15
Bitlocker-Verschlüsselung Server 2008 R2
Hallo liebe Community,
ich habe hier einen Server 2008 R2 auf einem ESXi laufen. Es gibt zwei Partitionen, auf Laufwerk D liegen die Daten für die AD und für den Exchange Server.
Ist es möglich, Laufwerk D mit Bitlocker zu verschlüsseln?
Ein Kollege von mir testet das auf einem Testsystem, bekommt es aber nicht hin, da anscheinend das zweite Laufwerk währrend des Bootvorgangs noch verschlüsselt ist. Daher die Frage, ob das technisch überhaupt umsetzbar ist.
Vielleicht hat ja auch jemand How Tos / Best Practices zu diesem Thema ...
Gruß,
B.Böcherer
ich habe hier einen Server 2008 R2 auf einem ESXi laufen. Es gibt zwei Partitionen, auf Laufwerk D liegen die Daten für die AD und für den Exchange Server.
Ist es möglich, Laufwerk D mit Bitlocker zu verschlüsseln?
Ein Kollege von mir testet das auf einem Testsystem, bekommt es aber nicht hin, da anscheinend das zweite Laufwerk währrend des Bootvorgangs noch verschlüsselt ist. Daher die Frage, ob das technisch überhaupt umsetzbar ist.
Vielleicht hat ja auch jemand How Tos / Best Practices zu diesem Thema ...
Gruß,
B.Böcherer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 190041
Url: https://administrator.de/contentid/190041
Printed on: April 24, 2024 at 13:04 o'clock
15 Comments
Latest comment
Moin.
Man kann mit Bitlocker, sofern ein TPM-Chip verfügbar und trotz Virtualisierung auch nutzbar ist, mit Bitlocker Vollverschlüsseln. Genauer: Man könnte...
-Vollverschlüsselung machen, dürfte dann aber kein Kennwort angeben, falls der Server unbeaufsichtigt rebooten können soll (z.B. nach Absturz/Stromausfall) - Schutz würde hier also nur über das TPM bestehen
-Partitionsverschlüsselung von d: machen - hier müsste man mit dem Parameter -autounlock arbeiten. Wieder schützt nur das TPM.
Mit einer weiteren Verschlüsselung, diskcryptor oder truecrypt, könntest Du d: auch mit einem Keyfile verschlüsseln, um automatisches Unlocken zu erreichen. Sinnigerweise müsste das Keyfile jedoch auf einer Netzwerkfreigabe liegen und der dahinter stehende PC physikalisch geschützt sein. Das "Aufschließen" erfolgt per Kommandozeile (Startskript), Exchange wird nachgestartet, die Domänendienste ebenso.
Man kann mit Bitlocker, sofern ein TPM-Chip verfügbar und trotz Virtualisierung auch nutzbar ist, mit Bitlocker Vollverschlüsseln. Genauer: Man könnte...
-Vollverschlüsselung machen, dürfte dann aber kein Kennwort angeben, falls der Server unbeaufsichtigt rebooten können soll (z.B. nach Absturz/Stromausfall) - Schutz würde hier also nur über das TPM bestehen
-Partitionsverschlüsselung von d: machen - hier müsste man mit dem Parameter -autounlock arbeiten. Wieder schützt nur das TPM.
Mit einer weiteren Verschlüsselung, diskcryptor oder truecrypt, könntest Du d: auch mit einem Keyfile verschlüsseln, um automatisches Unlocken zu erreichen. Sinnigerweise müsste das Keyfile jedoch auf einer Netzwerkfreigabe liegen und der dahinter stehende PC physikalisch geschützt sein. Das "Aufschließen" erfolgt per Kommandozeile (Startskript), Exchange wird nachgestartet, die Domänendienste ebenso.
Hi,
erst einmal danke, für deine Antwort.
Als Verschlüsselungssoftware MUSS Bitlocker eingesetzt werden. Daher kommen andere Produkte nicht in Frage.
Der Server besitzt kein TPM-Chip, wir nutzen ein Floppy-Image als Ersatz.
Unbeaufsichtigter Reboot spielt keine Rolle. Muss der Server neu gebootet werden, muss erst manuell das Floppy der VM hinzugefügt werden. Nicht schön, ich weiß, aber in diesem Umfeld absolut akzeptabel.
Der Server soll nach einem Reboot voll verschlüsselt sein. Beide Partitionen. Allerdings gibt es z.Zt. das Problem, das Laufwerk D erst nach der Anmeldung freigegeben wird. Da die AD-Informationen alleridngs auf diesem Laufwerk liegen, gibt es Probleme.
erst einmal danke, für deine Antwort.
Als Verschlüsselungssoftware MUSS Bitlocker eingesetzt werden. Daher kommen andere Produkte nicht in Frage.
Der Server besitzt kein TPM-Chip, wir nutzen ein Floppy-Image als Ersatz.
Unbeaufsichtigter Reboot spielt keine Rolle. Muss der Server neu gebootet werden, muss erst manuell das Floppy der VM hinzugefügt werden. Nicht schön, ich weiß, aber in diesem Umfeld absolut akzeptabel.
Der Server soll nach einem Reboot voll verschlüsselt sein. Beide Partitionen. Allerdings gibt es z.Zt. das Problem, das Laufwerk D erst nach der Anmeldung freigegeben wird. Da die AD-Informationen alleridngs auf diesem Laufwerk liegen, gibt es Probleme.
Moin.
Deine Antwort lässt Verständnisprobleme in Bezug auf Verschlüsselungen erkennen:
Wenn Du mit Bitlocker vollverschlüsselst und dabei einen USB-Stick einsetzt, um beim Start zu unlocken, dann ist doch alles gut. Das würde auch in vmware gehen.
Du solltest zum besseren Verständniss auch erklären, was für ein Floppy-Image das sein soll - oder meinst Du damit einen (wie auch immer) emulierten USB-Stick? Floppies haben mit Bitlocker zunächst mal gar nichts zu tun, deswegen frage ich.
Deine Antwort lässt Verständnisprobleme in Bezug auf Verschlüsselungen erkennen:
Der Server soll nach einem Reboot voll verschlüsselt sein. Beide Partitionen
Er ist immer verschlüsselt. Die Frage ist nur, ob er unlocked ist, oder nicht. Sobald der Schlüssel im RAM ist, ist er unlocked.Wenn Du mit Bitlocker vollverschlüsselst und dabei einen USB-Stick einsetzt, um beim Start zu unlocken, dann ist doch alles gut. Das würde auch in vmware gehen.
Du solltest zum besseren Verständniss auch erklären, was für ein Floppy-Image das sein soll - oder meinst Du damit einen (wie auch immer) emulierten USB-Stick? Floppies haben mit Bitlocker zunächst mal gar nichts zu tun, deswegen frage ich.
Hi,
innerhalb einer VM (ESXi) können wir ein USB-Stick zum speichern des Schlüssels nicht nutzen, da von diesem nicht gebootet werden kann, was nötig wäre, nach dieser Anleitung:
http://www.networknet.nl/apps/wp/archives/395
Das ist nicht möglich, daher nutzen wir ein USB-Floppy-Image, wie dort beschrieben steht.
Vielleicht ist es ja grds. verkeht und es gibt eine bessere Lösung, aber wir haben bisher nicht hinbekommen, unseren virtuellen Server innerhalb des ESXi ohne TPM zu verschlüsseln.
Ziel ist es, dass der Server nur mit Schlüssel bootet, aber dann soll alles unlocked sein, da die entsprechenden Daten der AD auf einer separaten Partition liegen.
Ich hoffe, ich habe mich diesmal etwas verständlicher ausgedrückt ...
innerhalb einer VM (ESXi) können wir ein USB-Stick zum speichern des Schlüssels nicht nutzen, da von diesem nicht gebootet werden kann, was nötig wäre, nach dieser Anleitung:
http://www.networknet.nl/apps/wp/archives/395
Das ist nicht möglich, daher nutzen wir ein USB-Floppy-Image, wie dort beschrieben steht.
Vielleicht ist es ja grds. verkeht und es gibt eine bessere Lösung, aber wir haben bisher nicht hinbekommen, unseren virtuellen Server innerhalb des ESXi ohne TPM zu verschlüsseln.
Ziel ist es, dass der Server nur mit Schlüssel bootet, aber dann soll alles unlocked sein, da die entsprechenden Daten der AD auf einer separaten Partition liegen.
Ich hoffe, ich habe mich diesmal etwas verständlicher ausgedrückt ...
Erklär bitte, was dieses "USB-Floppy-Image" macht. Ich kann Floppy-Images an VMWare binden, klar. Und auf dem Image ist der Schlüssel, wenn ich Dich recht verstehe - aber wo hapert es dann?
Mir scheint, Du hast es schon so, wie Du es gern hättest, aber erkennst es nicht, da Du bei der Art der Verschlüsselung etwas missverstehst. Wenn BL einmal angewendet wurde, sind die Daten verschlüsselt.
Mir scheint, Du hast es schon so, wie Du es gern hättest, aber erkennst es nicht, da Du bei der Art der Verschlüsselung etwas missverstehst. Wenn BL einmal angewendet wurde, sind die Daten verschlüsselt.
Ziel ist es, dass der Server nur mit Schlüssel bootet,
Das scheinst Du schon zu habenaber dann soll alles unlocked sein,
was "alles"? Du meinst alle Partitionen des Servers, nehme ich an?da die entsprechenden Daten der AD auf einer separaten Partition liegen.
Bei Vollverschlüsselung ist es doch wurst, wo die liegen.
Hi,
das Floppy-Image macht das, was du gesagt hast. Korrekt.
Wir haben erst Laufwerk C: verschlüsselt. Funktioniert alles einwandfrei, keine Probleme. Dann wollten wir nachträglich eine AD einrichten, die Daten auf Laufwerk D: speichern. Soweit so gut, keine Probleme. Danach wurde die zweite Partition verschlüsselt. Und jetzt gehen die Probleme los, da die zweite Partition anscheinend nicht beim Systemstart "freigegeben" wird, sondern erst nach der Anmeldung, die aber jetzt nicht mehr möglich ist.
Jetzt ist Frage, ob das überhaupt so möglich ist, was wir vorhaben. Vielleicht oder eher anscheinend sind wir die Dache falsch angegangen...
das Floppy-Image macht das, was du gesagt hast. Korrekt.
Wir haben erst Laufwerk C: verschlüsselt. Funktioniert alles einwandfrei, keine Probleme. Dann wollten wir nachträglich eine AD einrichten, die Daten auf Laufwerk D: speichern. Soweit so gut, keine Probleme. Danach wurde die zweite Partition verschlüsselt. Und jetzt gehen die Probleme los, da die zweite Partition anscheinend nicht beim Systemstart "freigegeben" wird, sondern erst nach der Anmeldung, die aber jetzt nicht mehr möglich ist.
Jetzt ist Frage, ob das überhaupt so möglich ist, was wir vorhaben. Vielleicht oder eher anscheinend sind wir die Dache falsch angegangen...
Du musst vollverschlüsseln, wie ich schon mehrfach gesagt habe. Nicht c: und d:, sondern Vollverschlüsselung. Entschlüssele beides und wähle dann Vollverschlüsselung.
Hi,
ok, habe ich soweit verstanden, klingt auch logisch.
Jetzt aber die "doofe" Frage:
Wo stelle ich "Vollverschlüsselung" ein? Kann nirgends diese Option finden. Habe nur die Möglichkeit, die Laufwerke getrennt zu verschlüsseln
ok, habe ich soweit verstanden, klingt auch logisch.
Jetzt aber die "doofe" Frage:
Wo stelle ich "Vollverschlüsselung" ein? Kann nirgends diese Option finden. Habe nur die Möglichkeit, die Laufwerke getrennt zu verschlüsseln
Willst Du damit sagen, Du hast bereits entschlüsselt? Das ging ja schnell. Wenn Du es nicht findest (erst nach Entschlüsselung sichtbar), dann nimm die Hilfe zur Hand.
Nein, entschlüsselt habe ich nicht, habe aber eine zweite unverschlüsselte Testmaschine. Muss man erst verschlüsseln, dann entschlüsseln und erst dann steht diese Option zur Verfügung? Das wäre ja bescheiden ...
Natürlich nicht.
Lies mal die Hilfe.
Lies mal die Hilfe.
So, anscheinend bin ich für Bitlocker zu dämlich, sorry.
Es gibt nirgends die Möglichkeit einer Vollverschlüsselung. Auch steht in der Hilfe nichts davon.
Es gibt die Möglichkeit, weitere Partitionen zu verschlüsseln und automatisch zu entsperren, aber erst NACH der Anmeldung. Ich habe es jetzt mit drei Maschinen und drei verschiedenen Betriebssystemen getestet!
Wenn ich jetzt z.B. die AD auf der zweiten Partition speichere, diese dann verschlüssel, bekomme ich danach einen BSOD, da die AD auf D ist, dieses Laufwerk aber verschlüsselt ist, bis ich mich anmelde, was nicht geht, da verschlüsselt ...
Also, entweder reden wir vollends aneinander vorbei, oder ich bin wirklich zu dämlich ...
Ich habe hier ein nagelneues NB mit Win 7 Enterprise, zwei Partitionen. Wenn ich BitLocker aktiviere, kann ich NUR Partitionen verschlüsseln, keine Vollverschlüsselung oder ähnliches
Es gibt nirgends die Möglichkeit einer Vollverschlüsselung. Auch steht in der Hilfe nichts davon.
Es gibt die Möglichkeit, weitere Partitionen zu verschlüsseln und automatisch zu entsperren, aber erst NACH der Anmeldung. Ich habe es jetzt mit drei Maschinen und drei verschiedenen Betriebssystemen getestet!
Wenn ich jetzt z.B. die AD auf der zweiten Partition speichere, diese dann verschlüssel, bekomme ich danach einen BSOD, da die AD auf D ist, dieses Laufwerk aber verschlüsselt ist, bis ich mich anmelde, was nicht geht, da verschlüsselt ...
Also, entweder reden wir vollends aneinander vorbei, oder ich bin wirklich zu dämlich ...
Ich habe hier ein nagelneues NB mit Win 7 Enterprise, zwei Partitionen. Wenn ich BitLocker aktiviere, kann ich NUR Partitionen verschlüsseln, keine Vollverschlüsselung oder ähnliches
Hi und entschuldige, wenn mich meine Erinnerung trügen sollte. Du hast Recht, das AutoUnlock ist an die Anmeldung gebunden, jedoch kannst Du es mit einem Startskript oder einem geplanten task auch von der Anmeldung unabhängig machen. Schau Dir dazu die Optionen der Bitlocker-Kommandozeile an: manage-bde.exe /?
Das beruhigt mich jetzt aber, dachte schon, ich wäre wirklich zu dämlich ...
Allerdings ändert das ja nichts an meiner Problematik.
Manage-bde stellt mir folgende Parameter zur Verfügung
-status
-on
-off
-pause
-resume
-lock
-unlock
-autounlock
-protectors
-tpm
-SetIdentifier
-forcerecovery
-ChangePassword
-ChangePIN
-ChangeKey
-Upgrade
autounlock scheint mir der passende zu sein. Aber woher weiß ich bzw. wie kann ich sicherstellen, wann unlock ausgeführt wird? Auch hier scheint es mir so, als wenn das erst nach der Anmeldung passiert.
Ist es eigentlich so unüblich einen Server zu verschlüsseln?
Allerdings ändert das ja nichts an meiner Problematik.
Manage-bde stellt mir folgende Parameter zur Verfügung
-status
-on
-off
-pause
-resume
-lock
-unlock
-autounlock
-protectors
-tpm
-SetIdentifier
-forcerecovery
-ChangePassword
-ChangePIN
-ChangeKey
-Upgrade
autounlock scheint mir der passende zu sein. Aber woher weiß ich bzw. wie kann ich sicherstellen, wann unlock ausgeführt wird? Auch hier scheint es mir so, als wenn das erst nach der Anmeldung passiert.
Ist es eigentlich so unüblich einen Server zu verschlüsseln?
Hi.
Der passende Parameter ist unlock - autounlock ist etwas anderes - Doku lesen.
Der passende Parameter ist unlock - autounlock ist etwas anderes - Doku lesen.
Aber woher weiß ich bzw. wie kann ich sicherstellen, wann unlock ausgeführt wird?
Du führst es über ein Startskript oder einen Task aus - Dazu Unklarheiten?Auch hier scheint es mir so, als wenn das erst nach der Anmeldung passiert.
Nein.Ist es eigentlich so unüblich einen Server zu verschlüsseln?
Ja, ist unüblich und es sollte mittlerweile klar sein, warum. Microsoft hat jedoch mit Bitlocker der Generation Server 2012/Win8 endlich einen großen Schritt zur Brauchbarkeit gemacht mit dem Feature "netunlock". Geht jedoch nicht mit 2008 R2.
