Windows Server

BitLocker Wiederherstellungsschlüssel in AD

Wer Bitlocker in seiner Active Directory Umgebung verwendet hat die Möglichkeit den Wiederherstellungsschlüssel in der AD zu speichern. Active Directory ab 2008 beinhalten die Möglichkeit diese Information zu speichern. Bei 2003 wird eine Erweiterung des Schemas benötigt.

Clients per GPO konfigurieren:

Die Einstellungen findet Ihr unter
Computer Configuration -> Administrative Templates -> Windows Components -> BitLocker Drive Encryption
die Einstellung die unter allen Laufwerkstypen geändert werden muss ist:
Choose how BitLocker-protected drives can be recovered

Neue Clients werden automatisch ihre Wiederherstellungsschlüssel in der AD ablegen. Bestehende Clients mit aktviertem Bitlocker müssen allerdings per Hand ihren Schlüssel übertragen:

$drive = Get-BitLockerVolume | ?{$_.KeyProtector | ?{$_.KeyProtectorType -eq ‚RecoveryPassword‘}} | select -f 1
$key = $drive | select -exp KeyProtector | ?{$_.KeyProtectorType -eq ‚RecoveryPassword‘} | select -f 1
Backup-BitLockerKeyProtector $drive.MountPoint $key.KeyProtectorId

Wiederherstellungsschlüssel von AD auslesen:

Um die Schlüssel- Information welche in der AD gespeichert sind auszulesen wird „BitLocker Recovery Password Viewer“ welcher Bestandteil von „Remote Server Administration Tools (RSAT)“ ist benötigt. Dieses Feature kann über den Server Manger hinzugefügt werden, alternativ per Powershell. Nach Installation dieses Features werden die Schlüssel im Computer- Konto (Active Directory Users and Computers) angezeigt.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s