Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows

Seit Windows Server 2012 ist es möglich den Bitlocker automatisch zu entsperren, wenn der Computer in einem Vertrauten Netzwerk ist. Dies hat den Vorteil, dass Computer außerhalb des Unternehmens Netzwerkes mit BitLocker und einer Pin bzw. einer erweiterten Pin geschützt sind.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 9bae6000ce56410baf9a65a4d0ea1a23 - 1

Die Voraussetzungen dafür sind:

  • Ein Windows Server 2012 / 2012R2 / 2016 mit Windows Deployment Services
  • Ein DHCP Server (Darf nicht auf dem WDS installiert sein)
  • Optional eine Active Directory integrierte Zertifizierungsstelle
  • Die zu entsperrenden Computer müssen einen UEFI Bios mit einem kompatiblen DHCP Treiber besitzen
  • Eine Windows CA um das Zertifikat auszustellen

Wie funktioniert das die Netzwerk Entsperrung mit BitLocker (Vereinfacht)

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe1 - 2
  1. Der Windows Bootmanager erkennt eine BitLocker Netzwerkentsperrungskonfiguration und aktiviert den UEFI Netzwerktreiber
  2. Der Client bezieht über UEFI Netzwerktreiber eine IPv4 Adresse
  3. Der Client sendet eine Broadcast DHCP-Anfrage mit einer Herstellerspezifischen Kennung. Diese enthält den Netzwerkschlüssel und einen Sitzungsschlüssel und wird mit dem hinterlegten Öffentlichen Schlüssel des Entsperrungszertifikat verschlüsselt.
  4. Die Netzwerkentsperrungsrolle auf dem WDS Server reagiert auf die Herstellerspezifische Anfrage.
  5. Der Netzwerkentsperrungsdienst entschlüsselt die Anfrage mit seinem privaten Schlüssel
  6. Der WDS schickt die Antwort von der Netzwerkentsperrungsrolle als Herstellerspezifische DHCP-Antwort. Diese enthält das notwendige Zwischenzertifikat, verschlüsselt mit dem Sitzungsschlüssel
  7. Der Zwischenschlüssel wird mit einem weiteren innerhalb des TPM kombiniert
  8. Dieser Kombinierte Schlüssel kann das Laufwerk entschlüsseln
  9. Windows fährt ohne Abfrage der Pin mit dem Booten fort.

Installation der Netzwerk Entsperrung

Wer einen bestehenden Windows Server 2012 / 2012R2 / 2016 mit den Bereitstellungsdiensten hat, kann diesen nutzen. Falls Sie noch keine Bereitstellungsdienste unter Windows Server 2012 / 2012R2 / 2016 installiert haben, sollten Sie dies zuerst durchführen.

Auf den laufenden WDS Server müssen Sie dann die Funktion „Bitlocker-Netzwerkentsperrung“ installieren.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe2 - 3

Ein Neustart des Servers ist nicht Notwendig.

Konfiguration der Zertifizierungsstelle

In der Active Directory Zertifikatsdienste muss noch eine entsprechende Zertifikatsvorlage angepasst werden.

Gehen Sie dazu in die Zertifizierungsstelle und verwalten Sie die Vorlage. Wählen Sie die Vorlage Benutzer aus, und Duplizieren diese. Passen Sie unter dem Reiter „Kompatibilität“ auf Windows Server 2012 bzw. Windows 8 an.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe3 - 4

Unter dem Reiter „Allgemein“ passen Sie bitte den Vorlagenanzeigenamen so an, das es offensichtlich um ein Netzwerkentsperrungszertifikat geht. Löschen Sie auch den Harken bei der Option „Zertifikate in Active Directory veröffentlichen„.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe4 - 5

Im Reiter „Anforderungsverarbeitung“ ändern Sie den Zweck auf „Verschlüsselung“ und stellen Sie sicher das der Export vom privaten Schlüssel zugelassen ist.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe5 - 6

Als nächstes muss im Reiter „Kryptografie“ ändern Sie die „Anbieterkategorie“ auf „Schlüsselspeicheranbieter“ und stellen sicher das die minimale Schlüssellänge 2048 beträgt. Bei „Für Anforderungen muss einer der folgenden Anbieter verwendet werden“ und wählen Sie da „Microsoft Software Key Storage Provider„.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe6 - 7

Im Reiter „Antragstellername“ wählen Sie die Option „Informationen werden in der Anforderung angegeben„. Bestätigen Sie die Warnung.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe7 - 8

Im Reiter „Server“ sollte der Harken „Sperrinformationen nicht in ausgestellte Zertifikate einschließen“ gesetzt werden.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe8 - 9

Im Reiter „Ausstellungsvoraussetzungen“ Müssen die Optionen „Genehmigung von Zertifikatverwaltung der Zertifizierungsstelle“ und unter „Erneute Registrierung erfordert Folgendes:“ wählen Sie die Option „Gültiges vorhandenes Zertifikat„.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe9 - 10

Im Reiter „Erweiterungen“ müssen Sie die Anwendungsrichtlinien bearbeiten.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe10 - 11

Entfernen Sie die Anwendungsrichtlinien „Clientauthentifizierung„, „Sichere E-Mail“ und „Verschlüsselndes Dateisystem„. Klicken Sie auf hinzufügen und erstellen eine neue Anwendungsrichtinie mit dem Namen „BitLocker Netzwerk Entsperrung“ und der Objektkennung „1.3.6.1.4.1.311.67.1.1„. Fügen Sie die Anwendungsrichtlinie „BitLocker Netzwerk Entsperrung“ hinzu. Und schließen den Dialog „Anwendungsrichtlinienerweiterung bearbeiten…„.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe11 - 12

Bearbeiten Sie nun die „Schlüsselverwendung“ und prüfen Sie das die Einstellung „Austausch nur mit Verschlüsselung zulassen“ und „Diese Erweiterung als kritisch markieren“ aktiviert sind.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe12 - 13

Schließen Sie den Schlüsselverwendungserweiterung Dialog.

Erteilen Sie nun im Reiter „Sicherheit“ der Gruppe „Domänen-Admins“ die Berechtigung „Registrieren“ und stellen Sie sicher das keine Benutzer diese Zertifikat Registrieren können.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe13 - 14

Schließen Sie die neue Vorlage und die Vorlagenverwaltung.

Zurück in der Zertifizierungsstelle erstellen Sie bitte eine neue „Auszustellende Zertifikatsvorlage„.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe14 - 15

Hier wählen Sie bitte die neu angelegte „Netzwerk-Entsperrung“ Zertifikatsvorlage aus.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe15 - 16

Anforderung des Entsperrungszertifikat für den WDS

Öffnen Sie auf dem Bereitstellungsserver die Zertifikate Verwaltung „certmgr.msc“ für den Lokalen Benutzer. Der Lokale Benutzer ist notwendig da das BitLocker Zertifikat ein abgewandeltes Benutzer Zertifikat ist.

Unter den „Eigenen Zertifikaten“ machen Sie bitte einen rechten Mausklick und wählen „Alle Aufgaben“ > „Neues Zertifikat anfordern„. Wählen Sie dann die „Vom Administrator konfiguriert“ Zertifikatregistrierungsrichtlinie aus.

Wählen Sie hier das „Netzwerk-Entsperrung“ Zertifikat aus.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe16 - 17

Geben Sie bei den Zusätzlichen Informationen einen Sinnvollen „Allgemeiner Name“ ein.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe17 - 18

Klicken Sie nach dem Schließen des Dialoges auf „Registrieren„.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe18 - 19

Als nächsten Schritt genehmigen Sie die Zertifikatsanforderung in der Zertifizierungsstelle.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe19 - 20

Als nächstes Exportieren Sie das Zertifikat aus der CA.

Installation des Entsperrungszertifikat für den WDS

Importieren Sie das Exportierte Zertifikat in die Zertifikat Verwaltung des Benutzers. Und Exportieren Sie das Zertifikat anschließend mit dem Privaten Schlüssel.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe20 - 21

Importieren Sie nun das Zertifikat auf dem WDS, öffnen Sie dazu eine Eingabeaufforderung mit Administrativen Rechten und führen den folgenden Befehl aus:

certutil -f -addstore FVENKP BitLocker-NetworkUnlock.cer

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe21 - 22

Anschließend ist das Zertifikat unter „Netzwerkentsperrung der BitLocker-Laufwerksverschlüsselung“ hinzugefügt, allerdings ohne den privaten Schlüssel.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe22 - 23

Um den noch hinzuzufügen importieren Sie die erstellte PFX-Datei direkt unter „Netzwerkentsperrung der BitLocker-Laufwerksverschlüsselung„. Dadurch wird der Schlüssel dem Zertifikat hinzugefügt.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe23 - 24

Konfiguration des DHCP Servers

Auf dem DHCP Server muss ggf. die Option 060 PXEClient mit dem Zeichenwert „PXEClient“ gesetzt werden.

Einrichten der Gruppenrichtlinien

Erstellen Sie eine neue Gruppenrichtlinie für BitLocker.

Fügen Sie das exportierte Zertifikat ohne den privaten Schlüssel (CER-Datei) unter „Computer“ > „Richtlinien“ > „Windows-Einstellungen“ > „Sicherheitseinstellungen“ > „Richtlinien für öffentliche Schlüssel“ > „Zertifikat zur Netzwerkentsperrung für BitLocker-Laufwerksverschlüsselung“ hinzu.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe24 - 25

Zusätzlich müssen Sie unter „Computer“ > „Richtlinien“ > „Administrative Vorlagen“ > „Windows-Komponenten“ > „BitLocker-Laufwerksverschlüsslung“ > „Betriebssystemlaufwerke“ die Einstellung „Netzwerkentsperrung beim Start zulassen“ auf Aktiviert setzen.

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows - 013018 1119 BitlockerNe25 - 26

Damit der BitLocker Schutz auch außerhalb des Netzwerkes eine Effektive Hürde darstellt, aktivieren Sie auch die Einstellung „Zusätzliche Authentifizierung beim Start anfordern„.

Konfiguration des BitLocker System

Damit das Ganze Funktioniert, muss der Client schon BitLocker installiert haben und mit einer Pin oder Erweiterten Pin Konfiguriert sein. Eine Anleitung dafür finden sie im Artikel „BitLocker mit Windows 10 und Power Shell


Weitere Artikel zum Thema Active Directory Certificate Services