Jump to content

BitLocker auf DomainController (2016) aktivieren


Recommended Posts

Hallo,

 

ist es möglich auf einem Windows Server 2016 der ein Domain Controller / RODC ist BitLocker zu aktivieren?

 

Wir haben hier aktuell das Phänomen, dass auf DC/RODC kein BitLocker funktioniert, in der Systemsteuerung ist der Menüpunkt nicht mehr sichtbar und in der Windows Suche passiert beim Anklicken der BitLocker Verschlüsselung auch nichts mehr.

Bevor der Server hochgestuft wurde, war eine Bitlocker Verschlüsselung möglich. Zum Test hatten wir einen normalen Member Server in die Domain Controller OU verschoben, damit dieser die gleichen GPOs verarbeitet um zu prüfen ob es evtl. an einer GPO liegen könnte, das war leider nicht der Fall.

 

Selbst bei einem Server wo die Platten mit BitLocker schon verschlüsselt waren, war nach der hochstufung auf einen RODC die BitLocker Verschlüsselung wieder deaktiviert. Ist das von MS nicht gewollt, dass DC/RODC BitLocker nutzen, ich habe dazu bisher nichts gefunden?

 

Gruß


Andreas

 

Link to post

Moin,

 

eigene Erfahrung habe ich damit nicht, aber da dieses Dokument Bitlocker auf physischen DCs empfiehlt, scheint es mir zumindest keinen generellen Ausschluss zu geben. (Oder anders gesagt: ein bedauerlicher Einzelfall - oder noch anders: vermutlich lohnt es, weiter nach dem Problem auf der Maschine zu forschen.)

 

[Securing Domain Controllers Against Attack | Microsoft Docs]
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/securing-domain-controllers-against-attack 
 

Gruß, Nils

 

Link to post

Ich kann dein Problem nicht nachstellen. Es ist bei uns möglich mit Server 2019 die Domaincontroller mit Bitlocker zu verschlüsseln. Jetzt wäre zu klären, welche Richtlinien Ihr auf die Domaincontroller anwendet, die dagegensprechen könnten. 

 

Wie sieht denn eure Bitlocker Konfiguration für eure Domaincontroller aus?

Link to post
Posted (edited)

Wir haben denke ich eigentlich nicht sonderlich spezielle BitLocker Einstellungen außer das der Wiederherstellungs-Key im AD abgespeichert wird, anbei mal ein Auszug aus den GPO Einstellungen.

 

Was mich wie gesagt wundert ist, dass wenn ich einen Server habe, dieser nur normaler AD Member ist, aber sich auch in der gleichen OU wie die Domain Controller befindet und genau dieselben GPOs anwendet wie die aktuellen Domain Controller, kann ich BitLocker auf diesen Server nutzen. Stufe ich diesen Server nun hoch, ist BitLocker nicht mehr möglich.

 

P.S. Nachdem ich den Server hochgestuft hatte und gleich nach der Anmeldung in der Windows Suche BitLocker eingegeben habe, hat er mir noch die BitLocker-Laufwerkverschlüsselung angezeigt, dieser Link hat auch noch funktioniert und ich könnte da theoretisch BitLocker starten. Als angepinntes Fenster komme ich dort noch rein, aber in der Systemsteuerung ist es nicht mehr sichtbar und über die Suche wird mir nur noch BitLocker Verwalten angezeigt, was beim Anklicken nicht reagiert.

 

Gruß,

Andreas

ADS_BitLocker.PNG

Edited by Attack44
Link to post

Hallo,

 

wenn du die Bitlocker Gruppenrichtlinien, die sich wie für einen Client lesen, nicht auf die DCs anwendest und die Verschlüsselung von Hand startest. Klappt es dann?

Geht es darum einen DC gegen Diebstahl physikalisch oder virtuell zu sichern?

Link to post

Ich habe jetzt z.B. alle BitLocker GPO-Einstellungen die wir hatten auf Nicht konfiguriert zurückgesetzt, leider hat sich an dem Problem nichts geändert, normale Member können BitLocker nutzen und DC/RODC können dies nicht. Es handelt sich hierbei um physische DC mit aktiven TPM-Chip, die TPM-Verwaltung in Windows sagt mir auch, dass TPM einsatzbereit wäre.

 

Wenn ich BitLocker über die PowerShell aktivieren möchte, erscheint folgende Meldung:

Set-BitLockerVolumeInternal : Das angegebene Laufwerk unterstützt keine hardwarebasierte Verschlüsselung. (Ausnahme von HRESULT: 0x803100B2)

 

Gruß,

Andreas

Link to post

Hardwarebasierte Verschlüsselung ist ein Feature eines physikalischen Datenträgers (meist werden die mit dem Zusatz SED - Self Encyrpting Device gekennzeichnet), wenn das der Datenträger nicht unterstützt, aber bei der Bitlocker Konfiguration als Vorraussetzung angegeben wird, ist klar warum es nicht will ........ Bitlocker ist eben eine Verschlüsselung auf Softwarebasis, kann aber durchaus auch SED Hardware verwenden.

 

Grüsse

 

Gulp

Edited by Gulp
falsches Klammerende
Link to post
vor 3 Minuten schrieb Gulp:

Hardwarebasierte Verschlüsselung ist ein Feature eines physikalischen Datenträgers (meist werden die mit dem Zusatz SED - Self Encyrpting Device gekennzeichnet), wenn das der Datenträger nicht unterstützt, aber bei der Bitlocker Konfiguration als Vorraussetzung angegeben wird, ist klar warum es nicht will ........ Bitlocker ist eben eine Verschlüsselung auf Softwarebasis, kann aber durchaus auch SED Hardware verwenden.

 

Grüsse

 

Gulp


Es ist schon richtig was Du sagst, wenn ich aber den Domain Controller der die oben zitierte Meldung ausgibt wieder runterstufe funktioniert die Bitlocker-Verschlüsselung wieder (gleiche OU, GPOs und BitLocker-Einstellungen). Und das kann ich mir nicht erklären.

 

Gruß,

Andreas

Link to post

Was zunächst recht klar darauf hindeutet, dass da eine Richtlinie für DC aktiv wird, die die hardwarebasierte Verschlüsselung für Bitlocker vorraussetzt .......

 

Gleiche GPO geht ja nicht, da DC's immer per Default eine eigene GPO haben, die normale Server eben nicht haben:

Default Domain Controllers Policy

 

 

Grüsse

 

Gulp

Edited by Gulp
Ergänzung
Link to post
vor 6 Minuten schrieb Gulp:

Was zunächst recht klar darauf hindeutet, dass da eine Richtlinie für DC aktiv wird, die die hardwarebasierte Verschlüsselung für Bitlocker vorraussetzt .......

 

Gleiche GPO geht ja nicht, da DC's immer per Default eine eigene GPO haben, die normale Server eben nicht haben:

Default Domain Controllers Policy

 

 

Grüsse

 

Gulp

Richtig, ich habe besagtem Server aber auch die Default Domain Controllers Policy zugewiesen, auch wenn er kein DC ist. Er ist ja wie gesagt in der gleichen OU wie die restlichen DC und bei den GPOs existiert auch keine sonstige Filterung. Der Server Verarbeitung die gleichen GPOs wie auch die aktiven DC.

 

Gruß,

Andreas

Link to post

Ich für meinen Teil bin mit der Default Domain Controllers Policy sehr vorsichtig und ändere da nie etwas drin, ebenso wie in der Default Domain Policy (einzige Ausnahme dort wären die Kennwort Richtlinien) .....

 

Per Default gibt es dort keinerlei Bitlocker Konfiguration, das kann ich bei mir auch entsprechend an einer recht frischen DC Installation nachvollziehen und was soll ich sagen, ich für meinen Teil kann auf den DC's alles konfigurieren was ich von Bitlocker will ...... das lässt an der Stelle jetzt leider aus meiner Sicht nur recht wenig Spielraum zum Bewerten der Situation aus der Ferne und führt mich eben zu meinen Vermutungen.

 

Grüsse

 

Gulp

 

 

Link to post

In den Default GPOs haben wir auch nicht viel drin stehen/verändert. Die BitLocker Einstellungen sind eine separate GPO, ich wollte nur bestimmte Dinge ausschließen, deshalb habe ich ein normale Member Server in der Domain Controller OU um ausschließen das nicht doch eine andere GPO dazwischen schießt.

 

Wenn ich auf dem DC gleich nach der Anmeldung in der Windows Suche BitLocker eingebe, komme ich in die BitLocker-Laufwerksverschlüsselung und ich kann daraus das Laufwerk verschlüsseln und das ohne Probleme.

Nur in der Systemsteuerung ist es nicht zu finden und das ist auch genau der Server, der oben die Fehlermeldung ausgespuckt hat.

Gruß,

Andreas

Link to post

Bitlocker Feature ist aber installiert?

 

Ich kenne sowas ähnliches nur wenn man in den Windows Einstellunge sucht, und "Bitlocker verwalten" zwar vorgeschlagen, aber eben nicht ausgeführt wird und man halt das Feature nicht installiert hat. Das ist dann aber auch egal ob das ein DC oder Member Server ist, das schaut dann bei beiden gleich aus ......

 

Grüsse

 

Gulp

Edited by Gulp
Link to post
vor 7 Minuten schrieb Gulp:

Bitlocker Feature ist aber installiert?

 

Ich kenne sowas ähnliches nur wenn man in den Windows Einstellunge sucht, und "Bitlocker verwalten" zwar vorgeschlagen, aber eben nicht ausgeführt wird und man halt das Feature nicht installiert hat. Das ist dann aber auch egal ob das ein DC oder Member Server ist, das schaut dann bei beiden gleich aus ......

 

Grüsse

 

Gulp

 

Ja, dass Bitlocker Feature ist installiert und über Umwege gelange ich auch manchmal wie gesagt in die BitLocker Verwaltung und kann die Platte verschlüsseln.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...