Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Bitlocker-Verschlüsselung Server 2008 R2

Frage Microsoft Windows Server

Mitglied: Nebuchadneza

Nebuchadneza (Level 1) - Jetzt verbinden

23.08.2012 um 09:12 Uhr, 4459 Aufrufe, 15 Kommentare

Hallo liebe Community,

ich habe hier einen Server 2008 R2 auf einem ESXi laufen. Es gibt zwei Partitionen, auf Laufwerk D liegen die Daten für die AD und für den Exchange Server.
Ist es möglich, Laufwerk D mit Bitlocker zu verschlüsseln?
Ein Kollege von mir testet das auf einem Testsystem, bekommt es aber nicht hin, da anscheinend das zweite Laufwerk währrend des Bootvorgangs noch verschlüsselt ist. Daher die Frage, ob das technisch überhaupt umsetzbar ist.
Vielleicht hat ja auch jemand How Tos / Best Practices zu diesem Thema ...

Gruß,

B.Böcherer
Mitglied: DerWoWusste
23.08.2012, aktualisiert um 10:45 Uhr
Moin.

Man kann mit Bitlocker, sofern ein TPM-Chip verfügbar und trotz Virtualisierung auch nutzbar ist, mit Bitlocker Vollverschlüsseln. Genauer: Man könnte...
-Vollverschlüsselung machen, dürfte dann aber kein Kennwort angeben, falls der Server unbeaufsichtigt rebooten können soll (z.B. nach Absturz/Stromausfall) - Schutz würde hier also nur über das TPM bestehen
-Partitionsverschlüsselung von d: machen - hier müsste man mit dem Parameter -autounlock arbeiten. Wieder schützt nur das TPM.

Mit einer weiteren Verschlüsselung, diskcryptor oder truecrypt, könntest Du d: auch mit einem Keyfile verschlüsseln, um automatisches Unlocken zu erreichen. Sinnigerweise müsste das Keyfile jedoch auf einer Netzwerkfreigabe liegen und der dahinter stehende PC physikalisch geschützt sein. Das "Aufschließen" erfolgt per Kommandozeile (Startskript), Exchange wird nachgestartet, die Domänendienste ebenso.
Bitte warten ..
Mitglied: Nebuchadneza
23.08.2012 um 11:30 Uhr
Hi,
erst einmal danke, für deine Antwort.
Als Verschlüsselungssoftware MUSS Bitlocker eingesetzt werden. Daher kommen andere Produkte nicht in Frage.
Der Server besitzt kein TPM-Chip, wir nutzen ein Floppy-Image als Ersatz.
Unbeaufsichtigter Reboot spielt keine Rolle. Muss der Server neu gebootet werden, muss erst manuell das Floppy der VM hinzugefügt werden. Nicht schön, ich weiß, aber in diesem Umfeld absolut akzeptabel.
Der Server soll nach einem Reboot voll verschlüsselt sein. Beide Partitionen. Allerdings gibt es z.Zt. das Problem, das Laufwerk D erst nach der Anmeldung freigegeben wird. Da die AD-Informationen alleridngs auf diesem Laufwerk liegen, gibt es Probleme.
Bitte warten ..
Mitglied: DerWoWusste
23.08.2012, aktualisiert um 20:06 Uhr
Moin.

Deine Antwort lässt Verständnisprobleme in Bezug auf Verschlüsselungen erkennen:
Der Server soll nach einem Reboot voll verschlüsselt sein. Beide Partitionen
Er ist immer verschlüsselt. Die Frage ist nur, ob er unlocked ist, oder nicht. Sobald der Schlüssel im RAM ist, ist er unlocked.

Wenn Du mit Bitlocker vollverschlüsselst und dabei einen USB-Stick einsetzt, um beim Start zu unlocken, dann ist doch alles gut. Das würde auch in vmware gehen.

Du solltest zum besseren Verständniss auch erklären, was für ein Floppy-Image das sein soll - oder meinst Du damit einen (wie auch immer) emulierten USB-Stick? Floppies haben mit Bitlocker zunächst mal gar nichts zu tun, deswegen frage ich.
Bitte warten ..
Mitglied: Nebuchadneza
24.08.2012 um 11:22 Uhr
Hi,

innerhalb einer VM (ESXi) können wir ein USB-Stick zum speichern des Schlüssels nicht nutzen, da von diesem nicht gebootet werden kann, was nötig wäre, nach dieser Anleitung:
http://www.networknet.nl/apps/wp/archives/395
Das ist nicht möglich, daher nutzen wir ein USB-Floppy-Image, wie dort beschrieben steht.
Vielleicht ist es ja grds. verkeht und es gibt eine bessere Lösung, aber wir haben bisher nicht hinbekommen, unseren virtuellen Server innerhalb des ESXi ohne TPM zu verschlüsseln.
Ziel ist es, dass der Server nur mit Schlüssel bootet, aber dann soll alles unlocked sein, da die entsprechenden Daten der AD auf einer separaten Partition liegen.
Ich hoffe, ich habe mich diesmal etwas verständlicher ausgedrückt ...
Bitte warten ..
Mitglied: DerWoWusste
24.08.2012, aktualisiert um 19:41 Uhr
Erklär bitte, was dieses "USB-Floppy-Image" macht. Ich kann Floppy-Images an VMWare binden, klar. Und auf dem Image ist der Schlüssel, wenn ich Dich recht verstehe - aber wo hapert es dann?
Mir scheint, Du hast es schon so, wie Du es gern hättest, aber erkennst es nicht, da Du bei der Art der Verschlüsselung etwas missverstehst. Wenn BL einmal angewendet wurde, sind die Daten verschlüsselt.
Ziel ist es, dass der Server nur mit Schlüssel bootet,
Das scheinst Du schon zu haben
aber dann soll alles unlocked sein,
was "alles"? Du meinst alle Partitionen des Servers, nehme ich an?
da die entsprechenden Daten der AD auf einer separaten Partition liegen.
Bei Vollverschlüsselung ist es doch wurst, wo die liegen.
Bitte warten ..
Mitglied: Nebuchadneza
27.08.2012 um 08:24 Uhr
Hi,

das Floppy-Image macht das, was du gesagt hast. Korrekt.
Wir haben erst Laufwerk C: verschlüsselt. Funktioniert alles einwandfrei, keine Probleme. Dann wollten wir nachträglich eine AD einrichten, die Daten auf Laufwerk D: speichern. Soweit so gut, keine Probleme. Danach wurde die zweite Partition verschlüsselt. Und jetzt gehen die Probleme los, da die zweite Partition anscheinend nicht beim Systemstart "freigegeben" wird, sondern erst nach der Anmeldung, die aber jetzt nicht mehr möglich ist.
Jetzt ist Frage, ob das überhaupt so möglich ist, was wir vorhaben. Vielleicht oder eher anscheinend sind wir die Dache falsch angegangen...
Bitte warten ..
Mitglied: DerWoWusste
27.08.2012 um 09:15 Uhr
Du musst vollverschlüsseln, wie ich schon mehrfach gesagt habe. Nicht c: und d:, sondern Vollverschlüsselung. Entschlüssele beides und wähle dann Vollverschlüsselung.
Bitte warten ..
Mitglied: Nebuchadneza
27.08.2012 um 11:36 Uhr
Hi,

ok, habe ich soweit verstanden, klingt auch logisch.
Jetzt aber die "doofe" Frage:
Wo stelle ich "Vollverschlüsselung" ein? Kann nirgends diese Option finden. Habe nur die Möglichkeit, die Laufwerke getrennt zu verschlüsseln
Bitte warten ..
Mitglied: DerWoWusste
27.08.2012 um 11:56 Uhr
Willst Du damit sagen, Du hast bereits entschlüsselt? Das ging ja schnell. Wenn Du es nicht findest (erst nach Entschlüsselung sichtbar), dann nimm die Hilfe zur Hand.
Bitte warten ..
Mitglied: Nebuchadneza
27.08.2012 um 11:59 Uhr
Nein, entschlüsselt habe ich nicht, habe aber eine zweite unverschlüsselte Testmaschine. Muss man erst verschlüsseln, dann entschlüsseln und erst dann steht diese Option zur Verfügung? Das wäre ja bescheiden ...
Bitte warten ..
Mitglied: DerWoWusste
27.08.2012 um 12:33 Uhr
Natürlich nicht.
Lies mal die Hilfe.
Bitte warten ..
Mitglied: Nebuchadneza
27.08.2012 um 14:26 Uhr
So, anscheinend bin ich für Bitlocker zu dämlich, sorry.
Es gibt nirgends die Möglichkeit einer Vollverschlüsselung. Auch steht in der Hilfe nichts davon.
Es gibt die Möglichkeit, weitere Partitionen zu verschlüsseln und automatisch zu entsperren, aber erst NACH der Anmeldung. Ich habe es jetzt mit drei Maschinen und drei verschiedenen Betriebssystemen getestet!
Wenn ich jetzt z.B. die AD auf der zweiten Partition speichere, diese dann verschlüssel, bekomme ich danach einen BSOD, da die AD auf D ist, dieses Laufwerk aber verschlüsselt ist, bis ich mich anmelde, was nicht geht, da verschlüsselt ...
Also, entweder reden wir vollends aneinander vorbei, oder ich bin wirklich zu dämlich ...
Ich habe hier ein nagelneues NB mit Win 7 Enterprise, zwei Partitionen. Wenn ich BitLocker aktiviere, kann ich NUR Partitionen verschlüsseln, keine Vollverschlüsselung oder ähnliches
Bitte warten ..
Mitglied: DerWoWusste
27.08.2012 um 16:05 Uhr
Hi und entschuldige, wenn mich meine Erinnerung trügen sollte. Du hast Recht, das AutoUnlock ist an die Anmeldung gebunden, jedoch kannst Du es mit einem Startskript oder einem geplanten task auch von der Anmeldung unabhängig machen. Schau Dir dazu die Optionen der Bitlocker-Kommandozeile an: manage-bde.exe /?
Bitte warten ..
Mitglied: Nebuchadneza
27.08.2012 um 16:53 Uhr
Das beruhigt mich jetzt aber, dachte schon, ich wäre wirklich zu dämlich ...
Allerdings ändert das ja nichts an meiner Problematik.
Manage-bde stellt mir folgende Parameter zur Verfügung
-status
-on
-off
-pause
-resume
-lock
-unlock
-autounlock
-protectors
-tpm
-SetIdentifier
-forcerecovery
-ChangePassword
-ChangePIN
-ChangeKey
-Upgrade

autounlock scheint mir der passende zu sein. Aber woher weiß ich bzw. wie kann ich sicherstellen, wann unlock ausgeführt wird? Auch hier scheint es mir so, als wenn das erst nach der Anmeldung passiert.
Ist es eigentlich so unüblich einen Server zu verschlüsseln?
Bitte warten ..
Mitglied: DerWoWusste
27.08.2012, aktualisiert um 22:40 Uhr
Hi.

Der passende Parameter ist unlock - autounlock ist etwas anderes - Doku lesen.
Aber woher weiß ich bzw. wie kann ich sicherstellen, wann unlock ausgeführt wird?
Du führst es über ein Startskript oder einen Task aus - Dazu Unklarheiten?
Auch hier scheint es mir so, als wenn das erst nach der Anmeldung passiert.
Nein.
Ist es eigentlich so unüblich einen Server zu verschlüsseln?
Ja, ist unüblich und es sollte mittlerweile klar sein, warum. Microsoft hat jedoch mit Bitlocker der Generation Server 2012/Win8 endlich einen großen Schritt zur Brauchbarkeit gemacht mit dem Feature "netunlock". Geht jedoch nicht mit 2008 R2.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...