diagram, schematic

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows

9bae6000ce56410baf9a65a4d0ea1a23

Seit Windows Server 2012 ist es möglich den Bitlocker automatisch zu entsperren, wenn der Computer in einem Vertrauten Netzwerk ist. Dies hat den Vorteil, dass Computer außerhalb des Unternehmens Netzwerkes mit BitLocker und einer Pin bzw. einer erweiterten Pin geschützt sind.

Die Voraussetzungen dafür sind:

  • Ein Windows Server 2012 / 2012R2 / 2016 mit Windows Deployment Services
  • Ein DHCP Server (Darf nicht auf dem WDS installiert sein)
  • Optional eine Active Directory integrierte Zertifizierungsstelle
  • Die zu entsperrenden Computer müssen einen UEFI Bios mit einem kompatiblen DHCP Treiber besitzen
  • Eine Windows CA um das Zertifikat auszustellen

Wie funktioniert das die Netzwerk Entsperrung mit BitLocker (Vereinfacht)

013018 1119 BitlockerNe1
  1. Der Windows Bootmanager erkennt eine BitLocker Netzwerkentsperrungskonfiguration und aktiviert den UEFI Netzwerktreiber
  2. Der Client bezieht über UEFI Netzwerktreiber eine IPv4 Adresse
  3. Der Client sendet eine Broadcast DHCP-Anfrage mit einer Herstellerspezifischen Kennung. Diese enthält den Netzwerkschlüssel und einen Sitzungsschlüssel und wird mit dem hinterlegten Öffentlichen Schlüssel des Entsperrungszertifikat verschlüsselt.
  4. Die Netzwerkentsperrungsrolle auf dem WDS Server reagiert auf die Herstellerspezifische Anfrage.
  5. Der Netzwerkentsperrungsdienst entschlüsselt die Anfrage mit seinem privaten Schlüssel
  6. Der WDS schickt die Antwort von der Netzwerkentsperrungsrolle als Herstellerspezifische DHCP-Antwort. Diese enthält das notwendige Zwischenzertifikat, verschlüsselt mit dem Sitzungsschlüssel
  7. Der Zwischenschlüssel wird mit einem weiteren innerhalb des TPM kombiniert
  8. Dieser Kombinierte Schlüssel kann das Laufwerk entschlüsseln
  9. Windows fährt ohne Abfrage der Pin mit dem Booten fort.

Installation der Netzwerk Entsperrung

Wer einen bestehenden Windows Server 2012 / 2012R2 / 2016 mit den Bereitstellungsdiensten hat, kann diesen nutzen. Falls Sie noch keine Bereitstellungsdienste unter Windows Server 2012 / 2012R2 / 2016 installiert haben, sollten Sie dies zuerst durchführen.

Auf den laufenden WDS Server müssen Sie dann die Funktion „Bitlocker-Netzwerkentsperrung“ installieren.

013018 1119 BitlockerNe2

Ein Neustart des Servers ist nicht Notwendig.

Konfiguration der Zertifizierungsstelle

In der Active Directory Zertifikatsdienste muss noch eine entsprechende Zertifikatsvorlage angepasst werden.

Gehen Sie dazu in die Zertifizierungsstelle und verwalten Sie die Vorlage. Wählen Sie die Vorlage Benutzer aus, und Duplizieren diese. Passen Sie unter dem Reiter „Kompatibilität“ auf Windows Server 2012 bzw. Windows 8 an.

013018 1119 BitlockerNe3

Unter dem Reiter „Allgemein“ passen Sie bitte den Vorlagenanzeigenamen so an, das es offensichtlich um ein Netzwerkentsperrungszertifikat geht. Löschen Sie auch den Harken bei der Option „Zertifikate in Active Directory veröffentlichen„.

013018 1119 BitlockerNe4

Im Reiter „Anforderungsverarbeitung“ ändern Sie den Zweck auf „Verschlüsselung“ und stellen Sie sicher das der Export vom privaten Schlüssel zugelassen ist.

013018 1119 BitlockerNe5

Als nächstes muss im Reiter „Kryptografie“ ändern Sie die „Anbieterkategorie“ auf „Schlüsselspeicheranbieter“ und stellen sicher das die minimale Schlüssellänge 2048 beträgt. Bei „Für Anforderungen muss einer der folgenden Anbieter verwendet werden“ und wählen Sie da „Microsoft Software Key Storage Provider„.

013018 1119 BitlockerNe6

Im Reiter „Antragstellername“ wählen Sie die Option „Informationen werden in der Anforderung angegeben„. Bestätigen Sie die Warnung.

013018 1119 BitlockerNe7

Im Reiter „Server“ sollte der Harken „Sperrinformationen nicht in ausgestellte Zertifikate einschließen“ gesetzt werden.

013018 1119 BitlockerNe8

Im Reiter „Ausstellungsvoraussetzungen“ Müssen die Optionen „Genehmigung von Zertifikatverwaltung der Zertifizierungsstelle“ und unter „Erneute Registrierung erfordert Folgendes:“ wählen Sie die Option „Gültiges vorhandenes Zertifikat„.

013018 1119 BitlockerNe9

Im Reiter „Erweiterungen“ müssen Sie die Anwendungsrichtlinien bearbeiten.

013018 1119 BitlockerNe10

Entfernen Sie die Anwendungsrichtlinien „Clientauthentifizierung„, „Sichere E-Mail“ und „Verschlüsselndes Dateisystem„. Klicken Sie auf hinzufügen und erstellen eine neue Anwendungsrichtinie mit dem Namen „BitLocker Netzwerk Entsperrung“ und der Objektkennung „1.3.6.1.4.1.311.67.1.1„. Fügen Sie die Anwendungsrichtlinie „BitLocker Netzwerk Entsperrung“ hinzu. Und schließen den Dialog „Anwendungsrichtlinienerweiterung bearbeiten…„.

013018 1119 BitlockerNe11

Bearbeiten Sie nun die „Schlüsselverwendung“ und prüfen Sie das die Einstellung „Austausch nur mit Verschlüsselung zulassen“ und „Diese Erweiterung als kritisch markieren“ aktiviert sind.

013018 1119 BitlockerNe12

Schließen Sie den Schlüsselverwendungserweiterung Dialog.

Erteilen Sie nun im Reiter „Sicherheit“ der Gruppe „Domänen-Admins“ die Berechtigung „Registrieren“ und stellen Sie sicher das keine Benutzer diese Zertifikat Registrieren können.

013018 1119 BitlockerNe13

Schließen Sie die neue Vorlage und die Vorlagenverwaltung.

Zurück in der Zertifizierungsstelle erstellen Sie bitte eine neue „Auszustellende Zertifikatsvorlage„.

013018 1119 BitlockerNe14

Hier wählen Sie bitte die neu angelegte „Netzwerk-Entsperrung“ Zertifikatsvorlage aus.

013018 1119 BitlockerNe15

Anforderung des Entsperrungszertifikat für den WDS

Öffnen Sie auf dem Bereitstellungsserver die Zertifikate Verwaltung „certmgr.msc“ für den Lokalen Benutzer. Der Lokale Benutzer ist notwendig da das BitLocker Zertifikat ein abgewandeltes Benutzer Zertifikat ist.

Unter den „Eigenen Zertifikaten“ machen Sie bitte einen rechten Mausklick und wählen „Alle Aufgaben“ > „Neues Zertifikat anfordern„. Wählen Sie dann die „Vom Administrator konfiguriert“ Zertifikatregistrierungsrichtlinie aus.

Wählen Sie hier das „Netzwerk-Entsperrung“ Zertifikat aus.

013018 1119 BitlockerNe16

Geben Sie bei den Zusätzlichen Informationen einen Sinnvollen „Allgemeiner Name“ ein.

013018 1119 BitlockerNe17

Klicken Sie nach dem Schließen des Dialoges auf „Registrieren„.

013018 1119 BitlockerNe18

Als nächsten Schritt genehmigen Sie die Zertifikatsanforderung in der Zertifizierungsstelle.

013018 1119 BitlockerNe19

Als nächstes Exportieren Sie das Zertifikat aus der CA.

Installation des Entsperrungszertifikat für den WDS

Importieren Sie das Exportierte Zertifikat in die Zertifikat Verwaltung des Benutzers. Und Exportieren Sie das Zertifikat anschließend mit dem Privaten Schlüssel.

013018 1119 BitlockerNe20

Importieren Sie nun das Zertifikat auf dem WDS, öffnen Sie dazu eine Eingabeaufforderung mit Administrativen Rechten und führen den folgenden Befehl aus:

certutil -f -addstore FVENKP BitLocker-NetworkUnlock.cer

013018 1119 BitlockerNe21

Anschließend ist das Zertifikat unter „Netzwerkentsperrung der BitLocker-Laufwerksverschlüsselung“ hinzugefügt, allerdings ohne den privaten Schlüssel.

013018 1119 BitlockerNe22

Um den noch hinzuzufügen importieren Sie die erstellte PFX-Datei direkt unter „Netzwerkentsperrung der BitLocker-Laufwerksverschlüsselung„. Dadurch wird der Schlüssel dem Zertifikat hinzugefügt.

013018 1119 BitlockerNe23

Konfiguration des DHCP Servers

Auf dem DHCP Server muss ggf. die Option 060 PXEClient mit dem Zeichenwert „PXEClient“ gesetzt werden.

Einrichten der Gruppenrichtlinien

Erstellen Sie eine neue Gruppenrichtlinie für BitLocker.

Fügen Sie das exportierte Zertifikat ohne den privaten Schlüssel (CER-Datei) unter „Computer“ > „Richtlinien“ > „Windows-Einstellungen“ > „Sicherheitseinstellungen“ > „Richtlinien für öffentliche Schlüssel“ > „Zertifikat zur Netzwerkentsperrung für BitLocker-Laufwerksverschlüsselung“ hinzu.

013018 1119 BitlockerNe24

Zusätzlich müssen Sie unter „Computer“ > „Richtlinien“ > „Administrative Vorlagen“ > „Windows-Komponenten“ > „BitLocker-Laufwerksverschlüsslung“ > „Betriebssystemlaufwerke“ die Einstellung „Netzwerkentsperrung beim Start zulassen“ auf Aktiviert setzen.

013018 1119 BitlockerNe25

Damit der BitLocker Schutz auch außerhalb des Netzwerkes eine Effektive Hürde darstellt, aktivieren Sie auch die Einstellung „Zusätzliche Authentifizierung beim Start anfordern„.

Konfiguration des BitLocker System

Damit das Ganze Funktioniert, muss der Client schon BitLocker installiert haben und mit einer Pin oder Erweiterten Pin Konfiguriert sein. Eine Anleitung dafür finden sie im Artikel „BitLocker mit Windows 10 und Power Shell

Weitere Artikel zum Thema Active Directory Certificate Services

Veröffentlicht:

Autor:

Fabian Niesen

Kategorien:

, , , , , ,

Tags:

, , , , , , , , ,

New articles in english

RSS-Fehler: https://www.infrastructureheroes.org/feed is invalid XML, likely due to invalid characters. XML error: Invalid document end at line 2504, column 84
Werbung

Themen

Active Directory Administrative Vorlagen Anleitung AppV5 Autopilot Azure Azure AD ConfigMgr Deployment GPO Gruppenrichtlinien Guide How-To Linux Microsoft Microsoft Intune Office Office365 PowerShell Public Preview SCCM2012R2 SCSM2012R2 ServiceMgr Sicherheit TechNet Windows Windows 10 Windows10 Windows Server 2012 Windows Server 2012R2

Hinweise zum Affiliate-Marketing

Auf diesen Seiten werden auch Affiliate Marketing Links angezeigt. Diese sind meistens an dem kleinen „€“ oder einem „*“ dahinter zu erkennen. Der Betreiber dieser Seite erhält beim Kauf über diesen Link eine Provision, ohne das es den Verkaufspreis beeinflusst. Diese Einnahmen tragen zur Finanzierung der Seite bei.