Bitlocker für Removable Drives + TPM + Server 2016

[AIRNESS023 0]

Hallo Leute,

 

da ich von meiner hausinternen Technik nicht gut unterstützt werde und es selbst leider nicht testen kann, hoffe ich auf Eure Unterstützung.

 

Die Anforderung ist dass USB Festplatten mit Bitlocker verschlüsselt werden sollen. Auf diesen Festplatten läuft über WindowsServer Backup ein Sicherungsjob. 

Der BitLocker Key soll im AD gespeichert werden und die Festplatte soll "automatisch" nach dem Anstecken verfügbar sein, ohne dass ein Bitlocker PW eingegeben werden muss. 

Die Server haben einen TPM 1.2 Chip installiert. 

 

Wie verhält sich hier Bitlocker wenn ein TPM Chip zu Verfügung steht? Ist es dennoch notwendig ein Passwort einzugeben oder ist der Zugriff nach dem Anstecken direkt möglich? 

Das Speichern des BitLocker Keys sollte mit GPO funktionieren (GPO BitLocker Drive Encryption / Choose how Bitlocker-protected removable drives can be recovered) - korrekt?

 

 

Danke für Eure Hilfe!!

 

[zahni 558]

Hallo,

 

Bitlocker mit TPM schützt nur das Systemlaufwerk. Die Schlüssel der anderen lokalen Laufwerke werden für die automatische Entsperrung in der Registry gespeichert, die auf dem Systemlaufwerk liegt.

Bitlocker "To go"  (für Wechselmedien) funktioniert meiner Meinung nach nur mit Password. Eventuell lässt sich der Schlüssel auch  in der  Registry speichern.

 

Will sagen: Wenn Du nur das  USB-Laufwerk sichern willst, hat das AD oder der TPM damit nichts zu schaffen. Das geht so nicht.

[AIRNESS023 0]

Servus Zahni,

 

vielen Dank für deine schnelle Rückmeldung. Ja das Ziel sind ausschließlich USB Festplatten. Daher wird so wie ich es verstehe BitLocker to GO verwendet und nicht BitLocker. 

Daher würde die Group Policy Computer Configuration / Admin Templates / Windows Components / BitlockerDrive Encryption / Removable Data Drives nicht ziehen?

Da gäbe es einige Optionen (wie auch Configure use of Passwords und Choose how BitLocker Portected removeable drives can be recovered).

Leider seh ich die Einstellungsmöglichkeiten auf Grund eines fehlenden Serverzugriffs nicht :-(

 

 

[zahni 558]

Was steht  denn in den Richtlinien? Für eine lokale  Richtlinie braucht man keinen "Server-Zugriff".

 

Lt: https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#bkmk-unlockpol7 geht Entsperrung nur über SmartCard oder Password.

 

 

 

[AIRNESS023 0]

Hi, auch die ist klarerweise gesperrt ;)
Danke für den Link - dafür war ich zu b***d es zu finden. 

 

Danke. Du hast mir sehr weitergeholfen!

 

lg

 

 

[speer 19]

Hallo,

manche Backupsoftware erlaubt die Ausführung eines Skript bevor die Sicherung läuft. Hier könnte man ggf. über Powershell oder manage-bde die USB Festplatte freischalten. Ob das Windows Backup das kann... keine Ahnung :)

Nur als Idee gedacht

 

[Nobbyaushb 1.484]

Total OT - ich würde nie auf die Idee kommen, mit USB Platten am Server zu hantieren...

 

Andererseits - besser als gar kein Backup

 

Mit dem kostenlosen Veeam kann man das Backup verschlüsseln....

 

Ich würde jetzt mal die Frage nach dem Wert der Daten ins Spiel bringen - danach richtet sich die Auswahl den Targets / Mediums....

[daabm 1.366]

vor 10 Stunden schrieb Nobbyaushb:

Andererseits - besser als gar kein Backup.

Wie wahr... Alles ist besser als nichts