So speichern Sie BitLocker-Schlüssel sicher in Active Directory

Die Integration von BitLocker-Wiederherstellungsschlüsseln in Active Directory kann Gold wert sein, wenn Sie viele in eine Domäne eingebundene Rechner verwalten. Es ist etwas ungewöhnlich, dass Windows diese Schlüssel nicht automatisch speichert, sondern nur durch entsprechende Richtlinienanpassungen. Einmal eingerichtet, vereinfacht dies die Wiederherstellung jedoch erheblich. Erscheint beim Start eines Geräts eine Wiederherstellungsabfrage, ist es zudem sehr praktisch, einfach in Active Directory den Schlüssel abzurufen, anstatt hektisch nach Lösungen zu suchen oder alles zurückzusetzen. Es geht also nicht nur um Ordnung, sondern auch darum, Panikmomente zu vermeiden, wenn ein Laufwerk plötzlich gesperrt wird und man vor einem Wiederherstellungsbildschirm steht.

Die Einrichtung ist natürlich nicht ganz einfach, und es können einige Probleme auftreten, insbesondere bei älteren Geräten oder wenn die Gruppenrichtlinien nicht übereinstimmen. Mit etwas Recherche an den richtigen Stellen können Sie jedoch sicherstellen, dass Ihre Wiederherstellungsschlüssel ordnungsgemäß gesichert werden und die Wiederherstellung bei Bedarf kinderleicht ist. Hier erfahren Sie, wie es geht, inklusive einiger zusätzlicher Details, die Ihnen später viel Ärger ersparen.

Wie speichere ich BitLocker-Schlüssel in Active Directory?

Konfigurieren Sie die Gruppenrichtlinie so, dass Schlüssel in AD gespeichert werden.

Dies ist der erste Schritt, denn wenn Ihre Richtlinien nicht greifen, werden die Schlüssel nicht hochgeladen. Das ist entscheidend – ohne die richtige Richtlinie verbleiben die Wiederherstellungsschlüssel auf dem Gerät. Normalerweise ist dies der Fall, wenn Sie BitLocker auf in eine Domäne eingebundenen Geräten in einer verwalteten Umgebung aktivieren oder wenn ein Gerät zu einem späteren Zeitpunkt wiederhergestellt werden muss.

  1. Öffnen Sie die Gruppenrichtlinienverwaltungskonsole auf Ihrem Domänencontroller. Diese finden Sie üblicherweise unter Server-Manager > Tools > Gruppenrichtlinienverwaltung.
  2. Navigieren Sie zu Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung.
  3. Suchen Sie die Option „Einstellung auswählen“ und doppelklicken Sie darauf. Stellen Sie sie auf „Aktiviert“.
  4. Aktivieren Sie die Sicherung der Wiederherstellungskennwörter und Schlüsselpakete – dadurch wird sichergestellt, dass die Wiederherstellungsinformationen tatsächlich in AD gespeichert werden.
  5. Klicken Sie auf Anwenden und OK.
  6. Um neue Richtlinien sofort anzuwenden, führen Sie gpupdate /forceden Befehl über eine Eingabeaufforderung mit Administratorrechten oder PowerShell auf den Clientrechnern aus. Dadurch wird die Richtlinienaktualisierung erzwungen; andernfalls warten die Clients möglicherweise bis zum nächsten Aktualisierungszyklus.

Das ist hilfreich, denn wenn man diese Option deaktiviert lässt, bleiben die Wiederherstellungsschlüssel nur auf dem lokalen Rechner erhalten, was ziemlich nutzlos ist, wenn der Benutzer sein Passwort vergisst oder das Laufwerk einen Defekt aufweist.

BitLocker-Schlüssel in Active Directory überprüfen

Sobald die Richtlinien eingerichtet sind, empfiehlt es sich, zu überprüfen, ob die Schlüssel tatsächlich am vorgesehenen Speicherort abgelegt sind. Manchmal scheinen Richtlinien aktiviert zu sein, aber die Wiederherstellungsinformationen wurden aufgrund von Timing-Problemen oder Fehlern während der Verschlüsselung noch nicht hochgeladen.

  1. Öffnen Sie „Active Directory-Benutzer und -Computer“. Möglicherweise müssen Sie dies als Administrator oder von einem Server aus ausführen.
  2. Gehen Sie in der Menüleiste zu Ansicht > Erweiterte Funktionen – dadurch werden zusätzliche Registerkarten und Informationen zu Objekten angezeigt.
  3. Suchen Sie das gewünschte Computerobjekt. Verwenden Sie bei Bedarf die Suchleiste.
  4. Klicken Sie mit der rechten Maustaste darauf und wählen Sie „Eigenschaften“.
  5. Navigieren Sie zum Tab „BitLocker-Wiederherstellung“. Falls dieser nicht angezeigt wird, funktioniert die Richtlinie möglicherweise nicht korrekt oder das Gerät ist noch nicht verschlüsselt.
  6. Überprüfen Sie die aufgelisteten Informationen zum Wiederherstellungspasswort und zum Schlüsselpaket. Sind diese vorhanden, ist alles in Ordnung. Andernfalls müssen Sie möglicherweise die Richtlinien oder den Verschlüsselungsstatus überprüfen.

Wiederherstellen eines BitLocker-Schlüssels aus AD

Das ist der Hauptgrund, warum Schlüssel in Active Directory gespeichert werden: Wenn ein Rechner nach einem Wiederherstellungsschlüssel fragt, lässt er sich einfach direkt abrufen. Denn ehrlich gesagt ist es alles andere als optimal, den Wiederherstellungsschlüssel auf dem Gerät des Benutzers oder in E-Mails zu suchen.

  1. Öffnen Sie Active Directory-Benutzer und -Computer.
  2. Suchen Sie nach dem fehlerhaften Gerät – dies können Sie über den Namen oder durch Durchsuchen der Organisationseinheit tun.
  3. Klicken Sie mit der rechten Maustaste und wählen Sie „Eigenschaften“.
  4. Wechseln Sie zum Tab „BitLocker-Wiederherstellung“.(Falls dieser nicht angezeigt wird, stellen Sie sicher, dass die Richtlinien korrekt angewendet werden und das Gerät verschlüsselt ist.)
  5. Suchen und wählen Sie den entsprechenden Wiederherstellungseintrag aus. Normalerweise gibt es einen Zeitstempel oder eine Beschreibung, die Ihnen bei der Auswahl des richtigen Eintrags hilft.
  6. Kopieren Sie den 48-stelligen Wiederherstellungsschlüssel und geben Sie ihn anschließend auf dem betroffenen PC an der Wiederherstellungsaufforderung ein.

Vorhandene Geräte zum Hochladen von Schlüsseln zwingen

Das kann lästig sein, wenn Sie BitLocker vor einiger Zeit eingerichtet, die Wiederherstellungsinformationen aber nie in Active Directory (AD) eingetragen haben. Der Vorgang ist zwar etwas aufwendig, lohnt sich aber, wenn Sie sicherstellen müssen, dass alle Ihre verschlüsselten Geräte erfasst sind.

  1. Öffnen Sie auf dem Clientrechner eine Eingabeaufforderung oder ein PowerShell-Fenster mit Administratorrechten.
  2. Geben Sie Folgendes ein: manage-bde -protectors -get C:. Stellen Sie sicher, dass C: der Buchstabe Ihres verschlüsselten Laufwerks ist.
  3. Suchen Sie in der Ausgabe nach der Key Protector ID.
  4. Öffnen Sie nun PowerShell oder die Eingabeaufforderung und führen Sie folgenden Befehl aus: manage-bde -protectors -adbackup C: -id {ProtectorID}. Ersetzen Sie {ProtectorID}durch den Wert, den Sie zuvor ermittelt haben.
  5. Nach Abschluss der Arbeiten sollten Sie in Active Directory überprüfen, ob die Schlüsselinformationen angezeigt werden – manchmal dauert es ein paar Minuten oder eine Aktualisierung.

Das funktioniert je nach Systemumgebung mal mehr, mal weniger gut. Bei einer Konfiguration klappte es beim ersten Mal nicht, nach einem Neustart dann aber schon. Windows macht es einem manchmal unnötig schwer. Na ja.

Überprüfen Sie gespeicherte Schlüssel mit PowerShell

Sie möchten einen umfassenderen Überblick? PowerShell kann alle Wiederherstellungsobjekte in AD prüfen, was besonders praktisch ist, wenn Sie eine Vielzahl von Maschinen verwalten.

  1. Führen Sie PowerShell als Administrator aus – klicken Sie mit der rechten Maustaste auf das Symbol und wählen Sie „ Als Administrator ausführen“.
  2. Führen Sie den Befehl aus: Get-ADObject -Filter 'objectClass -eq "msFVE-RecoveryInformation"' -Properties msFVE-RecoveryPassword.
  3. Überprüfen Sie die Ausgabe; sie sollte alle gespeicherten Wiederherstellungsinformationen auflisten. Falls einige fehlen oder veraltet sind, wissen Sie, wo Sie Ihre Bemühungen konzentrieren müssen.

Häufig gestellte Fragen

Benötigt BitLocker Active Directory zur Speicherung der Schlüssel?

Nicht unbedingt. BitLocker funktioniert zwar mit lokalem Speicher, aber wenn Sie eine zentrale Kontrolle und eine einfachere Wiederherstellung wünschen, ist Active Directory eine solide Wahl – insbesondere für Unternehmensumgebungen.

Kann ich die TPM-Besitzerinformationen auch in AD speichern?

Ja, Sie können Richtlinien festlegen, sodass die TPM-Besitzerinformationen zusammen mit Ihren BitLocker-Wiederherstellungsschlüsseln gespeichert werden. Schauen Sie sich dazu einfach die Gruppenrichtlinieneinstellungen für TPM und BitLocker an.

Benötigt man dafür Windows Server?

Ja, Active Directory-Domänendienste müssen auf einem Windows Server oder einer kompatiblen Umgebung ausgeführt werden. Ohne AD ist keine zentrale Speicherung der Wiederherstellungsschlüssel möglich.

Kann Azure AD die lokale Active Directory-Umgebung für BitLocker ersetzen?

Absolut. Azure AD kann Wiederherstellungsschlüssel für in Azure eingebundene Windows-Geräte speichern, sodass Sie nicht einmal eine lokale Domäne benötigen – ganz im Stil der Cloud-Verwaltung.

Dieses System hilft dabei, die Wiederherstellungsschlüssel im Blick zu behalten – es erleichtert der IT die Arbeit und erspart viel Ärger, wenn Festplatten ausfallen. Einfach Richtlinien festlegen, Speicher überprüfen, und fertig. Zumindest in der Theorie.