Mein Team ist im Begriff, unseren reisenden Kollegen neue Windows 8-Laptops zur Verfügung zu stellen. Ein Teil unserer Sicherheitslösung hängt von der Verwendung von BitLocker ab. Auf jedem Laptop sind zwei Partitionen wie folgt konfiguriert:
- C: - Diese Partition erhält einen TPM-Schlüsselschutz und einen RecoveryPassword-Schlüsselschutz
- D: - Diese Partition erhält einen RecoveryPassword-Schlüsselschutz, der so eingestellt ist, dass er automatisch entsperrt wird (daher der ExternalKey-Schlüsselschutz).
In PowerShell sieht diese Konfiguration folgendermaßen aus:
PS C:\Users\Administrator> Get-BitLockerVolume
ComputerName: COMO035
VolumeType Mount CapacityGB VolumeStatus Encryption KeyProtector AutoUnlock Protection
Point Percentage Enabled Status
---------- ----- ---------- ------------ ---------- ------------ ---------- ----------
OperatingSystem C: 50,00 FullyEncrypted 100 {Tpm, RecoveryPassword} On
Data D: 68,72 FullyEncrypted 100 {RecoveryPassword, Ext... True On
PS C:\Users\Administrator> (Get-BitLockerVolume).KeyProtector
KeyProtectorId : {C50DC6BC-3503-4A5B-AC86-4A7EB8EC00AB}
AutoUnlockProtector :
KeyProtectorType : Tpm
KeyFileName :
RecoveryPassword :
KeyCertificateType :
Thumbprint :
KeyProtectorId : {A2DB1378-A0E9-4372-BAF6-D96C74D0A77A}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 210430-544511-535018-062700-250756-593483-345774-219087
KeyCertificateType :
Thumbprint :
KeyProtectorId : {4673AE64-F3B7-4976-92C2-D2584BD39172}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 601502-030690-192005-498520-321904-056639-351956-604670
KeyCertificateType :
Thumbprint :
KeyProtectorId : {5F43BEB6-AE1D-406D-83CF-62A607818043}
AutoUnlockProtector : True
KeyProtectorType : ExternalKey
KeyFileName : 5F43BEB6-AE1D-406D-83CF-62A607818043.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :
Während eines normalen Bootvorgangs funktioniert diese Konfiguration einwandfrei. Das TPM erkennt keine Manipulationen an der Hardware und Windows startet normal. Wenn ich die Festplatte herausnehme und versuche, sie auf einem anderen identischen Laptop (mit einem anderen TPM) zu starten, wird der BitLocker-Wiederherstellungsbildschirm angezeigt. Ich gebe das Wiederherstellungskennwort ein, nach dem Windows erneut startet. So weit, ist es gut.
Als zusätzliche Sicherheitsebene haben wir ein Skript erstellt, das von der Kontosperrungsrichtlinie ausgelöst wird. Dieses Skript sollte das TPM ungültig machen, sodass die einzige Option zum Entsperren von BitLocker das Wiederherstellungskennwort ist. Der Befehl manage-bde -ForceRecoveryverspricht, genau das zu tun. In Wirklichkeit wird der TPM-Schlüsselschutz entfernt, wie in der folgenden Ausgabe gezeigt, und die Option für das Wiederherstellungskennwort bleibt erhalten. Nach einem Neustart gebe ich das Wiederherstellungskennwort ein, aber BitLocker entscheidet, dass es nicht korrekt ist, und lehnt es ab, Windows zu starten.
PS C:\Users\Administrator> manage-bde.exe -ForceRecovery c:
BitLocker Drive Encryption: Configuration Tool version 6.2.9200
Copyright (C) 2012 Microsoft Corporation. All rights reserved.
TPM:
ID: {C50DC6BC-3503-4A5B-AC86-4A7EB8EC00AB}
Key protector with ID "{C50DC6BC-3503-4A5B-AC86-4A7EB8EC00AB}" deleted.
Only a recovery password or recovery key can unlock volume C:.
PS C:\Users\Administrator> (Get-BitLockerVolume).KeyProtector
KeyProtectorId : {A2DB1378-A0E9-4372-BAF6-D96C74D0A77A}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 210430-544511-535018-062700-250756-593483-345774-219087
KeyCertificateType :
Thumbprint :
KeyProtectorId : {4673AE64-F3B7-4976-92C2-D2584BD39172}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 601502-030690-192005-498520-321904-056639-351956-604670
KeyCertificateType :
Thumbprint :
KeyProtectorId : {5F43BEB6-AE1D-406D-83CF-62A607818043}
AutoUnlockProtector : True
KeyProtectorType : ExternalKey
KeyFileName : 5F43BEB6-AE1D-406D-83CF-62A607818043.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :
In der Prototypenphase des Projekts habe ich dies mit einer VM versucht, jedoch einen regulären Passwortschutz anstelle des TPM-Schutzes verwendet. Das manuelle Entfernen aller bis auf den Kennwortwiederherstellungsschutz funktionierte einwandfrei.
Weiß jemand, warum BitLocker das Wiederherstellungskennwort ablehnt, nachdem der TPM-Schlüsselschutz entfernt wurde?