weiter bis die verfügbaren Zertifikate angezeigt
werden.
Hier wählen Sie das
Zertifikat für den BitLocker-Wiederherstellungs-Agent aus und klicken auf > Registrieren.
Nach erfolgreicher Registrierung des
Zertifikates klicken Sie auf > Fertig
stellen
Das neue Zertifikat
muss in zwei Dateien exportiert werden. Für die Erstellung des
Wiederherstellungs-Agenten wird eine *.cer Datei benötigt, für die Bestätigung
der Identität des Wiederherstellungs-Agenten eine *.pfx Datei. Diese Datei
sollte sicher verwahrt werden, und nur für die Dauer der Wiederherstellung von
Laufwerken auf dem Computer des Wiederherstellungs-Agenten importiert werden.
Um das Zertifikat
zu exportieren klicken Sie mit der rechten Maustaste auf das > Zertifikat > Alle Aufgaben >
Exportieren
Auf der Startseite
des Zertifikatexport-Assistent klicken Sie auf > Weiter
Sie wählen aus ob
der private Schlüssel exportiert werden soll. Wählen Sie > Nein, privaten Schlüssel nicht exportieren
bestimmen Sie auch den Dateityp. Es können Dateien des Typ's *.cer oder *.p7b
erstellt werden, die nur den öffentlichen Schlüssel des Zertifikates enthalten.
Ändern Sie die
Auswahl nicht, klicken Sie > Weiter
Klicken Sie auf Durchsuchen, geben Sie den Speicherpfad
und Namen der Datei an > Weiter
Auf der
Übersichtsseite klicken Sie auf >
Fertig stellen.
Nach erfolgreichem
Export klicken Sie auf > OK
Um die *.pfx Datei
zu erstellen, starten Sie den Zertifikatexport-Assistent noch einmal.
Wählen Sie diesmal
> Ja, privaten Schlüssel exportieren
, klicken Sie auf > Weiter
Zusätzlich müssen
Sie ein Kennwort für die Datei angeben, der weitere Ablauf entspricht der *.cer
Datei.
Die *.cer Datei
muss nun auf dem Domänencontroller bereitgestellt werden, die *.pfx Datei
sollte an einem sicheren Ort verwahrt werden.
Erstellen des Bitlocker-Wiederherstellungs-Agenten
Mit der *.cer Datei
wird der BitLocker Wiederherstellungs-Agent erstellt.
Öffnen Sie die
Gruppenrichtlinienverwaltung. Klicken Sie auf > Computerkonfiguration > Richtlinien > Windows-Einstellungen >
Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel
Klicken Sie mit der
rechten Maustaste auf > BitLocker-Laufwerksverschlüsselung
> Datenwiederherstellungs-Agent hinzufügen
Klicken Sie auf
> Ordner durchsuchen, wählen Sie
die *.cer Datei aus, klicken Sie auf > Öffnen.
Klicken Sie auf
> Weiter
Der BitLocker
Wiederherstellungs-Agent ist erstellt.