Zu den Neuerungen, die Microsoft im Zusammenspiel von Windows 8 und Windows Server 2012 rund um Bitlocker eingeführt hat, gehört die Möglichkeit, ein verschlüsseltes Systemlaufwerk beim Booten automatisch zu entsperren. Diese neue Funktion wird in der Windows-Originalversion als „Network Unlock“ und in der deutschen Variante als Netzwerkentsperrung bezeichnet.

Typischerweise verlangt die Entschlüsselung eines Systemlaufwerks, dass durch Bitlocker und ein TPM (Trusted Platform Module) geschützt ist, eine weitere Aktion durch den Anwender: Es muss eine PIN eingegeben werden, wenn das System gestartet oder aus dem Ruhestand wieder in Betrieb genommen wird. Das gilt auch für Systeme, die über einen USB-Stick abgesichert wurden, denn dort muss der Anwender beim Systemstart diesen mit dem Rechner verbinden.

Dadurch ist es für Administratoren schwer, Software-Updates und –Patches auf Desktops und Servern einzuspielen, an denen gerade kein Anwender tätig ist. Durch die Netzwerkentsperrung steht den Systembetreuern in Unternehmensnetzen jetzt jedoch eine Methode zur Verfügung, mit der sie mit Bitlocker verschlüsselte Systeme, die TPM plus PIN gesichert sind, auch unbeaufsichtigt auf den aktuellsten Stand bringen können.

Grundsätzlich arbeitet diese Methode auf die gleiche Art und Weise wie die Kombination von TPM und PIN, nur dass der Schlüssel für die Netzwerkentsperrung jedoch aus einem im TPM gespeicherten Schlüssel und einem verschlüsselten Netzwerkschlüssel zusammengesetzt wird. Dabei wird dieser Netzwerkschlüssel in einer sicheren Sitzung an den Windows Server 2012 gesendet, dort entschlüsselt und an den Client zurückgeschickt. Dabei wird der Netzwerkschlüssel auf dem Systemlaufwerk zusammen mit dem AES-256-Bit-Sitzungsschlüssel gespeichert und mit dem öffentlichen 2048-Bit-RSA-Schlüssel des Zertifikats des Servers zum Entsperren verschlüsselt. Der Netzwerkschlüssel wird mithilfe eines Anbieters auf einem Windows Server 2012-WDS-Server (Windows Deployment Server) entschlüsselt und mit seinem entsprechenden Sitzungsschlüssel verschlüsselt zurückgegeben.

Allerdings funktioniert diese neue Methode der Entsperrung nur, wenn einige Voraussetzung bei den involvierten Systemen erfüllt sind:

• Das Client-System muss unter Windows 8 laufen.
• Das Client-System muss UEFI-Hardware besitzen, bei der in der Firmware ein DHCP-Treiber zur Verfügung steht.
• Sogenannte UEFI Compatibility Support Modules (CSM) oder ein entsprechender Legacy-Modus auf dem Client müssen ausgeschaltet sein.
• Das Bitlocker-Feature Netzwerkentsperrung muss auf einem Windows Deployment Server installiert sein. Dazu muss der WDS-Server allerdings nicht extra konfiguriert werden, es genügt, wenn die WDServer-Dienste auf dem Server laufen.
• Ein separater DHCP-Server muss zur Verfügung stehen, um eine IP-Adresse zur Verfügung zu stellen.
• Die für das „Pairing“ von privatem und öffentlichem Schlüssel notwendigen Zertifikate müssen konfiguriert sein.
• Die entsprechenden Einstellungen in den Gruppenrichtlinien für die Netzwerkentsperrung müssen ebenfalls konfiguriert sein.

Microsoft hat angekündigt, zum Zeitpunkt der endgültigen Freigabe der jeweiligen Releases auch eine Schritt-für-Schritt-Anleitung zur Konfiguration dieses Features bereitzustellen. Bis dahin steht bereits ein englischsprachiges Dokument, das sich noch auf den Windows Server 8 Beta bezieht, zum Download bereit. In diesem Dokument werden die notwendigen Schritte ebenfalls beschrieben.

John Savill/ fms