Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Nutzung von Bitlocker in virtuellen Maschinen

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

09.11.2018, aktualisiert 10.11.2018, 444 Aufrufe, 3 Kommentare, 2 Danke

Vorbetrachtung: Wen sollte das interessieren?

Wer virtuelle Maschinen zum Test auf seiner lokalen Festplatte speichert, wird diese nur selten auch noch verschlüsseln wollen, es sei denn, er möchte in den Maschinen Aspekte der Verschlüsselung testen. Hat man sein Storage eh selbst gebitlockt, ist es nur dann sinnvoll, die Maschine auch noch zu bitlocken, wenn man diesen Extraschutz gegen andere Benutzer des Host-Rechners benötigt.
Ein Anwendungsfall ist viel häufiger, dass man einen VM-Host hat, der vielleicht gar kein Bitlocker unterstützt (zum Beispiel Vmware ESXI) und tatsächlich gegen Einbrüche in den Serverraum vorbeugen möchte, indem man die Gastsysteme selbst die Verschlüsselung machen lässt.

Nehmen wir also an, wir haben z.B. ESXI und entscheiden uns ebenso dagegen, das VMStorage zu verschlüsseln (auch möglich!), sondern wollen stattdessen einzelne Gastsysteme verschlüsseln.
Das Vorgehen ist bei Systemlaufwerken einfach:

1 man erlaubt per GPO* im Gastsystem, dass Bitlocker auch ohne TPM Chip genutzt werden darf (denn ESXI bietet noch keine virtuellen TPMs)
2 Man erstellt in ESXI entweder eine virtuelle Floppy oder eine virtuelle Festplatte, die man auf der Freigabe eines anderen, physikalisch besser gesicherten Servers als Datei speichert
3 Über ESXI mountet man fortan diese Festplatte/Floppy in der VM, formatiert sie und erstellt einen Startupkey, welchen man auf diese virtuelle Festplatte/Floppy speichert, z.B. so:
01.
manage-bde -on c: -rp -used -sk a:\
bzw.
01.
manage-bde -on c: -rp -used -sk x:\
(wobei a: der Laufwersbuchstabe der Floppy und x: der der Festplatte ist)
Schon fertig. Die virtuelle Festplatte/Floppy bleibt danach einfach gemountet und beim Start der VM wird automatisch der Schlüssel von ihr eingelesen.
[Wer nicht möchte, dass eine Schlüsseldatei ständig zugänglich in Laufwerk a: schlummert, muss eben per GPO den Zugriff auf Wechselmedien verbieten, die Floppy zusätzlich mit NTFS formatieren (mit 3rd party tools) und mit ACLs arbeiten, oder diese per Skript nur zum Start der Maschine einlegen.]
Die virtuelle Festplatte ist die bessere Wahl, da man diese im diskmgmt.msc einfach nach der Schlüsselablage auf "offline" setzen kann und das OS sie nicht einmal mehr sieht. Keine Nebeneffekte und zudem kompatibel mit allen Hypervisorgenerationen, während Floppies bei z.B. Hyper-V Gen2 gar nicht mehr angeboten werden - an dieser Stelle noch einmal Danke an @C.R.S. für den Tipp.

Ist dieses Vorgehen sicher?
Wer Zugriff auf die Schlüsseldatei UND auf die virtuelle Festplatte hat, hat die VM „im Sack“. Somit sollte man sichergehen, dass die Datei der virtuellen Floppy/Festplatte wirklich sicher verwahrt ist, also die Freigabe- und ggf. NTFS-Rechte ebenso wie den physikalischen Zugriff auf den Server absichern.

Ist dieses Vorgehen von Microsoft supported?
Nein! Dennoch sehe ich keine Gefahr, es einzusetzen und habe das schon vor 10 Jahren so gemacht. Offiziell supported ist es nur mit vTPM, also Hyper-V und Gen2 Maschinen.

Wie verhält es sich mit Datenlaufwerken?
Diese können entweder per Autounlock automatisch nach dem Start eingebunden werden, oder man benutzt für sie einen eigenen Startupkey und einen geplanten Task, um sie zu mounten. Beispiel für die Aktion des geplanten Tasks:
01.
manage-bde -unlock d: -rk \\server\share\{keyid}.bek
Wie würde das Ganze mit Oracle Virtualbox VMs oder VMWare workstation laufen?
Exakt gleich.

Und wie würde es mit Hyper-V der aktuellen Generation auf einer VM Gen2 laufen?
Hier würde man einfach einen virtuellen TPM („vTPM“) nehmen und verschlüsseln wie mit einem physikalischen TPM auch. Dokumentationen zum Shielding von VMs mittels TPM gibt es im Netz viele, Suchbegriffe: shielding zusammen mit vTPM.

Auf „alten“ Hyper-V Hosts und/oder „alten“ Gastsystemen (Gen1) müsste man ohne vTPM auskommen und ebenso das geschilderte Vorgehen benutzen.

* gpedit.msc öffnen, dort zu „Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Bitlocker-Laufwerksverschlüsselung/Betriebssystemlaufwerke“, gehen und „Zusätzliche Authentifizierung beim Start anfordern“ öffnen ->aktivieren und Haken setzen bei „Bitlocker ohne kompatibles TPM zulassen …“

Dies ist ein Zusatz zum Hauptartikel Meine Wissenssammlung zu Bitlocker
Mitglied: C.R.S.
09.11.2018 um 19:46 Uhr
[Wer nicht möchte, dass eine Schlüsseldatei ständig zugänglich in Laufwerk a: schlummert, muss eben per GPO den Zugriff auf Wechselmedien verbieten, die Floppy zusätzlich mit NTFS formatieren (mit 3rd party tools) und mit ACLs arbeiten, oder diese per Skript nur zum Start der Maschine einlegen.]

Das geht einfacher und vor allem auch in VMs der zweiten Generation, indem man anstelle der Floppy eine VHD nimmt und sie offline setzt (Admin-Rechte für den Zugang erforderlich).

Grüße
Richard
Bitte warten ..
Mitglied: UweGri
09.11.2018 um 22:50 Uhr
Guten Abend!

Ich nutze BL seit Jahren "verschachtelt". Also LW Bitlockern und darin eine VM ebenfalls. Das LW C lässt sich zumindest bei Virtualbox ohne TPM (lehne ich eh ab (*)) chiffrieren, mittels PW Abfrage beim Start. Weitere LW ebenso.

(*) Es gab vor Tagen einen Artikel, das hardwarebasierte SSD Chiffrierung den Overkill hat. Weltweit ohne Firmwareupdate ab sofort als unsicher gilt. War ein Artikel bei DrWindows. Bei einem TPM ist diese Unsicherheit auch gegeben.

Mir ist klar, dass für eine gute Administration vieles automatisiert sein muss, aber genau das verträgt sich nicht mit dem Konzept Chiffrierung.

Danke für den Beitrag!

Uwe
Bitte warten ..
Mitglied: DerWoWusste
10.11.2018 um 11:55 Uhr
Hi Richard.

Danke für den Hinweis - ja, das klappt auch und mag einfacher erscheinen als die GPO, zumal es keine Nebeneffekte hat. Nehme ich gleich mit auf.
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWussteVerschlüsselung & Zertifikate13 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

Sicherheit
Bitlocker für alle - und die Folgen
Erfahrungsbericht von DerWoWussteSicherheit7 Kommentare

Mit dem Win10-Rollout und der damit verbundenen, auf die Welt zu schwappenden Welle von Bitlocker-fähigen OS' kommen immer häufiger ...

Verschlüsselung & Zertifikate

Bitlocker-Verschlüsselung und -Monitoring ohne MBAM

Tipp von DerWoWussteVerschlüsselung & Zertifikate

Der Folgende Tipp beschreibt, wie man ohne MBAM die Verschlüsselung erzwingt und monitort. MBAM ist ein Enterprise-Benefit und somit ...

Windows Tools

BitLocker Laufwerkverschlüsselung ohne TPM-Chip

Anleitung von FrankWindows Tools7 Kommentare

Diese Anleitung zeigt, wie man die Windows 10 BitLocker Laufwerkverschlüsselung ohne TPM-Chip Schritt für Schritt aktiviert. Zwar haben viele ...

Neue Wissensbeiträge
Windows Server
Erneutes Release von WS2019 und Win10 v1809
Tipp von IT-Pro vor 18 StundenWindows Server3 Kommentare

Hi, nachdem der Windows Server 2019 und Windows 10 in der Version 1809 aufgrund von verschwinden von Dateien nach ...

CPU, RAM, Mainboards
Spectre Update Tool für ältere PCs
Information von sabines vor 21 StundenCPU, RAM, Mainboards6 Kommentare

Mit Hilfe eines Tools wird der betreffende PC permanent von einem USB Stick gestartet, der ein passendes Microcode Update ...

Windows 10
Windows 10 Oktober 2018 Update: Es ist wieder da
Tipp von Bowsette vor 1 TagWindows 101 Kommentar

Ein neuer Versuch von Microsoft das Windows 10 Oktober 2018 Update, auch bekannt als 1809, an den Mann zu ...

Windows Server

Windows Server 2016: Achtung - ab heute gibt es wieder Express Updates

Information von kgborn vor 1 TagWindows Server1 Kommentar

Kurze Info für Administratoren, die Windows Server 2016 per WSUS/SCCM mit Updates betanken. Ab heute gibt es für Windows ...

Heiß diskutierte Inhalte
Windows Server
Windows Server 2016 Lizenzierung - 7 Hyper V VMs
Frage von staybbWindows Server18 Kommentare

Hallo zusammen, wir haben zwei HP Server gekauft mit jeweils pro Server 2 CPUs à 10 Cores. Also insgesamt ...

Batch & Shell
Ordnernamen mit String aus Ziffern-Zahlenkombination erstellen
Frage von MmarKussBatch & Shell16 Kommentare

Hallo zusammen, ich habe ein etwas komplexeres Problem, welches ich selbst mittels einer Batch-Datei lösen will / muss, da ...

Windows Server
Lohnt sich eine Domäne für uns?
Frage von BowsetteWindows Server12 Kommentare

Hallo, ich arbeite in einem kleinen Unternehmen mit mehr als 5 und weniger als 10 Mitarbeitern, also Small Business ...

Windows Server
AD Password Reminder Mail
Frage von TeutoneWindows Server10 Kommentare

Hallo liebe Leute, ich habe vor langer Zeit einmal ein Password Reminder Mail Script erstellt, welches nun nicht mehr ...