(0) exportieren Drucken
Alle erweitern

Betriebshandbuch für die BitLocker-Laufwerkverschlüsselung: Wiederherstellen verschlüsselter Volumes mit AD DS

Letzte Aktualisierung: Mai 2008

Betrifft: Windows Server 2008, Windows Vista

In diesem Dokument wird gezeigt, wie Organisationen die in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) gespeicherten BitLocker-Wiederherstellungsinformationen für den Zugriff auf mit BitLocker verschlüsselte Daten verwenden können. Es wird empfohlen, dass Sie ein vollständiges Wiederherstellungsmodell für BitLocker erstellen, während Sie die BitLocker-Bereitstellung planen.

Inhalt dieses Dokuments

Dieser Artikel enthält ausführliche Informationen, die Sie beim Planen des BitLocker-Wiederherstellungsprozesses für Windows Vista® Enterprise, Windows Vista® Ultimate und Windows Server® 2008 verwenden können.

Ihnen sollte bekannt sein, wie AD DS zum automatischen Sichern von BitLocker-Wiederherstellungsinformationen eingerichtet wird und welche Arten von Wiederherstellungsinformationen in AD DS gespeichert werden, damit Sie diesen Artikel verstehen und ordnungsgemäß anwenden können.

In diesem Dokument erhalten Sie Informationen zu folgenden Themen:

Dieses Dokument enthält keine Informationen zu folgenden Themen:

In diesem Artikel ist keine ausführliche Beschreibung zur Konfiguration von AD DS zum Speichern der BitLocker-Wiederherstellungsinformationen enthalten. Es wird jedoch erläutert, wie eine Organisation den Wiederherstellungsprozess planen kann. BitLocker-fähige Volumes können darüber hinaus mit der Windows-Wiederherstellungsumgebung (Windows Recovery Environment, Windows RE) wiederhergestellt werden und durch Eingabe des Wiederherstellungskennworts beim Start.

Weitere Informationen zum Speichern von Wiederherstellungsinformationen in AD DS finden Sie auf der Website zum Konfigurieren von Active Directory für die Sicherung der Wiederherstellungsinformationen für die Windows BitLocker-Laufwerkverschlüsselung und TPM (Trusted Platform Module) (http://go.microsoft.com/fwlink/?LinkId=82827).

Was ist die BitLocker-Wiederherstellung?

In allen Wiederherstellungsszenarien wird der Zugriff auf das Laufwerk mit dem gespeicherten Wiederherstellungskennwort in AD DS entsperrt. Mit diesem gespeicherten Kennwort kann BitLocker unabhängig von der verwendeten Authentifizierungsmethode wiederhergestellt werden.

Wodurch wird die BitLocker-Wiederherstellung verursacht?

Zu den Ursachen für eine BitLocker-Wiederherstellung zählen Folgende:

  • Ein Angreifer hat den Computer geändert. Dies gilt für Computer mit TPM (Trusted Platform Module), da die Integrität der Startkomponenten während des Starts von TPM überprüft wird.

  • Verschieben des mit BitLocker geschützten Laufwerks auf einen neuen Computer

  • Aktualisieren auf ein neues Motherboard mit einem neuen TPM

  • Ausschalten, Deaktivieren oder Löschen des TPM

  • Aktualisieren wichtiger Komponenten für den frühen Start, die Fehler bei der TPM-Überprüfung verursachen

  • Vergessen der PIN, wenn die PIN-Authentifizierung aktiviert ist

  • Verlieren des austauschbaren USB-Flashlaufwerks mit dem Systemstartschlüssel, wenn die Authentifizierung mit einem Systemstartschlüssel aktiviert ist

noteHinweis
Bevor Sie mit der Wiederherstellung beginnen, sollten Sie die Ursache für die Wiederherstellung ermitteln. Dadurch kann möglicherweise verhindert werden, dass das Problem in der Zukunft erneut auftritt. Wenn Sie z. B feststellen, dass ein Angreifer den Computer geändert hat, indem physisch auf den Computer zugegriffen wurde, können Sie neue Sicherheitsrichtlinien erstellen, um nachzuverfolgen, welche Benutzer anwesend sind. Falls ein Angreifer den Computer geändert hat und Sie das Problem vor der ersten Wiederherstellung nicht lösen, werden Sie möglicherweise feststellen, dass Sie aufgrund von Angriffen regelmäßig eine Wiederherstellung auf dem BitLocker-fähigen Volume ausführen müssen.

In geplanten Szenarien, z. B. bei einer bekannten Hardwareaktualisierung, können Sie das Initiieren der Wiederherstellung vermeiden, indem Sie den BitLocker-Schutz vorübergehend deaktivieren. Da durch das Deaktivieren von BitLocker das Laufwerk vollständig unverschlüsselt ist, kann der Administrator den BitLocker-Schutz nach Abschluss der geplanten Aufgabe rasch wieder aktivieren. Verwenden Sie zum vorübergehenden Deaktivieren von BitLocker die Systemsteuerung, das Befehlszeilentool oder ein bereitgestelltes Skript, mit dem die entsprechende WMI-Schnittstellenmethode (Windows Management Instrumentation, Windows-Verwaltungsinstrumentation) aufgerufen wird.

Die Wiederherstellung wurde im Kontext von nicht geplantem oder unerwünschtem Verhalten beschrieben, Sie können jedoch auch eine Wiederherstellung als gewolltes Produktionsszenario initiieren, um die Zugriffssteuerung zu verwalten. Wenn Sie z. B. vorhandene Desktop- oder Laptopcomputer für andere Abteilungen oder Mitarbeiter im Unternehmen bereitstellen, können Sie eine BitLocker-Wiederherstellung erzwingen, bevor der Computer an einen neuen Benutzer übergeben wird.

Testen der Wiederherstellung

Bevor Sie einen vollständigen BitLocker-Wiederherstellungsprozess erstellen, sollten Sie die Funktionsweise des Wiederherstellungsprozesses sowohl für Endbenutzer (Benutzer, die beim Helpdesk nach dem Wiederherstellungskennwort fragen) als auch für Administratoren (Benutzer, die dem Endbenutzer beim Anfordern des Wiederherstellungskennworts helfen) testen.

Mithilfe der folgenden Tabelle können Sie bestimmen, wie Sie die Wiederherstellung in der Organisation am besten testen. In der Spalte mit der Authentifizierungsmethode sind die BitLocker-Authentifizierungsmethoden aufgeführt. Wählen Sie die Authentifizierungsmethode aus, die an der in der Testumgebung implementierten Authentifizierungsmethode ausgerichtet ist.

 

Authentifizierungsmethode Initiierung der Wiederherstellung

TPM + PIN

  • Einbehalten der PIN während des Starts

  • Entfernen der mit der PIN verbundenen Schlüsselschutzvorrichtung

TPM + Systemstartschlüssel

  • Einbehalten des Systemstartschlüssels während des Starts

  • Entfernen der mit dem Systemstartschlüssel verbundenen Schlüsselschutzvorrichtung

Systemstartschlüssel

  • Einbehalten des Systemstartschlüssels während des Starts

  • Entfernen der mit dem Systemstartschlüssel verbundenen Schlüsselschutzvorrichtung

Alle TPM-basierten Authentifizierungsmethoden

  • Entfernen der mit dem TPM verbundenen Schlüsselschutzvorrichtung

  • Deaktivieren des TPM

Einbehalten der PIN während des Starts

Sie können eine Wiederherstellung initiieren, indem Sie die PIN beim Starten des Computers nicht eingeben oder eine falsche PIN eingeben. Wenn Sie keinen PIN eingeben, wird in der Wiederherstellungskonsole vor Windows eine Aufforderung zur Eingabe eines Wiederherstellungskennworts angezeigt.

Einbehalten des Systemstartschlüssels während des Starts

Sie können eine Wiederherstellung initiieren, indem Sie das USB-Flashlaufwerk mit dem Systemstartschlüssel beim Start des Computers nicht einlegen. Wenn Sie keinen Systemstartschlüssel bereitstellen, wird in der Wiederherstellungskonsole vor Windows eine Aufforderung zur Eingabe eines Wiederherstellungskennworts angezeigt.

Entfernen der mit dem TPM verbundenen Schlüsselschutzvorrichtung

Fehlen die TPM-basierten Schlüsselschutzvorrichtungen, kann ein Benutzer das Laufwerk nur entsperren, indem ein Wiederherstellungskennwort oder ein Wiederherstellungsschlüssel verwendet wird.

So erzwingen Sie eine Wiederherstellung für den lokalen Computer

  1. Klicken Sie auf die Schaltfläche Start, geben Sie in das Feld Suche starten die Zeichenfolge cmd ein, klicken Sie mit der rechten Maustaste auf cmd.exe, und klicken Sie dann auf Als Administrator ausführen.

  2. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

  3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    cscript manage-bde.wsf -forcerecovery <Volume>

noteHinweis
<Volume> stellt das mit BitLocker geschützte Volume dar.

So erzwingen Sie eine Wiederherstellung für einen Remotecomputer

  1. Klicken Sie auf die Schaltfläche Start, geben Sie in das Feld Suche starten die Zeichenfolge cmd ein, klicken Sie mit der rechten Maustaste auf cmd.exe, und klicken Sie dann auf Als Administrator ausführen.

  2. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

  3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    cscript manage-bde.wsf -ComputerName <Computername> -forcerecovery <Volume>

noteHinweis
<Computername> stellt den Namen des Remotecomputers dar. <Volume> stellt das mit BitLocker geschützte Volume auf dem Remotecomputer dar.

Deaktivieren des TPM

Mit dem TPM-Verwaltungs-MMC-Snap-In (Microsoft Management Console) können Sie das TPM deaktivieren.

So deaktivieren Sie das TPM mithilfe des TPM-Verwaltungs-Snap-Ins

  1. Klicken Sie auf die Schaltfläche Start, geben Sie im Feld Suche starten die Zeichenfolge tpm.msc ein, und klicken Sie dann auf tpm.msc.

  2. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

  3. Wählen Sie in der Konsolenstruktur das TPM aus.

  4. Klicken Sie im Bereich Aktionen auf TPM deaktivieren, und geben Sie dann im Assistenten das TPM-Besitzerkennwort ein.

Sie können auch ein Skript schreiben, indem Sie die TPM WMI-Schnittstelle zum automatischen Abrufen des gespeicherten TPM-Besitzerkennworthashes verwenden, und anschließend mit diesem Hash das TPM lokal oder remote deaktivieren.

Planen des Wiederherstellungsprozesses

Überprüfen Sie beim Planen des BitLocker-Wiederherstellungsprozesses zunächst die aktuellen bewährten Methoden der Organisation zur Wiederherstellung vertraulicher Informationen. Ein Beispiel: Welche Methode wird im Unternehmen bei verloren gegangenen Windows-Kennwörtern angewendet? Wie werden in der Organisation Smartcard-PINs zurückgesetzt? Verwenden Sie diese bewährten Methoden und verwandte Ressourcen (Benutzer und Tools) bei der Formulierung eines BitLocker-Wiederherstellungsmodells.

Nach der Initiierung einer BitLocker-Wiederherstellung können Benutzer mit einem Wiederherstellungskennwort den Zugriff auf verschlüsselte Daten entsperren. Sie müssen sowohl die Methode für die Selbstwiederherstellung als auch die für das Abrufen des Wiederherstellungskennworts für die Organisation beachten.

Beim Bestimmen des Wiederherstellungsprozesses sollten Sie folgende Aktionen ausführen:

Selbstwiederherstellung

In einigen Fällen haben Benutzer das Wiederherstellungskennwort möglicherweise ausgedruckt oder auf einem USB-Flashlaufwerk gespeichert und können eine Selbstwiederherstellung durchführen. Es wird empfohlen, dass in der Organisation eine Richtlinie für die Selbstwiederherstellung erstellt wird. Möglicherweise sollen Benutzer sich an das Helpdesk wenden, bevor oder nachdem sie die Selbstwiederherstellung durchgeführt haben, sodass die Ursache erkannt werden kann.

Abrufen des Wiederherstellungskennworts

Falls der Benutzer kein Wiederherstellungskennwort ausgedruckt oder auf einem USB-Flashlaufwerk gespeichert hat, muss der Benutzer sich an das Helpdesk wenden.

noteHinweis
Beachten Sie beim Planen des Abrufprozesses für das Wiederherstellungskennwort, dass der gesamte Supportprozess möglicherweise telefonisch erfolgt.

Mit dem Tool BitLocker-Wiederherstellungskennwort-Viewer für Active Directory-Benutzer und -Computer können Domänenadministratoren die BitLocker-Wiederherstellungskennwörter für spezifische Computerobjekte in Active Directory anzeigen. Da das Snap-In Active Directory-Benutzer und -Computer für Windows Vista noch nicht verfügbar ist, muss das Viewer-Tool auf einem Computer unter Windows Server 2003 oder Windows XP installiert werden. Informationen zum Anfordern des Tools und zu seiner Verwendung finden Sie in der Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=93476, möglicherweise in englischer Sprache).

Sie können die folgende Liste als Vorlage zum Erstellen des eigenen Wiederherstellungsprozesses für das Abrufen des Wiederherstellungskennworts verwenden. In diesem Beispielprozess wird das Tool BitLocker-Wiederherstellungskennwort-Viewer für Active Directory-Benutzer und -Computer verwendet.

Aufzeichnen des Namens des Benutzercomputers

Sie können mit dem Namen des Benutzercomputers nach dem Wiederherstellungskennwort in AD DS suchen. Falls der Benutzer den Namen des Computers nicht kennt, bitten Sie den Benutzer, das erste Wort der Laufwerkbezeichnung in der Benutzeroberfläche Kennworteintrag für die BitLocker-Laufwerkverschlüsselung zu lesen. Dies war der Name des Computers zu dem Zeitpunkt, als BitLocker aktiviert wurde. Hierbei handelt es sich sehr wahrscheinlich auch um den aktuellen Namen des Computers.

Überprüfen der Benutzeridentität

Sie sollten sicherstellen, dass es sich bei der Person, die nach dem Wiederherstellungskennwort fragt, auch tatsächlich um den autorisierten Benutzer dieses Computers handelt. Sie können auch überprüfen, ob der Computer mit dem vom Benutzer bereitgestellten Namen zum Benutzer gehört.

Suchen des Wiederherstellungskennworts in AD DS

Suchen Sie das Computerobjekt mit demselben Namen in AD DS. Da Computerobjektnamen im globalen Katalog von AD DS aufgeführt sind, sollte es möglich sein, das Objekt zu finden, auch wenn die Gesamtstruktur mehrere Domänen aufweist.

Mehrere Wiederherstellungskennwörter

Falls unter einem Computerobjekt in AD DS mehrere Wiederherstellungskennwörter gespeichert sind, schließt der Name des Objekts mit den BitLocker-Wiederherstellungsinformationen das Datum ein, an dem das Kennwort erstellt wurde.

Falls Sie unsicher sind, welches Kennwort bereitgestellt werden soll, oder falls Sie befürchten, ein falsches Kennwort anzugeben, bitten Sie den Benutzer, die in der Wiederherstellungskonsole angezeigte Kennwort-ID zu lesen. Möglicherweise muss der Benutzer nicht die gesamte ID vorlesen, damit Sie eines der Kennwörter für einen Computer finden können. Die ersten 8 Zeichen oder die letzten 6 Zeichen sollten ausreichen.

Da es sich bei der Kennwort-ID um einen eindeutigen Wert handelt, der mit jedem in AD DS gespeicherten Wiederherstellungskennwort gespeichert ist, wird beim Ausführen einer Abfrage mit dieser ID das richtige Kennwort zum Entsperren des verschlüsselten Volumes gefunden.

Sammeln von Informationen zur Ursache der Wiederherstellung

Bevor Sie dem Benutzer das Wiederherstellungskennwort geben, sollten Sie Informationen zur Ursache der Wiederherstellung sammeln, um die zugrunde liegende Ursache während der Analyse nach der Wiederherstellung zu analysieren. Weitere Informationen zur Analyse nach der Wiederherstellung finden Sie unter Analyse nach der Wiederherstellung.

Übergeben des Wiederherstellungskennworts an den Benutzer

Da das Wiederherstellungskennwort 48 Stellen umfasst, sollten Sie den Benutzer auffordern, das Kennwort aufzuschreiben oder auf einem anderen Computer einzugeben. Nach Initiierung der Wiederherstellung wird dem Benutzer bei jedem Start des Computers die BitLocker-Wiederherstellungskonsole angezeigt. (Dies gilt nicht, wenn der Benutzer einen Systemstartschlüssel oder eine PIN findet bzw. sich an diesen bzw. diese erinnert, kurz nachdem das Helpdesk angerufen wurde.) Wiederholte Anrufe beim Helpdesk, bevor die Analyse nach der Wiederherstellung durchgeführt werden kann, können verhindert werden, wenn der Benutzer vom Helpdesk gebeten wird, das Wiederherstellungskennwort aufzuschreiben und an einem sicheren Ort aufzubewahren (z. B. in der Brieftasche). Während der Analyse nach der Wiederherstellung kann ein Administrator den BitLocker-Schutz des Laufwerks aktualisieren, um eine Wiederherstellung bei jedem Start zu vermeiden. Weitere Informationen zur Analyse nach der Wiederherstellung finden Sie unter Analyse nach der Wiederherstellung.

noteHinweis
Da das Wiederherstellungskennwort 48 Stellen umfasst und eine Kombination aus Ziffern enthält, kann der Benutzer das Kennwort möglicherweise falsch verstehen oder falsch notieren. Von der Startzeit-Wiederherstellungskonsole werden integrierte Prüfsummenzahlen verwendet, um Eingabefehler in allen 6-stelligen Blöcken des 48-stelligen Wiederherstellungskennworts zu erkennen, und der Benutzer kann diese Fehler dann korrigieren.

Analyse nach der Wiederherstellung

Der Zugriff auf ein Volume mithilfe eines Wiederherstellungskennworts wird von BitLocker genauso behandelt wie der Zugriff auf das Volume mithilfe einer nicht zur Wiederherstellung zählenden Methode (z. B. TPM). Das Entsperren des Volumes bedeutet, dass der Verschlüsselungsschlüssel freigegeben wurde und für eine rasche Verschlüsselung bereit ist, wenn Daten in das Volume geschrieben werden, sowie für eine rasche Entschlüsselung, wenn Daten aus dem Volume gelesen werden. Nachdem das Volume entsperrt wurde, weist BitLocker das gleiche Verhalten auf, unabhängig davon, auf welche Art der Zugriff gewährt wurde.

Falls der Benutzer den Computer herunter fährt oder zulässt, dass dieser in den Ruhezustand wechselt, wird das verschlüsselte Volume von BitLocker erneut gesperrt, und für den Computer wird erneut eine Wiederherstellung erzwungen. Aus diesem Grund sollte der Benutzer ein Wiederherstellungskennwort parat haben, bis ein Administrator die Analyse nach der Wiederherstellung durchführen kann, um die Ursache für die Wiederherstellung zu finden, und den BitLocker-Schutz aktualisieren kann, sodass der Benutzer das Wiederherstellungskennwort nicht mehr bei jedem Start des Computers eingeben muss. Siehe:

  1. Bestimmen der Ursache für die Wiederherstellung

  2. Aktualisieren des BitLocker-Schutzes

Bestimmen der Ursache für die Wiederherstellung

Falls ein Benutzer das Laufwerk wiederherstellen musste, muss unbedingt und unmittelbar die Ursache ermittelt werden, warum die Wiederherstellung initiiert wurde. Bei einer gründlichen Analyse des Computerstatus und durch das Erkennen von Manipulationen können Bedrohungen erkannt werden, die größere Auswirkungen auf die Sicherheit des Unternehmens haben.

In manchen Fällen kann ein Administrator die Ursache der Wiederherstellung remote untersuchen, möglicherweise muss der Endbenutzer jedoch den Computer mit dem wiederhergestellten Laufwerk zum Administrator bringen, damit die Ursache weiter analysiert werden kann.

Überprüfen und beantworten Sie die folgenden Fragen für Ihre Organisation:

  1. Welcher BitLocker-Schutzmodus ist aktiv (TPM, TPM + PIN, TPM + Systemstartschlüssel, nur Systemstartschlüssel)?

  2. Hat der Benutzer die PIN einfach vergessen oder den Systemstartschlüssel verloren? Falls ein Token verloren wurde, wo kann sich der Token befinden?

  3. Falls der TPM-Modus aktiv war, wurde die Wiederherstellung durch eine Änderung an der Startdatei verursacht?

  4. Falls die Wiederherstellung durch eine Änderung an der Startdatei verursacht wurde, war dies vom Benutzer beabsichtigt (z. B. bei einem BIOS-Update), oder handelt es sich um bösartige Software?

  5. Wann konnte der Benutzer den Computer zum letzten Mal erfolgreich starten, und was kann danach mit dem Computer geschehen sein?

  6. Hat der Benutzer seit dem letzten erfolgreichen Start vielleicht bösartige Software gefunden oder den Computer unbeaufsichtigt gelassen?

Verwenden Sie zur Unterstützung bei der Beantwortung dieser Fragen das BitLocker-Befehlszeilentool, um die aktuelle Konfiguration und den aktuellen Schutzmodus anzuzeigen (ein Beispiel: manage-bde -status). Überprüfen Sie das Ereignisprotokoll, um nach Ereignissen zu suchen, die bei der Suche nach der Ursache für die Initiierung der Wiederherstellung hilfreich sein können (ein Beispiel: Wurde die Startdatei geändert?). Beide Funktionen können remote ausgeführt werden.

Auflösen der Ursache

Nachdem Sie die Ursache für die Wiederherstellung identifiziert haben, können Sie den BitLocker-Schutz zurücksetzen und damit eine Wiederherstellung bei jedem Start verhindern.

Die einzelnen Schritte dieser Zurücksetzung können abhängig von der Ursache für die Wiederherstellung variieren. Falls Sie die Ursache nicht bestimmen können oder falls bösartige Software oder ein Rootkit den Computer infiziert hat, sollten vom Helpdesk die bewährten Virusrichtlinien angewendet werden, um angemessen zu reagieren.

noteHinweis
Eine BitLocker-Zurücksetzung kann jederzeit durch das Entschlüsseln des Volumes und eine anschließende erneute Aktivierung von BitLocker durchgeführt werden. Sie können auch eine Neuinstallation des Betriebssystems ausführen und BitLocker anschließend neu aktivieren.

Unbekannte PIN

Falls ein Benutzer die PIN vergessen hat, müssen Sie die PIN zurücksetzen, während Sie am Computer angemeldet sind. Auf diese Weise können Sie verhindern, dass bei jedem Start des Computers eine Wiederherstellung von BitLocker initiiert wird.

So verhindern Sie die fortlaufende Wiederherstellung aufgrund einer unbekannten PIN

  1. Melden Sie sich als Administrator an.

  2. Setzen Sie die PIN zurück:

    1. Klicken Sie im Startmenü auf Systemsteuerung.

    2. Klicken Sie in der Systemsteuerung auf Sicherheit, und klicken Sie dann auf BitLocker-Laufwerkverschlüsselung.

    3. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

    4. Klicken Sie im BitLocker-Element der Systemsteuerung auf BitLocker-Schlüssel verwalten, und klicken Sie dann auf PIN zurücksetzen.

  3. Passen Sie das Skript in Anhang B: Zurücksetzen von Wiederherstellungskennwörtern an, und führen Sie es aus, um das Wiederherstellungskennwort zurückzusetzen.

  4. Kopieren des Wiederherstellungskennworts:

    1. Klicken Sie im Startmenü auf Systemsteuerung.

    2. Klicken Sie in der Systemsteuerung auf Sicherheit, und klicken Sie dann auf BitLocker-Laufwerkverschlüsselung.

    3. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

    4. Klicken Sie im BitLocker-Element der Systemsteuerung auf BitLocker-Schlüssel verwalten, und klicken Sie dann auf Wiederherstellungskennwort kopieren.

Verlorener Systemstartschlüssel

Falls Sie das USB-Flashlaufwerk mit dem Systemstartschlüssel verloren haben, müssen Sie BitLocker deaktivieren und anschließend erneut aktivieren, um zu verhindern, dass bei jedem Neustart des Computers von BitLocker eine Wiederherstellung ausgeführt wird.

So verhindern Sie die fortlaufende Wiederherstellung aufgrund eines verlorenen Systemstartschlüssels

  1. Melden Sie sich als Administrator am Computer mit dem verlorenen Systemstartschlüssel an.

  2. Deaktivieren Sie BitLocker, und entschlüsseln Sie alle Laufwerke:

    1. Klicken Sie im Startmenü auf Systemsteuerung.

    2. Klicken Sie in der Systemsteuerung auf Sicherheit, und klicken Sie dann auf BitLocker-Laufwerkverschlüsselung.

    3. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

    4. Klicken Sie im BitLocker-Element der Systemsteuerung auf BitLocker deaktivieren.

    5. Klicken Sie im Dialogfeld BitLocker-Laufwerkverschlüsselung auf Alle Laufwerke entschlüsseln.

  3. Aktivieren Sie BitLocker, und verschlüsseln Sie dann alle Laufwerke:

    1. Klicken Sie im Startmenü auf Systemsteuerung.

    2. Klicken Sie in der Systemsteuerung auf Sicherheit, und klicken Sie dann auf BitLocker-Laufwerkverschlüsselung.

    3. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

    4. Klicken Sie im BitLocker-Element der Systemsteuerung auf BitLocker aktivieren.

    5. Erstellen Sie im Dialogfeld BitLocker-Laufwerkverschlüsselung einen neuen Systemstartschlüssel und ein neues Wiederherstellungskennwort.

Alternativ kann ein Administrator das BitLocker-Befehlszeilentool manage-bde verwenden, um den alten Systemstartschlüssel zu entfernen und einen neuen hinzuzufügen.

Änderung an Startdateien mit bekannter Ursache

Dieser Fehler kann auftreten, wenn das System-BIOS absichtlich aktualisiert haben. Sie müssen mehrere Schritte ausführen, um sicherzustellen, dass BitLocker nicht bei jedem Start des Computers eine Wiederherstellung initiiert.

So verhindern Sie die fortlaufende Wiederherstellung aufgrund eines aktualisierten System-BIOS

  1. Melden Sie sich als Administrator an dem betreffenden Computer an.

  2. Deaktivieren Sie BitLocker, ohne die Laufwerke zu entschlüsseln:

    1. Klicken Sie im Startmenü auf Systemsteuerung.

    2. Klicken Sie in der Systemsteuerung auf Sicherheit, und klicken Sie dann auf BitLocker-Laufwerkverschlüsselung.

    3. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

    4. Klicken Sie im BitLocker-Element der Systemsteuerung auf BitLocker deaktivieren.

    5. Klicken Sie im Dialogfeld BitLocker-Laufwerkverschlüsselung auf BitLocker deaktivieren.

  3. Aktivieren Sie BitLocker:

    1. Klicken Sie im Startmenü auf Systemsteuerung.

    2. Klicken Sie in der Systemsteuerung auf Sicherheit, und klicken Sie dann auf BitLocker-Laufwerkverschlüsselung.

    3. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

    4. Klicken Sie im BitLocker-Element der Systemsteuerung auf BitLocker aktivieren.

    5. Erstellen Sie im Dialogfeld BitLocker-Laufwerkverschlüsselung einen neuen Systemstartschlüssel und ein neues Wiederherstellungskennwort.

  4. Passen Sie das Skript in Anhang B: Zurücksetzen von Wiederherstellungskennwörtern an, und führen Sie es aus, um das Wiederherstellungskennwort zurückzusetzen.

  5. Kopieren des Wiederherstellungskennworts:

    1. Klicken Sie im Startmenü auf Systemsteuerung.

    2. Klicken Sie in der Systemsteuerung auf Sicherheit, und klicken Sie dann auf BitLocker-Laufwerkverschlüsselung.

    3. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

    4. Klicken Sie im BitLocker-Element der Systemsteuerung auf BitLocker-Schlüssel verwalten.

    5. Klicken Sie im Dialogfeld BitLocker-Laufwerkverschlüsselung auf Wiederherstellungskennwort kopieren.

Änderung an Startdateien mit unbekannter Ursache

Dieser Fehler kann auftreten, falls die Systemstartdateien durch bösartige Software geändert wurden. Sie müssen mehrere Schritte ausführen, um sicherzustellen, dass BitLocker nicht bei jedem Start des Computers eine Wiederherstellung initiiert.

So verhindern Sie die fortlaufende Wiederherstellung aufgrund einer Änderung an den Startdateien mit einer unbekannten Ursache

  1. Melden Sie sich als Administrator am Computer an.

  2. Sichern Sie alle wichtigen Daten auf dem Computer an einem externen Speicherort, z. B. in einem freigegebenen Ordner.

  3. Führen Sie eine Neuinstallation von Windows Vista aus.

  4. Aktivieren Sie BitLocker:

    1. Melden Sie sich als Administrator am Computer an.

    2. Klicken Sie auf Start, und klicken Sie dann auf Systemsteuerung.

    3. Klicken Sie in der Systemsteuerung auf Sicherheit, und klicken Sie dann auf BitLocker-Laufwerkverschlüsselung.

    4. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

    5. Klicken Sie im BitLocker-Element der Systemsteuerung auf BitLocker aktivieren.

    6. Erstellen Sie im Dialogfeld BitLocker-Laufwerkverschlüsselung einen neuen Systemstartschlüssel und ein neues Wiederherstellungskennwort.

  5. Untersuchen Sie, ob das Problem gelöst wurde. Falls bösartige Software auf dem Computer installiert wurde, die vor dem Betriebssystem gestartet wird, müssen Sie dem Benutzer möglicherweise einen neuen Computer zur Verfügung stellen.

Ungültige TPM-Einstellungen mit bekannter Ursache

Dieser Fehlertyp kann auftreten, wenn Sie das TPM deaktiviert haben. Sie müssen mehrere Schritte ausführen, um sicherzustellen, dass BitLocker nicht bei jedem Start des Computers eine Wiederherstellung initiiert.

So verhindern Sie die Wiederherstellung aufgrund von ungültigen TPM-Einstellungen mit einer bekannten Ursache

  1. Machen Sie die Änderung an den TPM-Einstellungen rückgängig.

    1. Klicken Sie auf die Schaltfläche Start, geben Sie im Feld Suche starten die Zeichenfolge tpm ein, und klicken Sie dann auf tpm.msc.

    2. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

    3. Klicken Sie im Bereich Aktionen auf die Option, mit der die TPM-Einstellung, durch die der Fehler verursacht wurde, umgekehrt wird.

      Wenn Sie z. B. das TPM deaktiviert haben, klicken Sie auf TPM aktivieren, um das TPM erneut zu aktivieren.

  2. Passen Sie das Skript in Anhang B: Zurücksetzen von Wiederherstellungskennwörtern an, und führen Sie es aus, um das Wiederherstellungskennwort zurückzusetzen.

  3. Kopieren des Wiederherstellungskennworts:

    1. Klicken Sie im Startmenü auf Systemsteuerung.

    2. Klicken Sie in der Systemsteuerung auf Sicherheit, und klicken Sie dann auf BitLocker-Laufwerkverschlüsselung.

    3. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

    4. Klicken Sie im BitLocker-Element der Systemsteuerung auf BitLocker-Schlüssel verwalten.

    5. Klicken Sie im Dialogfeld BitLocker-Laufwerkverschlüsselung auf Wiederherstellungskennwort kopieren.

Ungültige TPM-Einstellungen mit unbekannter Ursache

Dieser Fehlertyp kann auftreten, wenn das TPM durch bösartige Software deaktiviert wurde. Sie müssen mehrere Schritte ausführen, um sicherzustellen, dass BitLocker nicht bei jedem Start des Computers eine Wiederherstellung initiiert.

So verhindern Sie die Wiederherstellung aufgrund von ungültigen TPM-Einstellungen mit einer unbekannten Ursache

  1. Deaktivieren Sie BitLocker, ohne die Laufwerke zu entschlüsseln:

    1. Klicken Sie im Startmenü auf Systemsteuerung.

    2. Klicken Sie in der Systemsteuerung auf Sicherheit, und klicken Sie dann auf BitLocker-Laufwerkverschlüsselung.

    3. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

    4. Klicken Sie im BitLocker-Element der Systemsteuerung auf BitLocker deaktivieren.

    5. Klicken Sie im Dialogfeld BitLocker-Laufwerkverschlüsselung auf BitLocker deaktivieren.

  2. Löschen Sie das TPM:

    1. Klicken Sie im Startmenü auf Systemsteuerung.

    2. Klicken Sie in der Systemsteuerung auf Sicherheit, und klicken Sie dann auf BitLocker-Laufwerkverschlüsselung.

    3. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

    4. Klicken Sie im linken Bereich unter Siehe auch auf TPM-Verwaltung.

    5. Klicken Sie im Bereich Aktionen auf TPM löschen.

  3. Initialisieren Sie das TPM:

    1. Klicken Sie auf die Schaltfläche Start, und klicken Sie dann auf Systemsteuerung.

    2. Klicken Sie in der Systemsteuerung auf Sicherheit, und klicken Sie dann auf BitLocker-Laufwerkverschlüsselung.

    3. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

    4. Klicken Sie im linken Bereich unter Siehe auch auf TPM-Verwaltung. Die TPM-Verwaltungskonsole wird angezeigt.

    5. Klicken Sie im Bereich Aktionen auf TPM initialisieren. Der TPM-Initialisierungs-Assistent wird gestartet.

      noteHinweis
      Falls das TPM noch nie aktiviert wurde oder zurzeit deaktiviert ist, wird im TPM-Initialisierungs-Assistent die Seite TPM-Sicherheitshardware aktivieren angezeigt. Lesen Sie die Anweisungen auf dieser Seite, und gehen Sie dann zu Schritt 6 dieses Verfahrens. Falls das TPM bereits aktiviert ist, wird im TPM-Initialisierungs-Assistenten die Seite Das TPM-Kennwort erstellen angezeigt. Gehen Sie zum nächsten Schritt, um den Besitz des TPM festzulegen. Falls vom TPM-Initialisierungs-Assistenten ein BIOS erkannt wird, das den Anforderungen von Windows Vista nicht entspricht, können Sie den Assistenten nicht fortsetzen, und es wird eine Warnung angezeigt, dass Sie die Anweisungen zum Initialisieren des TPM in der Dokumentation des Computerherstellers finden.

    6. Führen Sie einen Neustart des Computers aus, und folgen Sie den BIOS-Aufforderungen auf dem Bildschirm.

    7. Nach dem Neustart des Computers und vor der Windows-Anmeldung werden Sie aufgefordert, die Neukonfiguration des TPM zu akzeptieren. Dadurch wird sichergestellt, dass der Benutzer anwesend ist und dass die Initialisierung des TPM nicht durch bösartige Software versucht wird.

      noteHinweis
      Die BIOS-Aufforderungen auf dem Bildschirm und der genaue Wortlaut können je nach Computerhersteller variieren.

    8. Klicken Sie nach der Anmeldung an Windows mit der rechten Maustaste im Infobereich auf das Symbol Windows Defender, zeigen Sie auf Geblocktes Programm ausführen, und klicken Sie dann auf TPM-Initialisierungs-Assistent.

    9. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

  4. Legen Sie den Besitz des TPM fest:

    noteHinweis
    Für das TPM muss ein Besitzer festgelegt sein, bevor es zum Sichern des Computers verwendet werden kann. Indem Sie den Besitz für das TPM festlegen, weisen Sie ein Kennwort zu, mit dem sichergestellt wird, dass nur der autorisierte TPM-Besitzer auf das TPM zugreifen und dieses verwalten kann. Mit dem TPM-Kennwort wird zudem das TPM deaktiviert, wenn Sie es nicht mehr verwenden möchten, oder das TPM wird gelöscht, falls der Computer wieder verwendet werden soll. Das folgende Verfahren enthält die Schritte, die zum Festlegen des TPM-Besitzes mithilfe des TPM-Initialisierungs-Assistenten ausgeführt werden müssen.

    1. Klicken Sie auf der Seite Das TPM-Kennwort erstellen auf Das Kennwort automatisch erstellen (empfohlen).

    2. Klicken Sie im Dialogfeld Sichern Sie das TPM-Besitzerkennwort auf Kennwort speichern.

    3. Wählen Sie im Dialogfeld Speichern unter einen Speicherort für das Kennwort aus, und klicken Sie dann auf Speichern. Die Kennwortdatei wird unter <Computername>.tpm gespeichert.

      ImportantWichtig
      Es wird dringend empfohlen, dass TPM-Besitzerkennwort auf einem Wechselmedium zu speichern.

    4. Klicken Sie auf Kennwort drucken, wenn Sie das Kennwort ausdrucken möchten.

      ImportantWichtig
      Es wird dringend empfohlen, dass TPM-Besitzerkennwort auszudrucken und an einem sicheren Ort aufzubewahren.

    5. Klicken Sie auf Initialisieren. Der Prozess der Initialisierung des TPM kann einige Minute dauern.

    6. Klicken Sie auf Schließen.

      CautionVorsicht
      Verlieren Sie das Kennwort nicht. Andernfalls können Sie keine Änderungen am TPM vornehmen, für die das Besitzerkennwort erforderlich ist. Oder Sie müssen das TPM löschen.

  5. Aktivieren Sie BitLocker:

    1. Klicken Sie im Startmenü auf Systemsteuerung.

    2. Klicken Sie in der Systemsteuerung auf Sicherheit, und klicken Sie dann auf BitLocker-Laufwerkverschlüsselung.

    3. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

    4. Klicken Sie im BitLocker-Element der Systemsteuerung auf BitLocker aktivieren.

  6. Passen Sie das Skript in Anhang B: Zurücksetzen von Wiederherstellungskennwörtern an, und führen Sie es aus, um das Wiederherstellungskennwort zurückzusetzen.

  7. Kopieren des Wiederherstellungskennworts:

    1. Klicken Sie im Startmenü auf Systemsteuerung.

    2. Klicken Sie in der Systemsteuerung auf Sicherheit, und klicken Sie dann auf BitLocker-Laufwerkverschlüsselung.

    3. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

    4. Klicken Sie im BitLocker-Element der Systemsteuerung auf BitLocker-Schlüssel verwalten.

    5. Klicken Sie im Dialogfeld BitLocker-Laufwerkverschlüsselung auf Wiederherstellungskennwort kopieren.

Ungültiger Systemstatus

Sie müssen mehrere Schritte ausführen, um sicherzustellen, dass BitLocker nicht bei jedem Start des Computers eine Wiederherstellung initiiert.

So verhindern Sie die Wiederherstellung aufgrund eines ungültigen Systemstatus

  1. Überprüfen Sie die Fehlermeldung in der Wiederherstellungskonsole, und folgen Sie, falls möglich, den dort aufgeführten Schritten.

  2. Passen Sie das Skript in Anhang B: Zurücksetzen von Wiederherstellungskennwörtern an, und führen Sie es aus, um das Wiederherstellungskennwort zurückzusetzen.

  3. Kopieren des Wiederherstellungskennworts:

    1. Klicken Sie im Startmenü auf Systemsteuerung.

    2. Klicken Sie in der Systemsteuerung auf Sicherheit, und klicken Sie dann auf BitLocker-Laufwerkverschlüsselung.

    3. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

    4. Klicken Sie im BitLocker-Element der Systemsteuerung auf BitLocker-Schlüssel verwalten.

    5. Klicken Sie im Dialogfeld BitLocker-Laufwerkverschlüsselung auf Wiederherstellungskennwort kopieren.

Verwenden von zusätzlichen Wiederherstellungsinformationen

Neben dem 48-stelligen BitLocker-Wiederherstellungskennwort werden auch andere Arten von Wiederherstellungsinformationen in Active Directory gespeichert. In diesem Abschnitt wird beschrieben, wie diese zusätzlichen Informationen verwendet werden können.

BitLocker-Schlüsselpaket

Falls das Volume durch die zuvor in diesem Dokument beschriebenen Wiederherstellungsmethoden nicht entsperrt wird, können Sie das Volume auf Blockebene mithilfe des BitLocker-Reparaturtools entschlüsseln. Das BitLocker-Schlüsselpaket wird vom Tool zum Wiederherstellen der verschlüsselten Daten von stark beschädigten Laufwerken verwendet. Mithilfe dieser wiederhergestellten Daten können Sie dann die verschlüsselten Daten retten, auch wenn das beschädigte Volume nicht mit dem richtigen Kennwort entsperrt werden konnte. Es wird empfohlen, dass Sie das Wiederherstellungskennwort trotzdem speichern. Ein Schlüsselpaket kann ohne das entsprechende Wiederherstellungskennwort nicht verwendet werden.

Sie müssen das BitLocker-Reparaturtool verwenden, um das BitLocker-Schlüsselpaket verwenden zu können. Weitere Informationen zur Anforderung und Verwendung des BitLocker-Reparaturtools finden Sie im Artikel 928201 der Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=91736, möglicherweise in englischer Sprache).

Das BitLocker-Schlüsselpaket wird an demselben AD DS-Speicherort gespeichert wie das Wiederherstellungskennwort. Sie können das Schlüsselpaket auch von einem funktionsfähigen Volume exportieren. Weitere Informationen zum Exportieren von Schlüsselpaketen finden Sie in Anhang C: Abrufen des BitLocker-Schlüsselpakets.

TPM-Informationen

Sie können das TPM-Besitzerkennwort in AD DS speichern. Anders als bei den BitLocker-Wiederherstellungskennwörtern kann jedoch nur ein Teil der TPM-Informationen pro Computer gespeichert werden. Diese gespeicherten TPM-Informationen werden auch als TPM-Besitzerautorisierung bezeichnet, da sie Administratoren das Ausführen von Vorgängen erlauben, für die die Genehmigung des TPM-Besitzers erforderlich ist. Ein Administrator kann z. B. mithilfe der TPM-Besitzerautorisierung das TPM aus einer Gruppe von außer Betrieb gesetzten Computern in einem Remotenetzwerk löschen. Diese Art von Vorgang ist ohne die gespeicherten TPM-Informationen nicht möglich.

Weitere Informationen zu TPM-Verwaltungsszenarien finden Sie in der schrittweisen Anleitung zur Windows Trusted Platform Module-Verwaltung (http://go.microsoft.com/fwlink/?LinkId=82830, möglicherweise in englischer Sprache).

Weitere Informationen zum Schreiben von Skripts, die mit dem TPM verwendet werden können, einschließlich einer Liste der unterstützten Methoden, für die die TPM-Besitzerautorisierung erforderlich ist, finden Sie in der Dokumentation des TPM WMI-Anbieters (http://go.microsoft.com/fwlink/?LinkId=91734, möglicherweise in englischer Sprache).

Weitere Informationen zum Speichern der TPM-Informationen finden Sie in Anhang D: Speichern der TPM-Informationen

Anhang A: Delegieren von Berechtigungen

In Organisationen, die Gruppenrichtlinie zum Festlegen der Zugriffssteuerung verwenden, können Berechtigungen an Benutzer delegiert werden, die keine Domänenadministratoren sind, z. B. Mitglieder des Helpdeskpersonals.

Domänenadministratoren können die Berechtigung zum Lesen von BitLocker-Wiederherstellungskennwörtern oder zum Lesen von gespeicherten TPM-Besitzerinformationen an Benutzer delegieren, die in der Regel nicht über dieses Recht verfügen.

In diesem Abschnitt wird das Delegieren von Berechtigungen in 3 Schritten erläutert:

  1. Erstellen einer neuen Benutzergruppe

  2. Hinzufügen von Mitgliedern zur Gruppe (z. B. Mitglieder des Helpdeskpersonals)

  3. Zuweisen der Berechtigungen zum Steuern des Zugriffs und Lesen von Eigenschaften zur Gruppe

Informationen zum Erstellen einer neuen Benutzergruppe und zum Hinzufügen von Mitgliedern zur Gruppe finden Sie auf der Website zum Verwalten von Gruppen (http://go.microsoft.com/fwlink/?LinkId=91737).

Wenn Sie z. B. den folgenden Befehl an einer Eingabeaufforderung mit erhöhten Rechten eingeben, wird eine globale Sicherheitsgruppe mit dem Namen BitLocker Recoverers in der Domäne test.contoso.com erstellt.

dsadd group "cn=BitLocker Recoverers,cn=Users,dc=test,dc=contoso,dc=com" -desc "Users with access to BitLocker recovery passwords stored in Computer objects." -secgrp yes -scope g

Sie können als Domänenadministrator ein Skript ausführen, um die Berechtigungen zum Steuern des Zugriffs und Lesen von Eigenschaften einer Gruppe zuzuweisen. Weitere Informationen zur Verwendung von Skripts zum Verwalten der Active Directory-Sicherheit finden Sie auf der Website zum Verwenden von Skripts zum Verwalten der Active Directory-Sicherheit (http://go.microsoft.com/fwlink/?LinkId=79652, möglicherweise in englischer Sprache).

Mit dem folgenden Beispielskript kann eine Benutzergruppe BitLocker Recoverers die BitLocker-Wiederherstellungskennwörter der aktuellen Domäne lesen.

So führen Sie das folgende Beispielskript aus

  1. Speichern Sie jedes Beispielskript in einer VBScript-Datei. Ein Beispiel: DelegateBitLocker.vbs.

  2. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten:

    1. Klicken Sie auf die Schaltfläche Start, geben Sie cmd ein, klicken Sie mit der rechten Maustaste auf cmd.exe, und klicken Sie dann auf Als Administrator ausführen.

    2. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

  3. Geben Sie an der Eingabeaufforderung einen Befehl wie den Folgenden ein:

    cscript DelegateBitLocker.vbs

Ändern Sie die erste Zeile des folgenden Beispielskripts, falls Sie eine Benutzergruppe mit einem anderen Namen erstellt haben oder falls Sie auf Benutzergruppen in anderen Domänen verweisen müssen. Ändern Sie z. B. "BitLocker Recoverers" zu "DOMAIN\Help Desk Staff".

'To refer to other groups, change the group name (ex: change to "DOMAIN\Help Desk Staff")
strGroupName = "BitLocker Recoverers"  

' -------------------------------------------------------------------------------- 
' Access Control Entry (ACE) constants  
' --------------------------------------------------------------------------------

'- From the ADS_ACETYPE_ENUM enumeration 
Const ADS_ACETYPE_ACCESS_ALLOWED_OBJECT      = &H5   'Allows an object to do something

'- From the ADS_ACEFLAG_ENUM enumeration 
Const ADS_ACEFLAG_INHERIT_ACE                = &H2  'ACE applies to target and inherited child objects 
Const ADS_ACEFLAG_INHERIT_ONLY_ACE           = &H8  'ACE does NOT apply to target (parent) object

'- From the ADS_RIGHTS_ENUM enumeration 
Const ADS_RIGHT_DS_CONTROL_ACCESS      = &H100 'The right to view confidential attributes 
Const ADS_RIGHT_DS_READ_PROP                 = &H10  ' The right to read attribute values

'- From the ADS_FLAGTYPE_ENUM enumeration 
Const ADS_FLAG_OBJECT_TYPE_PRESENT           = &H1   'Target object type is present in the ACE 
Const ADS_FLAG_INHERITED_OBJECT_TYPE_PRESENT = &H2   'Target inherited object type is present in the ACE 

' -------------------------------------------------------------------------------- 
' BitLocker schema object GUID's  
' --------------------------------------------------------------------------------

'- ms-FVE-RecoveryInformation object: 
'  includes the BitLocker recovery password and key package attributes 
SCHEMA_GUID_MS_FVE_RECOVERYINFORMATION = "{EA715D30-8F53-40D0-BD1E-6109186D782C}"

'- ms-FVE-RecoveryPassword attribute: 48-digit numerical password 
SCHEMA_GUID_MS_FVE_RECOVERYPASSWORD = "{43061AC1-C8AD-4CCC-B785-2BFAC20FC60A}"

'- ms-FVE-KeyPackage attribute: binary package for repairing damages 
SCHEMA_GUID_MS_FVE_KEYPACKAGE = "{1FD55EA8-88A7-47DC-8129-0DAA97186A54}"

'- Computer object 
SCHEMA_GUID_COMPUTER = "{BF967A86-0DE6-11D0-A285-00AA003049E2}"

'Reference: "Platform SDK: Active Directory Schema"

' -------------------------------------------------------------------------------- 
' Set up the ACE to allow reading of all BitLocker recovery information properties 
' --------------------------------------------------------------------------------

Set objAce1 = createObject("AccessControlEntry")

objAce1.AceFlags = ADS_ACEFLAG_INHERIT_ACE + ADS_ACEFLAG_INHERIT_ONLY_ACE 
objAce1.AceType = ADS_ACETYPE_ACCESS_ALLOWED_OBJECT 
objAce1.Flags = ADS_FLAG_INHERITED_OBJECT_TYPE_PRESENT

objAce1.Trustee = strGroupName 
objAce1.AccessMask = ADS_RIGHT_DS_CONTROL_ACCESS + ADS_RIGHT_DS_READ_PROP 
objAce1.InheritedObjectType = SCHEMA_GUID_MS_FVE_RECOVERYINFORMATION

' Note: ObjectType is left blank above to allow reading of all properties

' -------------------------------------------------------------------------------- 
' Connect to Discretional ACL (DACL) for domain object 
' --------------------------------------------------------------------------------

Set objRootLDAP = GetObject("LDAP://rootDSE") 
strPathToDomain = "LDAP://" & objRootLDAP.Get("defaultNamingContext") ' e.g. string dc=fabrikam,dc=com

Set objDomain = GetObject(strPathToDomain)

WScript.Echo "Accessing object: " + objDomain.Get("distinguishedName")

Set objDescriptor = objDomain.Get("ntSecurityDescriptor") 
Set objDacl = objDescriptor.DiscretionaryAcl
 
' -------------------------------------------------------------------------------- 
' Add the ACEs to the Discretionary ACL (DACL) and set the DACL 
' --------------------------------------------------------------------------------

objDacl.AddAce objAce1

objDescriptor.DiscretionaryAcl = objDacl 
objDomain.Put "ntSecurityDescriptor", Array(objDescriptor) 
objDomain.SetInfo

WScript.Echo "SUCCESS!"

Wenn Sie die Rechte zum Lesen von BitLocker- und TPM-Wiederherstellungsinformationen trennen möchten, können Sie eine andere Benutzergruppe erstellen, die auf TPM-Besitzerinformationen zugreifen kann. Beachten Sie, dass das Helpdeskpersonal, das Zugriff auf BitLocker-Wiederherstellungskennwörter benötigt, in der Regel keinen Zugriff auf TPM-Besitzerinformationen benötigt.

Mit dem folgenden Beispielskript kann eine Benutzergruppe TPM Owners die TPM-Besitzerinformationen der aktuellen Domäne lesen:

'To refer to other groups, change the group name (ex: change to "DOMAIN\TPM Owners") 
strGroupName = "TPM Owners"

' -------------------------------------------------------------------------------- 
' Access Control Entry (ACE) constants 
' --------------------------------------------------------------------------------

'- From the ADS_ACETYPE_ENUM enumeration 
Const ADS_ACETYPE_ACCESS_ALLOWED_OBJECT      = &H5   'Allows an object to do something

'- From the ADS_ACEFLAG_ENUM enumeration 
Const ADS_ACEFLAG_INHERIT_ACE                = &H2  'ACE applies to target and inherited child objects 
Const ADS_ACEFLAG_INHERIT_ONLY_ACE           = &H8  'ACE does NOT apply to target (parent) object

'- From the ADS_RIGHTS_ENUM enumeration 
Const ADS_RIGHT_DS_CONTROL_ACCESS      = &H100 'The right to view confidential attributes 
Const ADS_RIGHT_DS_READ_PROP                 = &H10  ' The right to read attribute values

'- From the ADS_FLAGTYPE_ENUM enumeration 
Const ADS_FLAG_OBJECT_TYPE_PRESENT           = &H1   'Target object type is present in the ACE 
Const ADS_FLAG_INHERITED_OBJECT_TYPE_PRESENT = &H2   'Target inherited object type is present in the ACE 

' -------------------------------------------------------------------------------- 
' TPM and FVE schema object GUID's 
' --------------------------------------------------------------------------------

'- ms-TPM-OwnerInformation attribute: SHA-1 hash of the TPM owner password 
SCHEMA_GUID_MS_TPM_OWNERINFORMATION = "{AA4E1A6D-550D-4E05-8C35-4AFCB917A9FE}"

'- Computer object 
SCHEMA_GUID_COMPUTER = "{BF967A86-0DE6-11D0-A285-00AA003049E2}"

'Reference: "Platform SDK: Active Directory Schema"


' -------------------------------------------------------------------------------- 
' Set up the ACE to allow reading of TPM owner information 
' --------------------------------------------------------------------------------

Set objAce1 = createObject("AccessControlEntry")

objAce1.AceFlags = ADS_ACEFLAG_INHERIT_ACE + ADS_ACEFLAG_INHERIT_ONLY_ACE 
objAce1.AceType = ADS_ACETYPE_ACCESS_ALLOWED_OBJECT 
objAce1.Flags = ADS_FLAG_OBJECT_TYPE_PRESENT + ADS_FLAG_INHERITED_OBJECT_TYPE_PRESENT

objAce1.Trustee = strGroupName 
objAce1.AccessMask = ADS_RIGHT_DS_CONTROL_ACCESS + ADS_RIGHT_DS_READ_PROP 
objAce1.ObjectType = SCHEMA_GUID_MS_TPM_OWNERINFORMATION 
objAce1.InheritedObjectType = SCHEMA_GUID_COMPUTER


' -------------------------------------------------------------------------------- 
' Connect to Discretional ACL (DACL) for domain object 
' --------------------------------------------------------------------------------

Set objRootLDAP = GetObject("LDAP://rootDSE") 
strPathToDomain = "LDAP://" & objRootLDAP.Get("defaultNamingContext") ' e.g. string dc=fabrikam,dc=com

Set objDomain = GetObject(strPathToDomain)

WScript.Echo "Accessing object: " + objDomain.Get("distinguishedName")

Set objDescriptor = objDomain.Get("ntSecurityDescriptor") 
Set objDacl = objDescriptor.DiscretionaryAcl

 
' -------------------------------------------------------------------------------- 
' Add the ACEs to the Discretionary ACL (DACL) and set the DACL 
' --------------------------------------------------------------------------------

objDacl.AddAce objAce1

objDescriptor.DiscretionaryAcl = objDacl 
objDomain.Put "ntSecurityDescriptor", Array(objDescriptor) 
objDomain.SetInfo

WScript.Echo "SUCCESS!"

Anhang B: Zurücksetzen von Wiederherstellungskennwörtern

Sie sollten ein Wiederherstellungskennwort als ungültig festlegen, nachdem es bereitgestellt und verwendet wurde. Das Zurücksetzen des Wiederherstellungskennworts erfolgt beim Auflösen der Wiederherstellungsursache.

Zum Zurücksetzen des Wiederherstellungskennworts stehen 2 Möglichkeiten zur Verfügung:

  • Deaktivieren von BitLocker (Entschlüsseln) und anschließendes Aktivieren (erneutes Verschlüsseln) von BitLocker auf einem Volume. Alte Wiederherstellungskennwörter werden nach Abschluss der Entschlüsselung entfernt. Vom BitLocker-Setupprozess wird ein neues Wiederherstellungskennwort erstellt, und der Benutzer wird aufgefordert, dieses Kennwort zu speichern.

  • Ausführen eines Skripts. Wenn Sie ein Kennwort zurücksetzen möchten, ohne das Volume zu entschlüsseln, können Sie ein Skript ausführen. Im folgenden Beispielskript wird diese Funktionalität veranschaulicht. Vom Beispielskript wird ein neues Wiederherstellungskennwort erstellt, und alle anderen Kennwörter werden als ungültig festgelegt.

So führen Sie das Beispielskript für das Wiederherstellungskennwort aus

  1. Speichern Sie das folgende Beispielskript in einer VBScript-Datei. Ein Beispiel: ResetPassword.vbs.

  2. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten:

    1. Klicken Sie auf die Schaltfläche Start, geben Sie cmd ein, klicken Sie mit der rechten Maustaste auf cmd.exe, und klicken Sie dann auf Als Administrator ausführen.

    2. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

  3. Geben Sie an der Eingabeaufforderung einen Befehl wie den Folgenden ein:

    cscript ResetPassword.vbs

ImportantWichtig
Dieses Beispielskript ist so konfiguriert, dass es nur für das Volume C verwendet werden kann. Sie müssen das Skript anpassen und auf das Volume festlegen, auf dem Sie das Zurücksetzen von Kennwörtern testen möchten.

noteHinweis
Wenn Sie einen Remotecomputer verwalten möchten, können Sie den Namen des Remotecomputers an Stelle des lokalen Computernamens angeben.

Mit dem folgenden Beispielskript können Sie eine VBScript-Datei zum Zurücksetzen der Wiederherstellungskennwörter erstellen.

' Target drive letter 
strDriveLetter = "c:"

' Target computer name 
' Use "." to connect to the local computer 
strComputerName = "." 


' -------------------------------------------------------------------------------- 
' Connect to the BitLocker WMI provider class 
' --------------------------------------------------------------------------------

strConnectionStr = "winmgmts:" _ 
                 & "{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _ 
                 & strComputerName _ 
                 & "\root\cimv2\Security\MicrosoftVolumeEncryption"
                 
                 
On Error Resume Next 'handle permission errors

Set objWMIService = GetObject(strConnectionStr)


If Err.Number <> 0 Then 
     WScript.Echo "Failed to connect to the BitLocker interface (Error 0x" & Hex(Err.Number) & ")." 
     Wscript.Echo "Ensure that you are running with administrative privileges." 
     WScript.Quit -1 
End If

On Error GoTo 0

strQuery = "Select * from Win32_EncryptableVolume where DriveLetter='" & strDriveLetter & "'" 
Set colTargetVolumes = objWMIService.ExecQuery(strQuery)


If colTargetVolumes.Count = 0 Then 
    WScript.Echo "FAILURE: Unable to find BitLocker-capable drive " &  strDriveLetter & " on computer " & strComputerName & "." 
    WScript.Quit -1 
End If


' there should only be one volume found 
For Each objFoundVolume in colTargetVolumes 
    set objVolume = objFoundVolume 
Next


' objVolume is now our found BitLocker-capable disk volume


' -------------------------------------------------------------------------------- 
' Perform BitLocker WMI provider functionality 
' --------------------------------------------------------------------------------


' Add a new recovery password, keeping the ID around so it doesn't get deleted later 
' ----------------------------------------------------------------------------------

nRC = objVolume.ProtectKeyWithNumericalPassword("Recovery Password Refreshed By Script", , sNewKeyProtectorID)

If nRC <> 0 Then 
WScript.Echo "FAILURE: ProtectKeyWithNumericalPassword failed with return code 0x" & Hex(nRC) 
WScript.Quit -1 
End If

' Removes the other, "stale", recovery passwords 
' ----------------------------------------------------------------------------------

nKeyProtectorTypeIn = 3 ' type associated with "Numerical Password" protector

nRC = objVolume.GetKeyProtectors(nKeyProtectorTypeIn, aKeyProtectorIDs)

If nRC <> 0 Then 
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC) 
WScript.Quit -1 
End If

' Delete those key protectors other than the one we just added. 

For Each sKeyProtectorID In aKeyProtectorIDs

If sKeyProtectorID <> sNewKeyProtectorID Then 
nRC = objVolume.DeleteKeyProtector(sKeyProtectorID)

If nRC <> 0 Then 
WScript.Echo "FAILURE: DeleteKeyProtector on ID " & sKeyProtectorID & " failed with return code 0x" & Hex(nRC) 
WScript.Quit -1 
Else 
' no output 
'WScript.Echo "SUCCESS: Key protector with ID " & sKeyProtectorID & " deleted" 
End If 
End If

Next

WScript.Echo "A new recovery password has been added. Old passwords have been removed."

' - some advanced output (hidden) 
'WScript.Echo "" 
'WScript.Echo "Type ""manage-bde -protectors -get " & strDriveLetter & " -type recoverypassword"" to view existing passwords."

Anhang C: Abrufen des BitLocker-Schlüsselpakets

Zum Abrufen des Schlüsselpakets stehen wie unter Verwenden von zusätzlichen Wiederherstellungsinformationen beschrieben 2 Methoden zur Verfügung:

  • Exportieren eines zuvor gespeicherten Schlüsselpakets aus AD DS. Sie müssen Lesezugriff auf BitLocker-Wiederherstellungskennwörter besitzen, die in AD DS gespeichert sind.

  • Exportieren eines neuen Schlüsselpakets aus einem entsperrten, mit BitLocker verschlüsselten Volume. Sie müssen lokalen Administratorzugriff auf das entsprechende Volume besitzen, bevor ein Schaden aufgetreten ist.

Mit dem folgenden Beispielskript werden alle zuvor gespeicherten Schlüsselpakete aus AD DS exportiert.

So führen Sie das Beispielskript zum Abrufen des Schlüsselpakets aus

  1. Speichern Sie das folgende Beispielskript in einer VBScript-Datei. Ein Beispiel: GetBitLockerKeyPackageADDS.vbs.

  2. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten:

    1. Klicken Sie auf die Schaltfläche Start, geben Sie cmd ein, klicken Sie mit der rechten Maustaste auf cmd.exe, und klicken Sie dann auf Als Administrator ausführen.

    2. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

  3. Geben Sie an der Eingabeaufforderung einen Befehl wie den Folgenden ein:

    cscript GetBitLockerKeyPackageADDS.vbs -?

Mit dem folgenden Beispielskript können Sie eine VBScript-Datei zum Abrufen des BitLocker-Schlüsselpakets aus AD DS erstellen.

' -------------------------------------------------------------------------------- 
' Usage 
' --------------------------------------------------------------------------------

Sub ShowUsage 
   Wscript.Echo "USAGE: GetBitLockerKeyPackageAD [Path To Saved Key Package] [Optional Computer Name]" 
   Wscript.Echo "If no computer name is specified, the local computer is assumed." 
   Wscript.Echo 
   Wscript.Echo "Example: GetBitLockerKeyPackageAD E:\bitlocker-ad-key-package mycomputer" 
   WScript.Quit 
End Sub

' -------------------------------------------------------------------------------- 
' Parse Arguments 
' --------------------------------------------------------------------------------

Set args = WScript.Arguments

Select Case args.Count 
  Case 1 
    If args(0) = "/?" Or args(0) = "-?" Then 
    ShowUsage 
    Else 
      strFilePath = args(0) 
      ' Get the name of the local computer 
      Set objNetwork = CreateObject("WScript.Network") 
      strComputerName = objNetwork.ComputerName 
    End If    
      
  Case 2 
    If args(0) = "/?" Or args(0) = "-?" Then 
      ShowUsage 
    Else 
      strFilePath = args(0) 
      strComputerName = args(1) 
    End If 
  Case Else 
    ShowUsage

End Select



' -------------------------------------------------------------------------------- 
' Get path to Active Directory computer object associated with the computer name 
' --------------------------------------------------------------------------------

Function GetStrPathToComputer(strComputerName) 

    ' Uses the global catalog to find the computer in the forest 
    ' Search also includes deleted computers in the tombstone

    Set objRootLDAP = GetObject("LDAP://rootDSE") 
    namingContext = objRootLDAP.Get("defaultNamingContext") ' e.g. string dc=fabrikam,dc=com    

    strBase = "<GC://" & namingContext & ">"
 
    Set objConnection = CreateObject("ADODB.Connection") 
    Set objCommand = CreateObject("ADODB.Command") 
    objConnection.Provider = "ADsDSOOBject" 
    objConnection.Open "Active Directory Provider" 
    Set objCommand.ActiveConnection = objConnection 

    strFilter = "(&(objectCategory=Computer)(cn=" &  strComputerName & "))" 
    strQuery = strBase & ";" & strFilter  & ";distinguishedName;subtree" 

    objCommand.CommandText = strQuery 
    objCommand.Properties("Page Size") = 100 
    objCommand.Properties("Timeout") = 100 
    objCommand.Properties("Cache Results") = False 

    ' Enumerate all objects found. 

    Set objRecordSet = objCommand.Execute 
    If objRecordSet.EOF Then 
      WScript.echo "The computer name '" &  strComputerName & "' cannot be found." 
      WScript.Quit 1 
    End If

    ' Found object matching name

    Do Until objRecordSet.EOF 
      dnFound = objRecordSet.Fields("distinguishedName") 
      GetStrPathToComputer = "LDAP://" & dnFound 
      objRecordSet.MoveNext 
    Loop 


    ' Clean up. 
    Set objConnection = Nothing 
    Set objCommand = Nothing 
    Set objRecordSet = Nothing 

End Function


' -------------------------------------------------------------------------------- 
' Securely access the Active Directory computer object using Kerberos 
' --------------------------------------------------------------------------------


Set objDSO = GetObject("LDAP:") 
strPathToComputer = GetStrPathToComputer(strComputerName)

WScript.Echo "Accessing object: " + strPathToComputer

Const ADS_SECURE_AUTHENTICATION = 1 
Const ADS_USE_SEALING = 64 '0x40 
Const ADS_USE_SIGNING = 128 '0x80


' -------------------------------------------------------------------------------- 
' Get all BitLocker recovery information from the Active Directory computer object 
' --------------------------------------------------------------------------------

' Get all the recovery information child objects of the computer object

Set objFveInfos = objDSO.OpenDSObject(strPathToComputer, vbNullString, vbNullString, _ 
                                   ADS_SECURE_AUTHENTICATION + ADS_USE_SEALING + ADS_USE_SIGNING)

objFveInfos.Filter = Array("msFVE-RecoveryInformation")

' Iterate through each recovery information object and saves any existing key packages

nCount = 1 
strFilePathCurrent = strFilePath & nCount

For Each objFveInfo in objFveInfos

   strName = objFveInfo.Get("name")

   strRecoveryPassword = objFveInfo.Get("msFVE-RecoveryPassword") 
   strKeyPackage = objFveInfo.Get("msFVE-KeyPackage")

   WScript.echo 
   WScript.echo "Recovery Object Name: " + strName 
   WScript.echo "Recovery Password: " + strRecoveryPassword

   ' Validate file path 
   Set fso = CreateObject("Scripting.FileSystemObject")

   If (fso.FileExists(strFilePathCurrent)) Then 
 WScript.Echo "The file " & strFilePathCurrent & " already exists. Please use a different path." 
 WScript.Quit -1 
   End If

   ' Save binary data to the file 
   SaveBinaryDataText strFilePathCurrent, strKeyPackage
   
   WScript.echo "Related key package successfully saved to " + strFilePathCurrent


   ' Update next file path using base name 
   nCount = nCount + 1 
   strFilePathCurrent = strFilePath & nCount

Next


'---------------------------------------------------------------------------------------- 
' Utility functions to save binary data 
'----------------------------------------------------------------------------------------

Function SaveBinaryDataText(FileName, ByteArray) 
  'Create FileSystemObject object 
  Dim FS: Set FS = CreateObject("Scripting.FileSystemObject")
  
  'Create text stream object 
  Dim TextStream 
  Set TextStream = FS.CreateTextFile(FileName)
  
  'Convert binary data To text And write them To the file 
  TextStream.Write BinaryToString(ByteArray) 
End Function

Function BinaryToString(Binary) 
  Dim I, S 
  For I = 1 To LenB(Binary) 
    S = S & Chr(AscB(MidB(Binary, I, 1))) 
  Next 
  BinaryToString = S 
End Function

WScript.Quit

Mit dem folgenden Beispielskript wird ein neues Schlüsselpaket aus einem entsperrten, verschlüsselten Volume exportiert.

Sie können das Skript ausführen, indem Sie zunächst den Code in einer VBS-Datei speichern (ein Beispiel: GetBitLockerKeyPackage.vbs). Öffnen Sie dann eine Administratoreingabeaufforderung, und verwenden Sie "cscript" zum Ausführen der gespeicherten Datei (geben Sie z. B. Folgendes ein: "cscript GetBitLockerKeyPackage.vbs  -?").



' -------------------------------------------------------------------------------- 
' Usage 
' --------------------------------------------------------------------------------

Sub ShowUsage 
   Wscript.Echo "USAGE: GetBitLockerKeyPackage [VolumeLetter/DriveLetter:] [Path To Saved Key Package]" 
   Wscript.Echo 
   Wscript.Echo "Example: GetBitLockerKeyPackage C: E:\bitlocker-backup-key-package" 
   WScript.Quit 
End Sub

' -------------------------------------------------------------------------------- 
' Parse Arguments 
' --------------------------------------------------------------------------------

Set args = WScript.Arguments

Select Case args.Count 
  Case 2 
    If args(0) = "/?" Or args(0) = "-?" Then 
      ShowUsage 
    Else 
      strDriveLetter = args(0) 
      strFilePath = args(1) 
    End If 
  Case Else 
    ShowUsage

End Select

' -------------------------------------------------------------------------------- 
' Other Inputs 
' --------------------------------------------------------------------------------

' Target computer name 
' Use "." to connect to the local computer 
strComputerName = "." 

' Default key protector ID to use. Specify "" to let the script choose.

strDefaultKeyProtectorID = ""

' strDefaultKeyProtectorID = "{001298E0-870E-4BA0-A2FF-FC74758D5720}"  ' sample 


' -------------------------------------------------------------------------------- 
' Connect to the BitLocker WMI provider class 
' --------------------------------------------------------------------------------

strConnectionStr = "winmgmts:" _ 
                 & "{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _ 
                 & strComputerName _ 
                 & "\root\cimv2\Security\MicrosoftVolumeEncryption"
                 
                 
On Error Resume Next 'handle permission errors

Set objWMIService = GetObject(strConnectionStr)


If Err.Number <> 0 Then 
     WScript.Echo "Failed to connect to the BitLocker interface (Error 0x" & Hex(Err.Number) & ")." 
     Wscript.Echo "Ensure that you are running with administrative privileges." 
     WScript.Quit -1 
End If

On Error GoTo 0

strQuery = "Select * from Win32_EncryptableVolume where DriveLetter='" & strDriveLetter & "'" 
Set colTargetVolumes = objWMIService.ExecQuery(strQuery)


If colTargetVolumes.Count = 0 Then 
    WScript.Echo "FAILURE: Unable to find BitLocker-capable drive " &  strDriveLetter & " on computer " & strComputerName & "." 
    WScript.Quit -1 
End If


' there should only be one volume found 
For Each objFoundVolume in colTargetVolumes 
    set objVolume = objFoundVolume 
Next


' objVolume is now our found BitLocker-capable disk volume


' -------------------------------------------------------------------------------- 
' Perform BitLocker WMI provider functionality 
' --------------------------------------------------------------------------------


' Collect all possible valid key protector ID's that can be used to get the package 
' ----------------------------------------------------------------------------------

nNumericalKeyProtectorType = 3 ' type associated with "Numerical Password" protector

nRC = objVolume.GetKeyProtectors(nNumericalKeyProtectorType, aNumericalKeyProtectorIDs) 
If nRC <> 0 Then 
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC) 
WScript.Quit -1 
End If

nExternalKeyProtectorType = 2 ' type associated with "External Key" protector

nRC = objVolume.GetKeyProtectors(nExternalKeyProtectorType, aExternalKeyProtectorIDs) 
If nRC <> 0 Then 
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC) 
WScript.Quit -1 
End If


' Get first key protector of the type "Numerical Password" or "External Key", if any 
' ----------------------------------------------------------------------------------

if strDefaultKeyProtectorID = "" Then

' Save first numerical password, if exists 
If UBound(aNumericalKeyProtectorIDs) <> -1 Then 
strDefaultKeyProtectorID = aNumericalKeyProtectorIDs(0) 
End If

' No numerical passwords exist, save the first external key 
If strDefaultKeyProtectorID = "" and UBound(aExternalKeyProtectorIDs) <> -1 Then 
strDefaultKeyProtectorID = aExternalKeyProtectorIDs(0) 
End If 

' Fail case: no recovery key protectors exist. 
If strDefaultKeyProtectorID = "" Then 
WScript.Echo "FAILURE: Cannot create backup key package because no recovery passwords or recovery keys exist. Check that BitLocker protection is on for this drive." 
WScript.Echo "For help adding recovery passwords or recovery keys, type ""manage-bde -protectors -add -?""." 
WScript.Quit -1 
End If

End If

' Get some information about the chosen key protector ID 
' ----------------------------------------------------------------------------------

' is the type valid?

nRC = objVolume.GetKeyProtectorType(strDefaultKeyProtectorID, nDefaultKeyProtectorType)

If Hex(nRC) = "80070057" Then 
WScript.Echo "The key protector ID " & strDefaultKeyProtectorID & " is not valid." 
WScript.Echo "This ID value may have been provided by the script writer." 
ElseIf nRC <> 0 Then 
WScript.Echo "FAILURE: GetKeyProtectorType failed with return code 0x" & Hex(nRC) 
WScript.Quit -1 
End If

' what's a string that can be used to describe it?

strDefaultKeyProtectorType = ""

Select Case nDefaultKeyProtectorType 

  Case nNumericalKeyProtectorType 
      strDefaultKeyProtectorType = "recovery password"

  Case nExternalKeyProtectorType 
      strDefaultKeyProtectorType = "recovery key"

  Case Else 
      WScript.Echo "The key protector ID " & strDefaultKeyProtectorID & " does not refer to a valid recovery password or recovery key." 
      WScript.Echo "This ID value may have been provided by the script writer."

End Select


' Save the backup key package using the chosen key protector ID 
' ----------------------------------------------------------------------------------

nRC = objVolume.GetKeyPackage(strDefaultKeyProtectorID, oKeyPackage) 
If nRC <> 0 Then 
WScript.Echo "FAILURE: GetKeyPackage failed with return code 0x" & Hex(nRC) 
WScript.Quit -1 
End If

' Validate file path 
Set fso = CreateObject("Scripting.FileSystemObject") 
If (fso.FileExists(strFilePath)) Then 
WScript.Echo "The file " & strFilePath & " already exists. Please use a different path." 
WScript.Quit -1 
End If

Dim oKeyPackageByte, bKeyPackage 
For Each oKeyPackageByte in oKeyPackage 
  'WScript.echo "key package byte: " & oKeyPackageByte 
  bKeyPackage = bKeyPackage & ChrB(oKeyPackageByte) 
Next

' Save binary data to the file 
SaveBinaryDataText strFilePath, bKeyPackage

' Display helpful information 
' ----------------------------------------------------------------------------------

WScript.Echo "The backup key package has been saved to " & strFilePath & "."

WScript.Echo "IMPORTANT: To use this key package, the " & strDefaultKeyProtectorType & " must also be saved."

' Display the recovery password or a note about saving the recovery key file

If nDefaultKeyProtectorType = nNumericalKeyProtectorType Then

nRC = objVolume.GetKeyProtectorNumericalPassword(strDefaultKeyProtectorID, sNumericalPassword) 
If nRC <> 0 Then 
WScript.Echo "FAILURE: GetKeyProtectorNumericalPassword failed with return code 0x" & Hex(nRC) 
WScript.Quit -1 
End If 
WScript.Echo "Save this recovery password: " & sNumericalPassword

ElseIf nDefaultKeyProtectorType = nExternalKeyProtectorType Then 
WScript.Echo "The saved key file is named " & strDefaultKeyProtectorID & ".BEK" 
WScript.Echo "For help re-saving this external key file, type ""manage-bde -protectors -get -?""" 
End If


'---------------------------------------------------------------------------------------- 
' Utility functions to save binary data 
'----------------------------------------------------------------------------------------

Function SaveBinaryDataText(FileName, ByteArray) 
  'Create FileSystemObject object 
  Dim FS: Set FS = CreateObject("Scripting.FileSystemObject")
  
  'Create text stream object 
  Dim TextStream 
  Set TextStream = FS.CreateTextFile(FileName)
  
  'Convert binary data To text And write them To the file 
  TextStream.Write BinaryToString(ByteArray) 
End Function

Function BinaryToString(Binary) 
  Dim I, S 
  For I = 1 To LenB(Binary) 
    S = S & Chr(AscB(MidB(Binary, I, 1))) 
  Next 
  BinaryToString = S 
End Function

Anhang D: Speichern der TPM-Informationen

Mit einem in AD DS gespeicherten TPM-Besitzerautorisierungswert wird ein bestimmter Computer mit einem TPM verbunden. Der TPM-Besitzerautorisierungswert muss bereitgestellt werden, um das in AD DS gespeicherte TPM-Besitzerkennwort zu genehmigen.

Wenn Sie den TPM-Besitzerautorisierungswert von einem bestimmten Computer verwenden möchten, müssen Sie zunächst diesen Wert aus Active Directory abrufen. Sie können TPM-Besitzerinformationen abrufen, indem Sie das ms-TPM-OwnerInformation-Attribut eines Computerobjekts in AD DS anzeigen. Sie können auch ein Skript erstellen, das auf dieses Attribut zugreift und dieses aufzeichnet.

Es folgt ein Beispiel für einen TPM-Besitzerautorisierungswert:

FNVWzNOmxCtHeLWDYeRobK85VDg=

Sie können diesen Wert direkt in einem Skript verwenden, oder Sie können diese Informationen in einer Datei speichern, die mit dem TPM-Verwaltungs-Snap-In (TPM.msc) verwendet werden kann.

Die Assistenten in der TPM-Verwaltungskonsole sind so konzipiert, dass eine TPM-Besitzerautorisierung in Form einer Sicherungsdatei mit dem TPM-Besitzerkennwort akzeptiert wird.

noteHinweis
Der TPM-Besitzerautorisierungswert kann nicht eingegeben werden. Sie können diese Informationen jedoch zum Erstellen einer TPM-Besitzerkennwortdatei verwenden.

Sie können das folgende Beispiel für eine TPM-Besitzerkennwortdatei als Vorlage zum Erstellen einer neuen Datei mit einem anderen Besitzerautorisierungswert verwenden:

So führen Sie das Beispielskript aus

  1. Speichern Sie das folgende Beispielskript in einer VBScript-Datei. Ein Beispiel: tpmOwnerData.vbs.

  2. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten:

    1. Klicken Sie auf die Schaltfläche Start, geben Sie cmd ein, klicken Sie mit der rechten Maustaste auf cmd.exe, und klicken Sie dann auf Als Administrator ausführen.

    2. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

  3. Geben Sie an einer Eingabeaufforderung mit erhöhten Rechten einen Befehl wie den Folgenden ein:

    cscript tpmOwnerData.vbs -?

<?xml version="1.0" encoding="UTF-8"?> 
<!-- 
This page is a backup of TPM (Trusted Platform Module) owner 
authorization information. Upon request, use the authorization information to 
prove ownership of the computer's TPM. 
Please keep this file in a secure location away from your computer's local hard drive. 
--> 
<tpmOwnerData version="1.0" softwareAuthor="Microsoft Windows [Version 6.0.5461]" creationDate="2006-07-09T17:41:27-08:00" creationUser="DOMAIN\employee" machineName="EMPLOYEE-PC"> 
<tpmInfo manufacturerId="1112687437"/> 
<ownerAuth>FNVWzNOmxCtHeLWDYeRobK85VDg=</ownerAuth> 
</tpmOwnerData>
noteHinweis
Diese Beispieldatei enthält den TPM-Besitzerautorisierungswert zwischen den Elementen <ownerAuth> und </ownerAuth>. Andere Werte sind nur zu Informationszwecken enthalten und werden von der TPM-Verwaltungskonsole nicht überprüft.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft