Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Erstellen eines dateibasierten Bitlockerprotektors zu Recovery- und Supportzwecken

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

09.11.2018, aktualisiert 13:04 Uhr, 335 Aufrufe, 5 Danke

Um zu supportende PCs als Admin hochfahren zu können, kann man auf allen Bitlocker-verschlüsselten Geräten einen Startupkey erstellen.
Dies ist eine Datei vom Typ .bek (Bitlocker Encryption Key), welche dann vom Admin auf einen USB-Stick (oder –Platte) kopiert werden kann, den man zum Starten des Rechners einfach ansteckt – Bitlocker sucht automatisch nach einem solchen Key und Windows bootet ohne Rückfrage, was eine angenehme Alternative zur Eingabe des 48-stelligen Recoverykeys darstellt.
Der Dateityp .bek ist im Dateiexplorer per Default ausgeblendet und man sieht diese Dateien somit erst, nachdem man versteckte und Systemdateien einblendet.

Wichtig: wer im Besitz der Schlüsseldatei ist, hat volle Kontrolle über die Festplatte, selbst im Recoverymode. Diese Dateien gehören nicht in die Hände von Nicht-Admins.

Das Vorgehen zum Erstellen ist beispielsweise so: In einem Startskript nutzt man die Codezeile
01.
If not exist %windir%\admin\BEK manage-bde -protectors -add c: -sk \\server\share\%computername% && md %windir%\admin\BEK
welche die benötigte Datei anlegt. Es wird dafür gesorgt, dass dieses Kommando nur einmalig läuft, damit nicht mehrere Schlüssel erstellt werden. (Dazu wird ein lokaler Marker erstellt und abgefragt: %windir%\admin\BEK).

Lesenden Zugriff auf die Freigabe gewährt man nur Administratoren. Exklusiv schreibenden Zugriff bekommen die Computerkonten (nur auf den eigenen Ordner ...\%computername%).
Zur Verdeutlichung hier die Ausgabe von Icacls für den .bek-Dateiablageort für PC "Mueller"
01.
icacls \\server\share\mueller 
02.
\\server\share\mueller yourdom\mueller$:(OI)(CI)(W) 
03.
                   NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F) 
04.
                   BUILTIN\Administrators:(I)(OI)(CI)(F)
Somit ist sichergestellt, dass nicht-Admins keinen Zugriff auf die Dateien bekommen und selbst lokale Admins maximal die Datei für Ihren PC überschreiben können, was Ihnen nichts einbringt.
Optionaler, zusätzlicher Schutz: Diese Freigabe nur zur Einrichtung von PCs überhaupt aktivieren, SMB-Verschlüsselung für die Freigabe anfordern.

Zur Sicherheit sollte man die Dateien auf den Sticks nur einzeln und nur temporär speichern und die Schlüsseldatei nach erfolgter Nutzung sofort selbst verschlüsseln (*) und danach löschen, da ein sicheres Löschen einzelner Dateien auf Flashspeicher mit z.B. Eraser nicht möglich ist. Nimmt man hingegen eine portable, herkömmliche HDD zum Speichern der Schlüssel, so kann man auf dieser selbstverständlich auch Eraser zum Löschen der Keys nutzen. [Könnte man nicht diese Sticks/Festplatten ebenso mit Bitlocker verschlüsseln? Nein, das Starten eines Rechners funktioniert nur mit einem unverschlüsselten Schlüsselspeicher]
*Hierzu ist EFS ungeeignet - es überschreibt die Plaintextdatei nämlich nicht sicher. Also müsste man sicherheitshalber den gesamten Flashspeicher verschlüsseln (z.B. mit Bitlocker unter Verwendung von "used space only") und danach formatieren! Wer es also mit der Sicherheit ganz genau nimmt, sollte vielleicht keine Flashspeicher, sondern HDDs für den Schlüsseltransport nutzen, um sich diesen Aufwand zu sparen.

Sollte man ein Gerät neu verschlüsseln wollen, muss danach ein neuer Key erstellt werden, da der alte natürlich nicht mehr funktioniert.
Für den seltenen (und fragwürdigen) Anwendungsfall, dass verschiedene Admins Zugriff auf ein System bekommen sollen und man diesen Zugriff später bei Bedarf einzeln widerrufen können möchte, kann man auf dieselbe Weise mehrere Keys erstellen.

Die Keys und Ihre IDs kann man auflisten über
01.
manage-bde -protectors -get c: -type ExternalKey
Einzelne Keys kann man bei Bedarf löschen über
01.
manage-bde -protectors c: -delete -id {ID_des_Schlüssels}
Beispielinhalt einer solchen Schlüsseldatei („SchlüsselID.bek“), wenn in Notepad geöffnet
œ 0 œ ÷·K(fO‰dUò4ï0Š àRä˜,Ðl ÷·K(fO‰dUò4ï0Šð—ߘ,Ð E x t e r n a l K e y , ÁvèÖ-:’¡ÕvýêÂ¤}ݘ§U#ºD1ªÄÒ

Dieser Tipp ist ausgelagert aus Meine Wissenssammlung zu Bitlocker - für Fragen und Kritik bin ich immer offen.
Ähnliche Inhalte
Windows Installation

Multiboot Festplatte mit angepassten Windows erstellen

Anleitung von askandoWindows Installation10 Kommentare

Hallo Zusammen, gewöhnlich führen ja viele Wege nach Rom. Ich habe nach einer simplen Methode gesucht relativ schnell ein ...

Windows Installation

Wie erstelle ich ein an meine Bedürfnisse angepasstes Installationsimage von Windows?

Anleitung von tomolpiWindows Installation14 Kommentare

Heute möchte ich zeigen, wie man sich eine Windows-Installation an seine Bedürfnisse anpasst. Später wird diese alle Updates, Software ...

Windows Tools

Windows To Go ohne Enterprise Version erstellen

Tipp von KuemmelWindows Tools8 Kommentare

Moin Kollegen, die neuste Alpha-Version von RUFUS kann auch von einer Windows 8/8.1 Core/Pro-ISO ein bootfähiges Medium mit WindowsToGo ...

Windows Tools

Windows To Go erstellen ohne Enterprise unter Windows 8 oder 8.1

Anleitung von KuemmelWindows Tools17 Kommentare

Moin Kollegen! das Windows To Go-Feature ist ja bekanntlich den Enterprise-Versionen vorbehalten. Daher hier mal eine kurze Anleitung meinerseits ...

Neue Wissensbeiträge
Windows Server
Erneutes Release von WS2019 und Win10 v1809
Tipp von IT-Pro vor 17 StundenWindows Server3 Kommentare

Hi, nachdem der Windows Server 2019 und Windows 10 in der Version 1809 aufgrund von verschwinden von Dateien nach ...

CPU, RAM, Mainboards
Spectre Update Tool für ältere PCs
Information von sabines vor 20 StundenCPU, RAM, Mainboards6 Kommentare

Mit Hilfe eines Tools wird der betreffende PC permanent von einem USB Stick gestartet, der ein passendes Microcode Update ...

Windows 10
Windows 10 Oktober 2018 Update: Es ist wieder da
Tipp von Bowsette vor 1 TagWindows 101 Kommentar

Ein neuer Versuch von Microsoft das Windows 10 Oktober 2018 Update, auch bekannt als 1809, an den Mann zu ...

Windows Server

Windows Server 2016: Achtung - ab heute gibt es wieder Express Updates

Information von kgborn vor 1 TagWindows Server1 Kommentar

Kurze Info für Administratoren, die Windows Server 2016 per WSUS/SCCM mit Updates betanken. Ab heute gibt es für Windows ...

Heiß diskutierte Inhalte
Windows Server
Windows Server 2016 Lizenzierung - 7 Hyper V VMs
Frage von staybbWindows Server18 Kommentare

Hallo zusammen, wir haben zwei HP Server gekauft mit jeweils pro Server 2 CPUs à 10 Cores. Also insgesamt ...

Batch & Shell
Ordnernamen mit String aus Ziffern-Zahlenkombination erstellen
Frage von MmarKussBatch & Shell16 Kommentare

Hallo zusammen, ich habe ein etwas komplexeres Problem, welches ich selbst mittels einer Batch-Datei lösen will / muss, da ...

Windows Server
Lohnt sich eine Domäne für uns?
Frage von BowsetteWindows Server12 Kommentare

Hallo, ich arbeite in einem kleinen Unternehmen mit mehr als 5 und weniger als 10 Mitarbeitern, also Small Business ...

Windows Server
AD Password Reminder Mail
Frage von TeutoneWindows Server10 Kommentare

Hallo liebe Leute, ich habe vor langer Zeit einmal ein Password Reminder Mail Script erstellt, welches nun nicht mehr ...