Eine Windows-Partition mit Microsoft Bitlocker zu verschlüsseln ist eigentlich recht einfach. Wenn es aber spezielle Anforderungen gibt, kann es schnell knifflig werden. Hier ein besonderes Beispiel aus unserem Alltag.
Die Aufgabe: Ein Sonderfall für besonders sensible Informationen
Uns erreichte vor ein paar Monaten eine Anfrage, auf einem Windows-10-Computer eine weitere Partition zu verschlüsseln. Die dort enthaltenen Informationen sollte ausschließlich für einen berechtigten Anwender und bewusst nicht für den Administrator zugänglich sein.
Ein mit Bitlocker auf Basis TPM verschlüsselter Rechner war leider nicht ausreichend. Trotzdem sollten nur Bordmittel genutzt werden.
Unser Lösungsansatz: “Bitlocker KeyProtectors”
Bitlocker bringt von Haus aus verschiedene Optionen mit, den privaten Schlüssel zu verwalten und mit verschiedenen “KeyProtectors” zu schützen. Hier mussten wir ansetzen, da ja Drittanbieter-Produkte von unserem Kunden nicht gewünscht waren.
Wir wählten deshalb diesen Weg: Microsoft bietet verschiedene KeyProtectors unter Bitlocker an. Da sie unabhängig vom Computer und damit auch unabhängig vom Administrator sind, waren folgende beiden KeyProtectors interessant für unseren Einsatz:
-
- “Startup key” auf Basis eines USB-Sticks
- “Password”
Option 1 bietet den Vorteil einer Mehrfaktor-Authentifizierung. Das Passwort bewegt sich – wie schon der vorhandene Windows-Login – im Bereich “Wissen” und ist damit kein weiterer Faktor.
Die technische Umsetzung
-
- Wir konfigurierten die Execution Policy zum Ausführen des Skriptes. Dabei nutzten wir bewusst eine Einstellung für den angemeldeten Anwender, um weitere Auswirkungen auf die lokale Maschine zu vermeiden.
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
- Danach gingen wir davon aus, dass die zu schützende Partition “F:” angelegt war. Zum Beispiel als eigene Partition, als physisches Laufwerk oder als eingebundene, virtuelle Festplatte (VHD). Desweiteren war der USB-Stick “E:” vorhanden, der später der Träger unseres privaten Schlüssels wurde.Die Verschlüsselung des Laufwerks mittels Key, der auf dem USB-Stick gespeichert ist, setzen wir so um:
Enable-BitLocker -StartupKeyProtector -MountPoint F: -StartupKeyPath E:
- Um unser Setup zu testen, sperrten wir den Zugriff auf das Laufwerk mit folgendem Befehl:
Lock-Bitlocker -MountPoint F:
- Der finale Test: Das Laufwerk mit Hilfe des Sticks entsperren.
Unlock-BitLocker -MountPoint F: -RecoveryKeyPath E:
- Wir konfigurierten die Execution Policy zum Ausführen des Skriptes. Dabei nutzten wir bewusst eine Einstellung für den angemeldeten Anwender, um weitere Auswirkungen auf die lokale Maschine zu vermeiden.
Bekanntes Optimierungspotential
Das oben beschriebene Vorgehen hat für unseren Kunden funktioniert. Optimal ist das nicht, es gibt selbstverständlich Verbesserungsmöglichkeiten. Zum Beispiel ein sinnvolles Recovery-Konzept oder Autounlock-Optionen, wenn der USB-Stick beim Windows-Login des Anwenders bereits vorhanden ist.
Referenzen und weitere Informationen
Die Scripting-Optionen von Microsoft Bitlocker sind aus unserer Sicht sehr gut in den folgenden beiden Blog-Beiträgen von “Dr. Scripto” beschrieben:
Benötigen Sie Unterstützung?
Das Team der FB Pro GmbH besteht aus IT-Security-Spezialisten. Wir sorgen mit unserem Fachwissen und unseren Lösungen für sichere Systeme in Ihrem Unternehmen. Verschlüsselung von Daten, Härtung von Systemen, Audits im Rahmen der DS-GVO: Dies und mehr bieten wir Ihnen gerne an.
Bild: Pixabay