Mein Team ist im Begriff, unseren reisenden Kollegen neue Windows 8-Laptops zur Verfügung zu stellen. Ein Teil unserer Sicherheitslösung hängt von der Verwendung von BitLocker ab. Auf jedem Laptop sind zwei Partitionen wie folgt konfiguriert:

  • C: - Diese Partition erhält einen TPM-Schlüsselschutz und einen RecoveryPassword-Schlüsselschutz
  • D: - Diese Partition erhält einen RecoveryPassword-Schlüsselschutz, der so eingestellt ist, dass er automatisch entsperrt wird (daher der ExternalKey-Schlüsselschutz).

In PowerShell sieht diese Konfiguration folgendermaßen aus:

PS C:\Users\Administrator> Get-BitLockerVolume

   ComputerName: COMO035

VolumeType      Mount CapacityGB VolumeStatus           Encryption KeyProtector              AutoUnlock Protection
                Point                                   Percentage                           Enabled    Status
----------      ----- ---------- ------------           ---------- ------------              ---------- ----------
OperatingSystem C:         50,00 FullyEncrypted         100        {Tpm, RecoveryPassword}              On
Data            D:         68,72 FullyEncrypted         100        {RecoveryPassword, Ext... True       On


PS C:\Users\Administrator> (Get-BitLockerVolume).KeyProtector

KeyProtectorId      : {C50DC6BC-3503-4A5B-AC86-4A7EB8EC00AB}
AutoUnlockProtector :
KeyProtectorType    : Tpm
KeyFileName         :
RecoveryPassword    :
KeyCertificateType  :
Thumbprint          :

KeyProtectorId      : {A2DB1378-A0E9-4372-BAF6-D96C74D0A77A}
AutoUnlockProtector :
KeyProtectorType    : RecoveryPassword
KeyFileName         :
RecoveryPassword    : 210430-544511-535018-062700-250756-593483-345774-219087
KeyCertificateType  :
Thumbprint          :

KeyProtectorId      : {4673AE64-F3B7-4976-92C2-D2584BD39172}
AutoUnlockProtector :
KeyProtectorType    : RecoveryPassword
KeyFileName         :
RecoveryPassword    : 601502-030690-192005-498520-321904-056639-351956-604670
KeyCertificateType  :
Thumbprint          :

KeyProtectorId      : {5F43BEB6-AE1D-406D-83CF-62A607818043}
AutoUnlockProtector : True
KeyProtectorType    : ExternalKey
KeyFileName         : 5F43BEB6-AE1D-406D-83CF-62A607818043.BEK
RecoveryPassword    :
KeyCertificateType  :
Thumbprint          :

Während eines normalen Bootvorgangs funktioniert diese Konfiguration einwandfrei. Das TPM erkennt keine Manipulationen an der Hardware und Windows startet normal. Wenn ich die Festplatte herausnehme und versuche, sie auf einem anderen identischen Laptop (mit einem anderen TPM) zu starten, wird der BitLocker-Wiederherstellungsbildschirm angezeigt. Ich gebe das Wiederherstellungskennwort ein, nach dem Windows erneut startet. So weit, ist es gut.

Als zusätzliche Sicherheitsebene haben wir ein Skript erstellt, das von der Kontosperrungsrichtlinie ausgelöst wird. Dieses Skript sollte das TPM ungültig machen, sodass die einzige Option zum Entsperren von BitLocker das Wiederherstellungskennwort ist. Der Befehl manage-bde -ForceRecoveryverspricht, genau das zu tun. In Wirklichkeit wird der TPM-Schlüsselschutz entfernt, wie in der folgenden Ausgabe gezeigt, und die Option für das Wiederherstellungskennwort bleibt erhalten. Nach einem Neustart gebe ich das Wiederherstellungskennwort ein, aber BitLocker entscheidet, dass es nicht korrekt ist, und lehnt es ab, Windows zu starten.

PS C:\Users\Administrator> manage-bde.exe -ForceRecovery c:
BitLocker Drive Encryption: Configuration Tool version 6.2.9200
Copyright (C) 2012 Microsoft Corporation. All rights reserved.

    TPM:
      ID: {C50DC6BC-3503-4A5B-AC86-4A7EB8EC00AB}

Key protector with ID "{C50DC6BC-3503-4A5B-AC86-4A7EB8EC00AB}" deleted.
Only a recovery password or recovery key can unlock volume C:.
PS C:\Users\Administrator> (Get-BitLockerVolume).KeyProtector


KeyProtectorId      : {A2DB1378-A0E9-4372-BAF6-D96C74D0A77A}
AutoUnlockProtector :
KeyProtectorType    : RecoveryPassword
KeyFileName         :
RecoveryPassword    : 210430-544511-535018-062700-250756-593483-345774-219087
KeyCertificateType  :
Thumbprint          :

KeyProtectorId      : {4673AE64-F3B7-4976-92C2-D2584BD39172}
AutoUnlockProtector :
KeyProtectorType    : RecoveryPassword
KeyFileName         :
RecoveryPassword    : 601502-030690-192005-498520-321904-056639-351956-604670
KeyCertificateType  :
Thumbprint          :

KeyProtectorId      : {5F43BEB6-AE1D-406D-83CF-62A607818043}
AutoUnlockProtector : True
KeyProtectorType    : ExternalKey
KeyFileName         : 5F43BEB6-AE1D-406D-83CF-62A607818043.BEK
RecoveryPassword    :
KeyCertificateType  :
Thumbprint          :

In der Prototypenphase des Projekts habe ich dies mit einer VM versucht, jedoch einen regulären Passwortschutz anstelle des TPM-Schutzes verwendet. Das manuelle Entfernen aller bis auf den Kennwortwiederherstellungsschutz funktionierte einwandfrei.

Weiß jemand, warum BitLocker das Wiederherstellungskennwort ablehnt, nachdem der TPM-Schlüsselschutz entfernt wurde?

John
quelle