Sonntag, 19. Mai 2013
Twitter Facebook Mister Wong Delicious stumbleupon digg Yahoo

Neueste Technologie für Administratoren

Systembetreuer im Windows-Umfeld brauchen Know-how über die neuesten Entwicklungen. Einsatzbeispiele und Tipps aus der Praxis führen zu mehr Effizienz im täglichen Betrieb. Wir bieten Skript-basierte Lösungen von Windows IT Pro exklusiv im deutschsprachigen Raum für unsere Abonnenten.

News

News

Bitlocker-Sicherheit durch AD

Erstmals in Windows Vista und dann schließlich gut integriert in Windows 7 stellt Microsoft mit der Software Bitlocker eine gute Möglichkeit bereit, Festplatten und mobile Datenträger sicher zu verschlüsseln. Administratoren stehen aber oft vor dem Problem, ihren Anwendern entsprechend praktische Wiederherstellungsmöglichkeiten anzubieten: Jan de Clercq gibt Tipps, wie ein Recovery mittels Active Directory-Unterstützung gelingt.

Die Bitlocker-Laufwerkverschlüsselung (BDE – Bitlocker Drive Encryption) stellt den Anwendern und den Administratoren unterschiedliche Methoden zur Verfügung, mit denen sie einen Schlüssel für ein mit BDE geschütztes Laufwerk wiederherstellen können. Beim sogenannte Recovery Password handelt es sich um einen 48 Bit großen nummerischen Schlüssel, deren während der Setup-Phase von Bitlocker generiert wird. Danach stehen dem Anwender dann drei unterschiedliche Methoden zur Verfügung, um diesen so wichtigen Schlüssel zu sichern:

  • in einer Datei,
  • in Form eines Ausdrucks oder
  • abgespeichert im Verzeichnisdienst Active Directory.

Wollen Administratoren eine automatische Sicherung dieses Schlüssels zur Wiederherstellung im AD einsetzen, so müssen sie zunächst einmal sicherstellen, dass alle Systeme die Möglichkeit besitzen eine Verbindung zum AD aufzubauen, wenn auf ihnen der Bitlocker eingeschaltet wird.

Die Speicherung des Recovery Key im AD beruht auf einer Schemaerweiterung, die zusätzliche Attribute anlegt. Diese dienen dann dazu, entsprechende Information zur Wiederherstellung durch BDE an die AD Computer-Objekte anzuhängen. Domänen-Controller unter Windows Server 2008 sowie unter Windows Server 2008 R2 besitzen diese Erweiterungen bereits standardmäßig. Wer den Windows Server 2003 einsetzt, muss dazu zunächst die Bitlocker-spezifischen Schema-Erweiterungen von der MSDN Web-Seite Bitlocker Deployment Sample Resources bei Microsoft herunterladen.

Um BDE Recovery Passwörter anzuschauen und auch aus dem AD wiederherzustellen, stellt Microsoft ein spezielles Snap-In für die MMC (Microsoft Management Console) bereit. Dadurch wird den Eigenschaften eines AD-Computer-Objekts ein Reiter für Bitlocker hinzugefügt. Dieser zeigt dann alle BDE Passwörter zur Wiederherstellung, die mit einem spezifischen Computer verbunden sind. Für den Windows Server 2008 R2 existiert noch ein zusätzliches Tool – der Bitlocker Active Directory Recovery Password Viewer – der ein Teil des Remote Server Administration Toolkits (RSAT) ist. Dieses Werkzeug kann für den Windows Server 2008 aus dem Microsoft Download Center heruntergeladen werden.

Wer weitere Informationen zu dieser Thematik sucht, kann dazu von der Microsoft-Seite das englischsprachige Dokument mit dem (sehr langen) Titel: Configuring Active Directory to Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery Information herunterladen, in dem die entsprechenden Techniken eingehend erklärt werden.

Jan de Clercq/ fms

Zurück zu: Startseite
Anmelden
Anmelden

Kennwort vergessen?