(0) exportieren Drucken
Alle erweitern

Konfigurieren von Active Directory für die Sicherung der Wiederherstellungsinformationen für die Windows BitLocker-Laufwerkverschlüsselung und TPM (Trusted Platform Module)

Letzte Aktualisierung: Juni 2008

Betrifft: Windows Server 2008,Windows Vista

Übersicht

In diesem Dokument wird beschrieben, wie Active Directory® konfiguriert werden muss, um Wiederherstellungsinformationen für die Windows® BitLocker™-Laufwerkverschlüsselung (BitLocker) und das TPM (Trusted Platform Module) zu sichern. Zu den Wiederherstellungsinformationen gehören das Wiederherstellungskennwort für alle Volumes, für die BitLocker aktiviert ist, das TPM-Besitzerkennwort sowie die Informationen, die erforderlich sind, um die Computer und Volumes zu identifizieren, für die die Wiederherstellungsinformationen gelten. Optional können Sie auch ein Paket speichern, das die tatsächlichen Schlüssel für die Verschlüsselung der Daten und das Wiederherstellungskennwort enthält, das für den Zugriff auf diese Schlüssel erforderlich ist.

noteHinweis
Active Directory wird unter Microsoft® Windows Server® 2008 als Active Directory Domain Services bezeichnet.

Wenn die Wiederherstellungskennwörter für durch BitLocker geschützte Datenträgervolumes gesichert sind, kann ein Administrator ein Volume im Fall einer Sperrung wiederherstellen. So wird sichergestellt, dass autorisierte Benutzer jederzeit auf verschlüsselte Daten des Unternehmens zugreifen können.

Wenn die TPM-Besitzerinformationen für einen Computer gesichert sind, kann die TPM-Sicherheitshardware des Computers durch einen Administrator sowohl lokal als auch remote konfiguriert werden. Ein Administrator kann das TPM z. B. auf die Werkseinstellungen zurücksetzen, wenn ein Computer außer Betrieb genommen oder einem neuen Zweck zugeführt wird.

ImportantWichtig
Sie können Wiederherstellungsinformationen in Active Directory speichern, wenn auf Ihren Domänencontrollern Microsoft® Windows Server® 2003 mit Service Pack 1 (SP1), Windows Server 2003 R2 oder Windows Server 2008 ausgeführt wird. Sie können keine Wiederherstellungsinformationen in Active Directory speichern, wenn auf dem Domänencontroller eine Version von Windows Server ausgeführt wird, die älter ist als Windows Server 2003 mit SP1.

Wenn Sie eine Vorabversion von Windows Server 2008 testen, ist das Verfahren identisch mit dem für Windows Server 2003 mit SP1 oder höher – allerdings mit einer Ausnahme: Wenn Sie die Betaversion 3 oder höher von Windows Server 2008 installiert haben, ist es nicht (wie hier beschrieben) erforderlich, das Schema zu aktualisieren.

ImportantWichtig
Testen Sie diese Schritte in einer Test- oder einer Vorproduktionsumgebung, bevor Sie sie in einer Produktionsumgebung ausführen.

Erforderliche Dateien

Für die Konfiguration von Active Directory zur Sicherung von Wiederherstellungsinformationen werden die folgenden Beispielskripts und die LDF-Datei benötigt, die bei Microsoft verfügbar sind:

  • Add-TPMSelfWriteACE.vbs

  • BitLockerTPMSchemaExtension.ldf

  • List-ACEs.vbs

  • Get-TPMOwnerInfo.vbs

  • Get-BitLockerRecoveryInfo.vbs

Informationen zum Download der Dateien finden Sie (möglicherweise in englischer Sprache) unter http://go.microsoft.com/fwlink/?LinkId=78953. Der Inhalt der Dateien sowie weitere nützliche Informationen werden in den folgenden Anhängen besprochen:

noteHinweis
Wenn Sie eine Vorab- oder Betaversion von Windows Vista getestet und Ihre Active Directory-Installation mit früheren Versionen der Skripts oder Schemaerweiterungen konfiguriert haben, müssen Sie sicherstellen, dass die endgültigen, freigegebenen Versionen dieser Dateien verwendet werden. Wenn Sie eine frühere Version von List-ACEs.vbs ausführen, müssen Sie außerdem die zuvor im Zusammenhang mit BitLocker hinzugefügten Zugriffssteuerungseinträge (Access Control Entries, ACEs) entfernen, bevor Sie den Vorgang fortsetzen.

Hintergrund

Dieser Abschnitt enthält Informationen dazu, wie BitLocker- und TPM-Wiederherstellungsinformationen in Active Directory gesichert werden können.

Standardmäßig werden keine Wiederherstellungsinformationen gesichert. Administratoren können Gruppenrichtlinieneinstellungen konfigurieren, die das Sichern von BitLocker- oder TPM-Wiederherstellungsinformationen aktivieren. Bevor Sie diese Einstellungen konfigurieren, müssen Sie als Domänenadministrator sicherstellen, dass das Active Directory-Schema um die erforderlichen Speicherorte erweitert wurde und dass die für die Sicherung erforderlichen Zugriffsberechtigungen erteilt wurden.

Außerdem müssen Sie Active Directory konfigurieren, bevor Sie BitLocker auf Clientcomputern konfigurieren. Wenn BitLocker zuerst aktiviert wird, werden Active Directory die Wiederherstellungsinformationen der betroffenen Computer nicht hinzugefügt. Weitere Informationen finden Sie weiter unten in diesem Dokument im Abschnitt Fragen und Antworten.

Speichern von BitLocker-Wiederherstellungsinformationen in Active Directory

Die gesicherten BitLocker-Wiederherstellungsinformationen werden in einem untergeordneten Objekt des Computerobjekts gespeichert. Somit ist das Computerobjekt der Container für ein BitLocker-Wiederherstellungsobjekt.

Jedes BitLocker-Wiederherstellungsobjekt enthält das Wiederherstellungskennwort und weitere Wiederherstellungsinformationen. Unter jedem Computerobjekt können mehrere BitLocker-Wiederherstellungsobjekte vorhanden sein, da einem Volume mit aktiviertem BitLocker mehrere Wiederherstellungskennwörter zugeordnet sein können.

Der Name des BitLocker-Wiederherstellungsobjekts enthält eine GUID (Globally Unique Identifier) mit Datum und Uhrzeit und hat eine feste Länge von 63 Zeichen. Die Form sieht wie folgt aus:

<Datum und Uhrzeit der Objekterstellung><Wiederherstellungs-GUID>

Beispiel:

2005-09-30T17:08:23-08:00{063EA4E1-220C-4293-BA01-4754620A96E7}

Der allgemeine Name (Common Name, CN) für das BitLocker-Wiederherstellungsobjekt lautet ms-FVE-RecoveryInformation. Jedes ms-FVE-RecoveryInformation-Objekt weist die folgenden Attribute auf:

  • ms-FVE-RecoveryPassword

    Dieses Attribut enthält das 48-stellige Wiederherstellungskennwort, mit dem ein mit BitLocker verschlüsseltes Datenträgervolume wiederhergestellt wird. Benutzer geben dieses Kennwort ein, um ein Volume zu entsperren, wenn BitLocker in den Wiederherstellungsmodus wechselt.

  • ms-FVE-RecoveryGuid

    Dieses Attribut enthält die GUID, die einem BitLocker-Wiederherstellungskennwort zugeordnet ist. Im Wiederherstellungsmodus von BitLocker wird diese GUID für den Benutzer angezeigt, damit das richtige Wiederherstellungskennwort gefunden und das Volume entsperrt werden kann. Diese GUID ist auch Bestandteil des Namens des Wiederherstellungsobjekts.

  • ms-FVE-VolumeGuid

    Dieses Attribut enthält die GUID, die einem von BitLocker unterstützten Datenträgervolume zugeordnet ist.

    Während das Kennwort (in ms-FVE-RecoveryGuid gespeichert) für jedes Wiederherstellungskennwort eindeutig ist, ist diese Volume-ID jeweils für ein mit BitLocker verschlüsseltes Volume eindeutig.

  • ms-FVE-KeyPackage

    Dieses Attribut enthält den BitLocker-Verschlüsselungsschlüssel eines Volumes, der durch das entsprechende Wiederherstellungskennwort gesichert ist.

    Mit diesem Schlüsselpaket und dem Wiederherstellungskennwort (in ms-FVE-RecoveryPassword gespeichert) können Sie Teile eines durch BitLocker geschützten Volumes entschlüsseln, wenn der Datenträger beschädigt ist. Jedes Schlüsselpaket passt zu genau einem Volume, das die zugehörige Volume-ID besitzt (in ms-FVE-VolumeGuid gespeichert). Sie müssen ein spezielles Tool verwenden, um dieses Schlüsselpaket verwenden zu können.

Wenn Sie BitLocker und Windows Vista vor der Freigabe getestet haben, sollten Sie die folgenden Änderungen beachten, die seit den Vor- oder Betaversionen von Windows Vista an den Attributen des Wiederherstellungsobjekts vorgenommen wurden:

  • Dem globalen Katalog wurden GUIDs hinzugefügt, um die gesamtstrukturweite Suche zu erleichtern (isMemberOfPartialAttributeSet).

  • Die Verwendung des Vertraulich-Bits für GUID-Attribute (Bit 128 von searchFlags) wurde entfernt.

  • Die Größe der einzelnen Attribute wurde beschränkt, um Replikationsverlangsamungen im Fall eines Überflutungsangriffs (Flooding Attack) auf die Active Directory-Datenbank zu minimieren (rangeUpper).

  • Die Attributbeschreibung wurde zur Verdeutlichung aktualisiert (adminDescription).

  • Es wurde ein zusätzliches Bit zum Speichern der Attributwerte beim Erstellen von Kopien von Objekten festgelegt (Bit 16 von searchFlags)

  • Es wurde ein zusätzliches Bit zum Erstellen eines Index pro Container für GUID-Attribute festgelegt (Bit 2 von searchFlags).

Weitere Details zur Attributsyntax finden Sie in der Schemaerweiterungsdatei in Anhang D: BitLockerTPMSchemaExtension.ldf – Dateiinhalt.

Speichern von TPM-Wiederherstellungsinformationen in Active Directory

Es gibt pro Computer nur ein TPM-Besitzerkennwort. Wenn das TPM initialisiert oder sein Kennwort geändert wird, wird der Hash des TPM-Besitzerkennworts als Attribut des Computerobjekts gesichert.

Der allgemeine Name (Common Name, CN) für das TPM-Attribut lautet ms-TPM-OwnerInformation.

Konfigurieren von Active Directory

Führen Sie die folgenden Aufgaben aus, um Active Directory für die Sicherung der BitLocker- und TPM-Wiederherstellungsinformationen zu konfigurieren.

Prüfen der allgemeinen Voraussetzungen

Prüfen Sie folgende Voraussetzungen:

  1. Auf allen Domänencontrollern, auf die BitLocker-fähige Clients zugreifen können, wird Windows Server 2003 mit SP1 oder höher ausgeführt. Klicken Sie auf jedem Domänencontroller auf Start, klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie dann auf die Registerkarte Allgemein.

    ImportantWichtig
    Wenn auf der Registerkarte Allgemein Windows Server 2003 aufgeführt ist, aber keine Service Pack-Informationen angegeben sind, benötigen Sie ein Upgrade. Weitere Informationen zum Aktualisieren auf Windows Server 2003 mit SP1 finden Sie unter http://go.microsoft.com/fwlink/?LinkID (möglicherweise in englischer Sprache).

    ImportantWichtig
    Die Verwendung von Domänencontrollern unter Windows Server 2000 oder Windows Server 2003 ohne SP1 für die Sicherung von BitLocker- oder TPM-Wiederherstellungsinformationen wurde nicht getestet und wird nicht unterstützt. Bei diesen früheren Betriebssystemversionen fehlt außerdem das Active Directory-Feature für das Vertraulichkeitsflag, mit dem der Zugriff auf die BitLocker- und TPM-Wiederherstellungsinformationen geschützt wird.

    Das Vertraulichkeitsflag ist ein Feature, das unter Windows Server 2003 mit SP1 und höher verfügbar ist. Mit diesem Feature haben ausschließlich Domänenadministratoren und Benutzer, denen entsprechende Rechte delegiert wurden, Lesezugriff auf Attribute, die mit dem Vertraulichkeitsflag gekennzeichnet sind. Die BitLocker- und TPM-Schemaerweiterung markiert ausgewählte Attribute mithilfe der searchFlags-Eigenschaft als "vertraulich". Weitere Informationen zu diesem Flag finden Sie Abschnitt zur Funktionsweise des Active Directory-Schemas.

    Auf der Funktionsebene der Domäne oder Gesamtstruktur gibt BitLocker keine Anforderungen vor. Domänencontroller mit Betriebssystemen vor Windows Server 2003 mit SP1 sollten jedoch aus einer Umgebung mit gemischten Funktionsebenen entfernt (oder aktualisiert) werden, da die gesicherten BitLocker- und TPM-Informationen auf diesen Domänencontrollern nicht geschützt sind.

  2. Sie haben Domänenadministratorberechtigungen für die Zielgesamtstruktur.

  3. Sie haben folgende Dateien erhalten:

    • BitLockerTPMSchemaExtension.ldf

    • Add-TPMSelfWriteACE.vbs

Erweitern des Schemas

Mit dem folgenden Verfahren wird das Schema dahingehend erweitert, dass Informationen in Active Directory gespeichert werden können.

Wenn Sie einen Domänencontroller unter Windows Server 2008 Beta 3 oder höher installiert haben, wurden dabei automatisch die erforderlichen Erweiterungen des Schemas vorgenommen. In diesem Fall können Sie dieses Verfahren ignorieren.

Wenn Sie einen Domänencontroller unter Windows Server 2008 Beta 2 installiert haben, müssen Sie das Schema auf "sch39" oder höher aktualisieren oder das folgende Verfahren anwenden.

So erweitern Sie das Active Directory-Schema um BitLocker- und TPM-Attribute
  1. Melden Sie sich mit einem Domänenkonto bei der Gruppe Schema-Admins an. Dieses Konto muss für die Erweiterung des Schemas verwendet werden.

    Standardmäßig ist nur das integrierte Administratorkonto in der Stammdomäne der Gesamtstruktur Teil der Gruppe Schema-Admins. Weitere Informationen finden Sie im Abschnitt zum Gewähren von Zugriffsrechten für Schemaänderungen im Thema zur Funktionsweise des Active Directory-Schemas (http://go.microsoft.com/fwlink/?LinkID=79649, möglicherweise in englischer Sprache).

  2. Prüfen Sie, ob Ihre Windows Server-Installation Schemaaktualisierungen aktiviert.

    Unter Windows Server 2003 sind Active Directory-Schemaaktualisierungen standardmäßig aktiviert. Weitere Informationen und die zur Aktivierung der Schemaaktualisierungen erforderlichen Schritte finden Sie im Artikel 285172 der Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=79644, möglicherweise in englischer Sprache).

  3. Prüfen Sie, ob Sie Zugriff auf den Domänencontroller haben, der in der Active Directory-Gesamtstruktur Betriebsmaster ist. Schemaaktualisierungen können nur auf dem Schemabetriebsmaster ausgeführt werden.

  4. Prüfen Sie die Datei BitLockerTPMSchemaExtension.ldf. Diese LDIF-Datei enthält die Schemaerweiterung.

    Hintergrundinformationen zu durch die Schemaerweiterung ausgeführten Änderungen finden Sie weiter oben in diesem Dokument unter Hintergrund.

    Referenzinformationen zu Schemaerweiterungen finden Sie im Artikel zur Funktionsweise des Active Directory-Schemas (http://go.microsoft.com/fwlink/?LinkId=79649, möglicherweise in englischer Sprache).

  5. Verwenden Sie das Ldifde-Befehlszeilentool, um das Schema auf dem Domänencontroller zu erweitern, der als Schemabetriebsmaster dient. Wenn Sie beispielsweise die Schemaerweiterung in der Domäne nttest.microsoft.com importieren möchten, melden Sie sich als Benutzer in der Gruppe Schema-Admins an, und geben Sie ‏dann an der Eingabeaufforderung den folgenden Befehl ein:

    ldifde -i -v -f BitLockerTPMSchemaExtension.ldf -c "DC=X" "DC=nttest,dc=microsoft,dc=com" -k -j .

    Dieser Befehl muss in einer Zeile eingegeben werden, auch wenn er in diesem Dokument aus Gründen der Lesbarkeit in mehreren Zeilen angezeigt wird. Der nachgestellte Punkt (".") ist Teil des Befehls.

    Durch die Verwendung von -k werden Fehler vom Typ "Objekt bereits vorhanden" unterdrückt, falls Teile des Schemas bereits vorhanden sind. Durch die Verwendung von -j . wird eine erweiterte Protokolldatei im aktuellen Arbeitsverzeichnis gespeichert.

Weitere Informationen zu den Parametern von Ldifde finden Sie im Artikel 237677 der Microsoft Knowledge Base (http, möglicherweise in englischer Sprache). Ein Beispiel für eine Ausgabe nach dem Ausführen dieses Befehls finden Sie in Anhang B: Beispiel für die LDIFDE-Ausgabe weiter unten in diesem Dokument.

Festlegen der erforderlichen Berechtigungen zur Sicherung von TPM-Kennwortinformationen

Im folgenden Verfahren wird ein Eintrag für die Zugriffssteuerung (ACE) hinzugefügt, mit dem die Sicherung der TPM-Wiederherstellungsinformationen ermöglicht wird.

Ein Windows Vista-Client kann BitLocker-Wiederherstellungsinformationen unter der Standardberechtigung des Computers sichern. Ein Windows Vista-Client kann jedoch TPM-Besitzerinformationen erst sichern, wenn dieser zusätzliche ACE hinzugefügt wurde.

Anhang C: Standardberechtigungen für ein Computerobjekt enthält weiter unten in diesem Dokument eine Beschreibung der standardmäßigen Active Directory-Berechtigungen für das Computerklassenobjekt, das die BitLocker-Wiederherstellungsinformationsklasse und das TPM-Besitzerinformationsattribut enthält.

So fügen Sie einen ACE hinzu, um das Sichern der TPM-Wiederherstellungsinformationen zu ermöglichen
  1. Überprüfen Sie das Beispielskript "Add-TPMSelfWriteACE.vbs", das die Berechtigungserweiterung enthält.

  2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    cscript Add-TPMSelfWriteACE.vbs

Dieses Skript fügt dem Domänenobjekt der obersten Ebene einen einzelnen ACE hinzu. Der ACE ist eine vererbbare Berechtigung, die SELF (den Computer selbst) dazu berechtigt, für Computerobjekte in der Domäne das Attribut "ms-TPM-OwnerInformation" zu schreiben.

Zusätzliche Referenzinformationen finden Sie im Artikel zur Verwendung von Skripts für die Verwaltung der Active Directory-Sicherheit (http://go.microsoft.com/fwlink/?LinkId=79652, möglicherweise in englischer Sprache).

Das Beispielskript kann ausgeführt werden, wenn folgende Voraussetzungen erfüllt sind:

  • Sie besitzen Domänenadministratorberechtigungen, um Berechtigungen für das Domänenobjekt der obersten Ebene festzulegen.

  • Ihre Zieldomäne stimmt mit der des Benutzerkontos überein, das das Skript ausführt.

    Wenn Sie das Skript z. B. als "TESTDOMAIN\admin" ausführen, werden die Berechtigungen für TESTDOMAIN erweitert. Wenn Sie Berechtigungen für mehrere Domänen festlegen möchten, aber nicht für alle betroffenen Domänen ein Domänenadministratorkonto besitzen, müssen Sie das Beispielskript gegebenenfalls ändern. Suchen Sie im Skript die strPathToDomain-Variable, und ändern Sie sie Ihrer Zieldomäne entsprechend. Beispiel:

    "LDAP://DC=testdomain,DC=nttest,DC=microsoft,DC=com"

  • Ihre Domäne ist so konfiguriert, dass Berechtigungen vom Domänenobjekt der obersten Ebene auf die als Ziele angegebenen Computerobjekte vererbt werden.

    Berechtigungen werden nicht wirksam, wenn einer der in der Hierarchie vorhandenen Container keine vererbten Berechtigungen der übergeordneten Instanz zulässt. Standardmäßig wird die Vererbung von Berechtigungen durch Active Directory festgelegt. Wenn Sie nicht sicher sind, ob Ihre Konfiguration vom Standard abweicht, können Sie die Installationsschritte ausführen, um die Berechtigung festzulegen. Sie können Ihre Konfiguration dann prüfen, wie weiter unten im Dokument beschrieben, oder überprüfen, ob SELF das msTPM-OwnerInformation-Attribut schreiben kann, indem Sie, während die Eigenschaften eines Computerobjekts angezeigt werden, auf die Schaltfläche Effektive Berechtigungen klicken.

Konfigurieren der Gruppenrichtlinie zur Aktivierung der Sicherung von BitLocker- und TPM-Wiederherstellungsinformationen in Active Directory

Mit diesen Anweisungen wird die Konfiguration der lokalen Richtlinie auf einem Clientcomputer unter Windows Vista beschrieben. In einer Produktionsumgebung würden Sie stattdessen eher ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) bearbeiten, das für Computer der Domäne gilt.

Weitere Informationen zum Konfigurieren eines GPO unter Windows Vista in der Domäne finden Sie im Artikel mit der schrittweisen Anleitung für die Verwaltung von ADMX-Dateien für Gruppenrichtlinien (http://go.microsoft.com/fwlink/?LinkId=79653, möglicherweise in englischer Sprache).

noteHinweis
Es empfiehlt sich, beim Aktivieren der einzelnen Gruppenrichtlinieneinstellungen die Standardoptionen beizubehalten. Lesen Sie auf jeden Fall die Erklärung, bevor Sie Änderungen vornehmen

So aktivieren Sie die lokalen Richtlinieneinstellungen für die Sicherung der BitLocker- und TPM-Wiederherstellungsinformationen in Active Directory
  1. Melden Sie sich als Administrator am Computer an.

  2. Klicken Sie auf Start, geben Sie in das Feld Suche starten Folgendes ein, und drücken Sie die EINGABETASTE:

    gpedit.msc

  3. So aktivieren Sie die Gruppenrichtlinieneinstellungen für die Sicherung der BitLocker-Wiederherstellungsinformationen in Active Directory:

    1. Öffnen Sie Computerkonfiguration, öffnen Sie Administrative Vorlagen, öffnen Sie Windows-Komponenten, und öffnen Sie dann BitLocker-Laufwerkverschlüsselung.

    2. Doppelklicken Sie im rechten Bereich auf BitLocker-Sicherung in Active Directory aktivieren.

    3. Wählen Sie die Option Aktiviert aus.

    4. Überprüfen Sie, ob das Kontrollkästchen BitLocker-Sicherung in AD DS erforderlich aktiviert ist.

  4. Aktivieren Sie die Gruppenrichtlinieneinstellung für die Sicherung der TPM-Wiederherstellungsinformationen in Active Directory.

    1. Öffnen Sie Computerkonfiguration, öffnen Sie Administrative Vorlagen, öffnen Sie System, und öffnen Sie dann Trusted Platform Module-Dienste.

    2. Doppelklicken Sie im rechten Bereich auf TPM-Sicherung in Active Directory aktivieren.

    3. Wählen Sie die Option Aktiviert aus.

    4. Überprüfen Sie, ob das Kontrollkästchen TPM-Sicherung in AD DS erforderlich aktiviert ist.

Testen der Active Directory-Konfiguration

Indem Sie die Windows Vista-basierten Clientcomputer in die gerade konfigurierte Domäne aufnehmen und BitLocker aktivieren, können Sie testen, ob die BitLocker- und TPM-Wiederherstellungsinformationen erfolgreich in Active Directory gesichert werden.

Alle Benutzeroberflächen und Programmierschnittstellen der BitLocker- und TPM-Verwaltungsfeatures entsprechen den von Ihnen konfigurierten Gruppenrichtlinieneinstellungen. Wenn diese Einstellungen aktiviert sind, werden Wiederherstellungsinformationen (wie Wiederherstellungskennwörter) automatisch in Active Directory gesichert, sobald diese Informationen erstellt oder geändert werden.

Wenn Sie die Option auswählen, dass eine Sicherung erforderlich ist, werden die Initialisierung des TPM oder die Aktivierung von BitLocker für alle Verfahren blockiert, bis die Sicherung erfolgreich abgeschlossen ist. Es ist erst dann wieder möglich, BitLocker zu aktivieren oder das TPM zu initialisieren, wenn der Domänencontroller richtig konfiguriert ist, der Clientcomputer eine Netzwerkverbindung zum Domänencontroller hergestellt hat und wenn während des Sicherungsvorgangs keine weiteren Fehler auftreten.

Testen der Sicherung mit Windows Vista

Die Sicherung sollten Sie auf einem Windows Vista-basierten Clientcomputer testen.

BitLocker-Wiederherstellungsinformationen werden unter folgenden Bedingungen gesichert:

  • Während des Setups von BitLocker mithilfe des in der Systemsteuerung verfügbaren Assistenten wird ein Wiederherstellungskennwort festgelegt.

  • Nach der Verschlüsselung des Datenträgers wird mithilfe des Befehlszeilentools manage-bde.wsf ein Wiederherstellungskennwort erstellt.

TPM-Wiederherstellungsinformationen werden unter folgenden Bedingungen gesichert:

  • Während der TPM-Initialisierung wird das TPM-Besitzerkennwort festgelegt.

  • Das TPM-Besitzerkennwort wird geändert.

Beispieltestszenario mit Windows Vista

Mit diesem Beispieltestszenario wird veranschaulicht, wie Sie Ihre Active Directory-Konfiguration mithilfe von Windows Vista überprüfen können. Der Testvorgang wird durch die von Ihnen heruntergeladenen Beispielskripts unterstützt.

ImportantWichtig
Führen Sie bei Bedarf zusätzliche Tests aus, die sicherstellen, dass alle Funktionen in Ihrer Umgebung wie vorgesehen ausgeführt werden. In diesem Szenario werden nicht unbedingt alle Aspekte Ihrer Konfiguration getestet.

Die Testszenarien können auf der Grundlage der Richtlinien Ihrer Organisation auch abweichen. In Organisationen, in denen Benutzer der Ersteller-Besitzer von Computerobjekten sind, die sie in die Domäne aufnehmen, können diese Benutzer möglicherweise die TPM-Besitzerinformationen für ihre eigenen Computerobjekte lesen.

So führen Sie einen Beispieltest aus
  1. Melden Sie sich bei einem Domänencontroller als Domänenadministrator an.

  2. Kopieren Sie die Beispielskriptdateien an einen geeigneten Speicherort.

  3. Öffnen Sie ein Eingabeaufforderungsfenster, und ändern Sie den Standardspeicherort in den Speicherort der Beispielskriptdateien.

  4. Geben Sie an der Eingabeaufforderung Folgendes ein:

    cscript List-ACEs.vbs

    Erwartete Ausgabe: Unter der Voraussetzung, dass die Standarddatei Add-TPMSelfWriteACE.vbs verwendet wurde und dass verworfene ACEs entfernt wurden, sollte nur ein ACE mit Bezug zu BitLocker und dem TPM vorhanden sein:

    Accessing

    > AceFlags: 10

    > AceType: 5

    > Flags: 3

    > AccessMask: 32

    > ObjectType: {AA4E1A6D-550D-4E05-8C35-4AFCB917A9FE}

    > InheritedObjectType: {BF967A86-0DE6-11D0-A285-00AA003049E2}

    > Trustee: NT AUTHORITY\SELF

    1 ACE(s) found in DC=nttest,DC=microsoft,DC=com related to BitLocker and TPM

  5. Melden Sie sich als lokaler Administrator (nicht als Domänenadministrator) beim der Domäne beigetretenen Windows Vista-Client an.

  6. Klicken Sie auf Start, geben Sie in das Feld Suche starten Folgendes ein, und drücken Sie die EINGABETASTE:

    tpm.msc

  7. Klicken Sie auf eine der Verknüpfungen TPM initialisieren bzw. Besitzerkennwort ändern.

  8. Legen Sie ein Besitzerkennwort fest, und wählen Sie die Option für die Sicherung der Informationen durch Drucken oder Speichern in einer Datei aus.

    Erwartete Ausgabe: Die Aktion wird ohne Fehlermeldung erfolgreich abgeschlossen.

  9. Verwenden Sie dasselbe Benutzerkonto, öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und wechseln Sie in den Ordner, in dem Sie eine Kopie der mit diesem Dokument bereitgestellten Beispielskripts gespeichert haben.

    noteHinweis
    Klicken Sie zum Öffnen eines Eingabeaufforderungsfensters mit erhöhten Rechten mit der rechten Maustaste auf eine Verknüpfung mit der Eingabeaufforderung und anschließend auf Als Administrator ausführen.

  10. Geben Sie an der Eingabeaufforderung Folgendes ein:

    cscript Get-TPMOwnerInfo.vbs

    Erwartete Ausgabe: Fehlermeldung "Active Directory: Die Verzeichniseigenschaft wurden nicht im Cache gefunden." Es werden keine Informationen angezeigt, weil ein Nicht-Domänenadministrator nicht in der Lage sein sollte, das ms-TPM-OwnerInformation-Attribut zu lesen.

    noteHinweis
    Wenn Benutzer der Ersteller-Besitzer von Computerobjekten sind, die sie in die Domäne aufnehmen, können diese Benutzer möglicherweise die TPM-Besitzerinformationen für ihre eigenen Computerobjekte lesen.

  11. Melden Sie sich bei demselben Clientcomputer als Domänenadministrator an.

  12. Verwenden Sie dasselbe Domänenadministratorkonto, öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und wechseln Sie in das Verzeichnis, in dem Sie eine Kopie der mit diesem Dokument bereitgestellten Beispielskripts gespeichert haben.

  13. Geben Sie an der Eingabeaufforderung Folgendes ein:

    cscript Get-TPMOwnerInfo.vbs

    Erwartete Ausgabe: Eine Zeichenfolge, die den Hashwert des zuvor von Ihnen erstellten Kennworts darstellt.

    Als Domänenadministrator haben Sie normalerweise Lesezugriff auf das ms-TPM-OwnerInformation-Attribut.

  14. Geben Sie an der Eingabeaufforderung mit erhöhten Rechten Folgendes ein, um ein Wiederherstellungskennwort zu erstellen:

    manage-bde -protectors -add -RecoveryPassword C:

    Erwartete Ausgabe: Die Aktion wird ohne Fehlermeldung erfolgreich abgeschlossen.

  15. Geben Sie an der Eingabeaufforderung Folgendes ein, um alle untergeordneten BitLocker-Objekte des Active Directory-Objekts des Clientcomputers zu lesen:

    cscript Get-BitLockerRecoveryInfo.vbs

    Erwartete Ausgabe: Für einen Domänenadministrator sollte mindestens ein Wiederherstellungskennwort angezeigt werden, einschließlich des Wiederherstellungskennworts, das in Schritt 14 erstellt wurde.

    Ein Nicht-Domänenadministrator kann diese Kennwörter nicht lesen.

  16. Löschen Sie alle erstellten untergeordneten BitLocker-Wiederherstellungsobjekte mit den Active Directory-Tools, beispielsweise das Verwaltungstool Active Directory-Benutzer und -Computer. Standardmäßig besitzen Clients unter Windows Vista keine Berechtigungen zum Löschen von veralteten BitLocker-Wiederherstellungskennwörtern.

Behandlung häufig auftretender Probleme

Im folgenden Abschnitt werden einige potenzielle Probleme und deren Lösungen besprochen.

Zugriffsberechtigungsprobleme

Wenn Sie gesicherte BitLocker- und TPM-Wiederherstellungsinformationen lesen können, obwohl Sie kein Domänenadministratorkonto verwenden, dann prüfen Sie, ob auf allen Domänencontrollern in Ihrem Netzwerk unterstützte Installationen von Windows Server ausgeführt werden.

ImportantWichtig
Unter Windows 2000 Server oder unter der ersten Version von Windows Server 2003 ausgeführte Domänencontroller werden bei der Sicherung von BitLocker- und TPM-Wiederherstellungsinformationen nicht unterstützt.

Skriptfehler

Bei der Ausführung eines Skripts kann ein Fehler auftreten. In den folgenden Abschnitten werden die Ursachen und Lösungen der häufigsten Skriptfehler erläutert.

Get-TPMOwnerInfo.vbs

Wenn Sie Get-TPMOwnerInfo.vbs ausführen und die Fehlermeldung "Active Directory: Die Verzeichniseigenschaft wurden nicht im Cache gefunden" angezeigt wird, haben Sie keine Berechtigung, das Attributobjekt für die TPM-Besitzerinformationen in Active Directory zu lesen.

Allgemein

Wenn die Fehlermeldung "Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden" angezeigt wird, stellen Sie sicher, dass der Computer der Domäne beigetreten ist und dass eine Netzwerkverbindung besteht.

Wenn die Fehlermeldung "Ein solches Objekt ist auf dem Server nicht vorhanden" angezeigt wird, prüfen Sie, ob für alle in der Befehlszeile mit Namen angegebenen Computer eine Netzwerkverbindung besteht.

Fehlermeldungen enthalten außerdem die Nummer der Zeile, in der der Fehler aufgetreten ist. Sehen Sie sich den Quellcode des Skripts an, um das Problem genauer zu untersuchen.

Fragen und Antworten

Dieser Abschnitt enthält Fragen, die im BitLocker-Team seit der ersten Version dieses Dokuments aufgeworfen wurden.

Ist dieses Schema Bestandteil von Windows Server 2008?

Ja, das Schema ist Bestandteil von Windows Server 2008. Windows Windows Server 2008 Beta 2 enthält die Objekte, die eine Sicherung aller BitLocker- und TPM-Wiederherstellungsinformationen in Vorabversionen von Windows Vista ermöglichen. Die Schemaaktualisierung für die freigegebene Version von Windows Vista enthält die für Windows Server 2008 Beta 3 geplanten Änderungen.

Kann ich die Schemaaktualisierung auf einen Domänencontroller unter Windows Server 2003 anwenden?

Microsoft unterstützt BitLocker-Schemaerweiterungen nur unter Windows Server 2003 mit SP1 und höher sowie unter Windows Server 2008. Die erste Version von Windows Server 2003 enthält das Feature für das Vertraulichkeitsflag nicht, über das der Zugriff auf gesicherte Wiederherstellungsinformationen gesperrt wird.

Wird dieses Schema durch Microsoft für den Produktionseinsatz unterstützt?

Ja, dieses Schema wird über unsere normalen Supportkanäle unterstützt. Weitere Informationen zu den Supportoptionen von Microsoft finden Sie unter http://go.mi (möglicherweise in englischer Sprache).

Wird auf dem Client ein Ereignisprotokolleintrag vorgenommen, der angibt, ob die Active Directory-Sicherung erfolgreich verlaufen ist oder ob ein Fehler aufgetreten ist?

Auf dem Client wird ein Ereignisprotokolleintrag aufgezeichnet, der angibt, ob die Active Directory-Sicherung erfolgreich verlaufen ist oder ob ein Fehler aufgetreten ist.

Dieser Protokolleintrag ist jedoch nur eingeschränkt von Nutzen. Auch wenn im Ereignisprotokoll der Eintrag "Erfolgreich" steht, kann es sein, dass die Informationen möglicherweise anschließend aus dem Active Directory entfernt wurden oder dass BitLocker so umkonfiguriert wurde, dass die Active Directory-Informationen das Laufwerk nicht mehr entsperren können (wenn beispielsweise die Schlüsselschutzvorrichtung für das Wiederherstellungskennwort entfernt wurde). Außerdem ist es möglich, dass der Protokolleintrag gefälscht ist.

Wenn Sie ermitteln möchten, ob eine legitime Sicherung in Active Directory vorhanden ist, ist es erforderlich, als Domänenadministrator eine Abfrage des Active Directory vorzunehmen.

Was passiert, wenn BitLocker auf einem Computer aktiviert wird, bevor der Computer der Domäne beigetreten ist?

Was passiert, wenn BitLocker auf einem Computer aktiviert wird, bevor die Gruppenrichtlinie angewendet wurde, um die Sicherung zu erzwingen? Werden die Wiederherstellungsinformationen automatisch in Active Directory gesichert, wenn der Computer der Domäne beitritt oder wenn anschließend die Gruppenrichtlinie angewendet wird?

Diese Funktion ist unter Windows Vista nicht verfügbar. Im Allgemeinen wird ein neuer Computer in einem Unternehmen zuerst einer Domäne hinzugefügt.

Die WMI-Schnittstelle (Windows Management Instrumentation) von BitLocker bietet Administratoren die Möglichkeit, ein Skript zu schreiben, das vorhandene Wiederherstellungskennwörter eines Online-Clients sichert oder synchronisiert. Mit einem Administratorkonto kann mithilfe der GetKeyProtectorNumericalPassword-Methode der BitLocker WMI-Schnittstelle oder mit den Parametern "-protectors -get" des BitLocker-Befehlszeilentools (manage-bde.wsf) eine Liste der Wiederherstellungskennwörter eines entsperrten Volumes angezeigt werden.

Was passiert, wenn bei der Sicherung zuerst Fehler auftreten? Unternimmt BitLocker einen erneuten Versuch?

Wenn bei der Sicherung zuerst Fehler auftreten, weil z. B. ein Domänencontroller zum Ausführungszeitpunkt des BitLocker-Setup-Assistenten nicht erreichbar ist, unternimmt BitLocker keine weiteren Versuche, die Wiederherstellungsinformationen in Active Directory zu sichern.

Wenn ein Administrator eines der Kontrollkästchen BitLocker-Sicherung in AD DS erforderlich oder TPM-Sicherung in AD DS erforderlich aktiviert, kann BitLocker nicht aktiviert werden, wenn bei der Sicherung Fehler auftreten.

Wenn ein Administrator diese Kontrollkästchen deaktiviert, lässt er zu, dass ein Volume mit BitLocker verschlüsselt wird, ohne dass die Wiederherstellungsinformationen erfolgreich in Active Directory gesichert sein müssen. BitLocker wird den Versuch jedoch nicht automatisch wiederholen. Ein Administrator kann stattdessen ein Skript für eine Sicherung erstellen (wie im Zusammenhang mit der vorherigen Frage beschrieben), um die Informationen aufzuzeichnen, nachdem die Verbindung wieder hergestellt ist.

Verschlüsselt BitLocker Wiederherstellungsinformationen, wenn sie an Active Directory gesendet werden?

Ja, die Übertragung der Wiederherstellungsinformationen von einem Client unter Windows Vista an Active Directory wird mit Kerberos geschützt. Die Verbindung verwendet insbesondere die Authentifizierungsflags ADS_SECURE_AUTHENTICATION, ADS_USE_SEALING und ADS_USE_SIGNING.

Weitere Informationen zu den Active Directory-Authentifizierungsflags finden Sie unter http://go.microsoft.com/fwlink/?LinkId=79643 (möglicherweise in englischer Sprache).

noteHinweis
Nachdem die Wiederherstellungsinformationen übermittelt sind, werden die BitLocker- und TPM-Wiederherstellungsinformationen von Active Directory nicht in einem verschlüsselten Format gespeichert. Die Zugriffssteuerungsberechtigungen werden jedoch so festgelegt, dass ausschließlich Domänenadministratoren oder entsprechende Delegierte die gespeicherten Informationen lesen können, wenn der Server online ist. Unternehmen, die Offlineangriffe auf Zweigstellenserver befürchten, sollten BitLocker auf diesen Servern aktivieren, sobald diese auf Windows Server 2008 aktualisiert sind.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft