MCSA 70-411 (Teil 4) Windows Server 2012 R2-Datei- und Speicherdienste konfigurieren

BitLocker-Zertifikate zentral verwalten

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Machen Sie sich anhand dieses Videos damit vertraut, wie Sie BitLocker-Zertifikate verwalten. Zusätzlich erfahren Sie, wie Sie diese Zertifikate sicher und wiederherstellen können.
10:37

Transkript

Die zentrale Verwaltung der BitLocker, sogenannten keyprotector ist das Thema in diesem Video. Ich bin hier auf meinem Server labmemsrv01. Es ist eine wichtige Voraussetzung, wenn Sie BitLocker einsetzen, dass Sie eine zentrale Verwaltung konfigurieren, in denen Sie dann die Möglichkeit haben in einem Notfall auf entsprechende Wiederherstellungs- agenten zugreifen zu können. Im besten Fall, verwenden Sie dazu Zertifikate. Ich habe die Gruppenrichtlinien- einstellungen geöffnet. Den Editor für lokale Gruppenrichtlinien, um Ihnen zu zeigen, wie Sie das umsetzen könnten mit Zertifikaten. Vielfach ist es aber so, dass in einer kleineren Umgebung keine internen Zertifikate schon vorhanden sind. Dann wird es bereits problematisch. Sie müssen z.B. hier in den Richtlinien, Computerkonfiguration Windowseinstellungen, Sicherheitseinstellungen, dann Richtlinie für öffentliche Schlüssel, den BitLocker, Datenwiederherstellungsagenten definieren, welcher mit einem Zertifikat hinterlegt wird. Sie haben vielleicht aber keine eben genannte Zertifikatstelle und dann wird dies bereits schwierig. Selbstverständlich, würden Sie dies auch auf einem Domänencontroller umsetzen und dann mit einer zentralen Gruppenrichtlinie, mit einer Domänengruppenrichtlinie entsprechend umsetzen. Ich möchte Ihnen einen Weg Zeigen, wie Sie auch eine gewisse Sicherheit implementieren können, damit im Notfall, wenn Sie von einem Client kontaktiert werden, dass er das Laufwerk nicht mehr entschlüsseln kann, weil er sein Passwort vergessen hat. Das Sie trotzdem eine Möglichkeit haben diesen Client support zu bieten. Dazu verwende ich auch die lokalen Gruppenrichtlinien. Sie können die selbstverständlich auch mit einer zentralen Gruppenrichtlinie umsetzen. Ich navigiere zu den administrativen Vorlagen, Windows Komponenten, wähle bitlocker-Laufwerkverschlüsselung, dann Betriebssystemlaufwerke und nun habe ich eine Möglichkeit eine Option zu setzen und die ist hier hinterlegt. Festlegen, wie BitLocker geschützte Betriebssystem- laufwerke wiederhergestellt werden können. Und hier kann ich nun nachdem ich aktiviert wähle, eine Option setzen, die da heißt Bitlocker Wiederherstellungsinformationen für Betriebssystemlaufwerke in Active Directory speichert. Genau das wollen wir umsetzen. Wir haben höchstwahrscheinlich ein Active Directory im Einsatz. Dann können wir genau dies umsetzen. Sie sehen hier wir haben mehrere Optionen. Sie sehen das Speichern von BitLocker Wiederherstellungs- Informationen, dann Benutzer konfigurieren. Wir können ein 48-stelliges Wiederherstellungskennwort zulassen oder wir können es erforderlich machen. Wir haben auch ein Wiederherstellungsschlüssel, den wir hier zulassen können, 256-bit Wiederherstellungsschlüssel oder wir können auch dies erforderlich setzen oder eben nicht zulassen, verschiedene Optionen. Ich verwende beide Methoden, ich setze aber eigentlich nur die obere Methode ein dieses 48- stellige Wiederherstellungskennwort. Wir werden dann später genau Sehen, wie das aussieht. Ich verwende nun also diese Option, übernehmen okay, und nun muss ich die entsprechende BitLocker-Konfiguration anpassen. Dazu habe ich ein paar PowerShelll commandlets vorbereitet. Zuerst einmal schauen wir uns die BitLocker volumes an. Und wir sehen ich habe das C-Laufwerk komplett verschlüsselt und das Datenlaufwerk ist Ebenfalls komplett verschlüsselt. Was aber noch fehlt, das sehen wir hier bereits, das ist ein keyprotector den wir noch hinzufügen müssen. Bevor ich diesen und umsetze, möchte ich zuerst noch diese Gruppenrichtlinien aktualisieren dazu verwende ich GpUpdate/Force, damit diese Richtlinien, diese lokalen Richtlinien auch sicher übernommen werden, wenn das ausgeführt wurde. Dann starten wir mit dem eigentlichen Commandlet AddBitLocker keyprotector für das C-Laufwerk und wir verwenden hier ein Recovery Passwort protector. Ich markiere dieses Commandlet und führe es direkt aus. Schauen wir uns gleich an wie das funktioniert hat. Dazu muss ich ein wenig nach oben gehen und Sie sehen wir haben hier eine wichtige Information. Bewahren Sie dieses numerische Wiederherstellungskennwort an einem sicheren Ort, getrennt vom Computer, auf. Das ist diese 48-stellige Wiederherstellungsschlüsselziffer. Diese habe ich definiert in den lokalen Sicherheitsrichtlinien. Sie sehen hier diese lange Zeichenkette. Nun könnte ich entweder diese Zeichenkette abspeichern und dann an einem Ort hinterlegen, welcher mir dann immer zur Verfügung steht oder aber ich möchte nun den Vorteil anwenden, das genau diese Information, dieser Schlüssel in Active Directory gespeichert wird. Dazu muss ich allerdings Ein weiteres Commandlet einsetzen. Ich verwende dazu backup BitLocker key-protector und möchte mir mit help die Hilfe und mit examples, falls vorhanden, ein Beispiel anzeigen lassen. Ich rufe dieses Commandlet auf und Sie sehen nun ich habe hier kein direktes example zur Verfügung. Das spielt keine Rolle, ich kann Ihnen trotzdem Zeigen, wie Sie das Commandlet aufbauen müssen. Wir brauchen eine ID, damit ich diese ID auslesen kann, muss ich zuerst Get BitLocker volume ausführen. Ich lenke das Resultat um und wähle dann select expand key-protector. Weil ich brauche die key- protector id, die id ist notwendig um diese Informationen in Active Directory hinterlegen zu können. Markiere also dieses Commandlet und führe es aus. Und Sie sehen nun, das ist die key-protector ID welche ich brauche, um diese Informationen in Active Directory hinterlegen zu können. Ich kann nicht das Passwort verwenden, weil das Passwort wird dann indirekt über diese ID in Active Directory hinterlegt. Das sieht nun also wie folgt aus. Ich markiere mir nun diese ID, Sie ist nun im Zwischenspeicher und Sie sehen hier habe ich das Commandlet vorbereitet, Backup BitLocker Key-protector C:. Und nun muss ich hier diese ID eingeben. Ich füge nun diese ID ein, kopiere das nochmal, hat da nicht direkt funktioniert, Kopieren, füge nun diese ID ein. So nun haben wir diese ID eingefügt. Ich markiere dieses Commandlet und führe das nun direkt aus. und Sie sehen das hat nun bestens funktioniert. Ich habe nun diesen protector hinterlegt in Active Directory. Nun habe ich die Möglichkeit in Active Directory Benutzer und Computer, diese Informationen wieder auszulesen. Dazu wechsle ich auf meinen Domänencontroller. Ich bin nun auf meinem Domänencontroller DC01 und ich möchte nun diese BitLocker Informationen abrufen, bevor ich das umsetzen kann, muss ich zuerst noch ein Feature installieren. Dieses Feature ist unter dem remote Server Administration Tools abgelegt. Ich verwende dazu verwalten, Rollen und Features hinzufügen. Es ist eine rollenbasierte, featurebasierte Installation und ich wähle den Zielserver aus. und navigiere direkt zu den Features. Dann gehe ich ein wenig weiter nach unten und wähle nun unter Remoteverwaltungstools folgende Konfiguration aus: Feature, Verwaltungstools und dann wähle ich hier die Verwaltungshilfsprogramme für BitLocker aus. Diese Tools muss ich installieren, damit Active Directory Benutzer und Computer erweitert wird. ich wähle dazu nun weiter und installieren. Die Installation hat bestens funktioniert ich kann diesen Assistenten schließen und nun starte ich Active Directory Benutzer und Computer. Ich habe nun die Möglichkeit diese BitLocker-Informationen abzurufen. Ich könnte dies umsetzen mit Rechtsklick und Sie sehen hier Kennwort für BitLocker- Wiederherstellung suchen. Nun muss ich die Kennwort ID eingeben also die ersten 8 Zeichen von diesem 48 Zeichen langen Schlüssel habe ich leider nicht, kenne ich nicht auswendig, das ist mir unbekannt. Kein Problem, es gibt eine zweite Variante. Ich verwende den Standort Container Computer, da ich weiß, dass mein Server labmemsrv01 in diesem Container abgelegt wurde. Nach einem Rechtsklick wähle ich Eigenschaften aus und nun habe ich die Möglichkeit das Register BitLocker-Wiederherstellung aufzurufen. Und nun sehen wir die Kennwort ID und was wir auch haben wir haben sas Wiederherstellungskennwort hier in Active Directory abgelegt. Vielleicht können Sie sich noch erinnern, die letzten Zeichen waren 277882. Falls der Server nicht mehr gestartet werden Kann, weil das Passwort vergessen wurde, können wir diesen Wiederherstellungs- kennwortschlüssel nun einsetzen. Sie haben also gesehen, wenn Sie ein paar PowerShell commandlets ausführen, können Sie eine erweiterte Sicherheit implementieren, indem Sie die BitLocker- Wiederherstellung in Active Directory ablegen können. In diesem Video habe ich ihnen gezeigt, wie sieht die BitLocker- Wiederherstellung in Active Directory hinterlegen können, damit in einem Notfall das Wiederherstellungskennwort aus dem Active Directory-Benutzer und Computer Tool wieder ausgelesen werden kann.

MCSA 70-411 (Teil 4) Windows Server 2012 R2-Datei- und Speicherdienste konfigurieren

Bereiten Sie sich mit diesem und fünf weiteren Trainings auf die Microsoft Zertifizierungsprüfung 70-411 vor und erlernen Sie umfassende Kenntnisse zu Windows Server 2012.

3 Std. 9 min (29 Videos)
Derzeit sind keine Feedbacks vorhanden...
Hersteller:
Exklusiv für Abo-Kunden
Erscheinungsdatum:06.05.2016

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!