BitLocker trigger Recovery - Windows clients

donderdag 16 mei 2013 09:42

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Goedemorgen Tweakers,

Binnenkort zullen we een aantal nieuwe laptops met Windws 8 Pro uitdelen aan onze vertegenwoordigers. Een deel van de beveiliging van deze laptops steunt op BitLocker. De partities op de laptops worden als volgt geconfigureerd:

C: - Deze partitie krijgt een TPM key protector en een RecoveryPassword key protector
D: - Deze partitie krijgt een RecoveryPassword key protector en wordt ingesteld op auto unlock (vandaar de ExternalKey key protectory)

In PowerShell ziet dat er als volgt uit:

PS C:\Users\Administrator> Get-BitLockerVolume

   ComputerName: COMO035

VolumeType      Mount CapacityGB VolumeStatus           Encryption KeyProtector              AutoUnlock Protection
                Point                                   Percentage                           Enabled    Status
----------      ----- ---------- ------------           ---------- ------------              ---------- ----------
OperatingSystem C:         50,00 FullyEncrypted         100        {Tpm, RecoveryPassword}              On
Data            D:         68,72 FullyEncrypted         100        {RecoveryPassword, Ext... True       On


PS C:\Users\Administrator> (Get-BitLockerVolume).KeyProtector

KeyProtectorId      : {C50DC6BC-3503-4A5B-AC86-4A7EB8EC00AB}
AutoUnlockProtector :
KeyProtectorType    : Tpm
KeyFileName         :
RecoveryPassword    :
KeyCertificateType  :
Thumbprint          :

KeyProtectorId      : {A2DB1378-A0E9-4372-BAF6-D96C74D0A77A}
AutoUnlockProtector :
KeyProtectorType    : RecoveryPassword
KeyFileName         :
RecoveryPassword    : 210430-544511-535018-062700-250756-593483-345774-219087
KeyCertificateType  :
Thumbprint          :

KeyProtectorId      : {4673AE64-F3B7-4976-92C2-D2584BD39172}
AutoUnlockProtector :
KeyProtectorType    : RecoveryPassword
KeyFileName         :
RecoveryPassword    : 601502-030690-192005-498520-321904-056639-351956-604670
KeyCertificateType  :
Thumbprint          :

KeyProtectorId      : {5F43BEB6-AE1D-406D-83CF-62A607818043}
AutoUnlockProtector : True
KeyProtectorType    : ExternalKey
KeyFileName         : 5F43BEB6-AE1D-406D-83CF-62A607818043.BEK
RecoveryPassword    :
KeyCertificateType  :
Thumbprint          :

Bij een normale boot werkt het systeem probleemloos: de TPM meldt dat alles in orde is en Windows start normaal op. Als ik de disk uit een laptop haal in een andere probeer, dan ontbreekt de code in de TPM en vraagt BitLocker een recovery wachtwoord. Ik geef dit in en Windows start mooi op waarna ik eventueel opnieuw de TPM kan instellen.

Als extra beveiliging willen we bij het triggeren van de account lockout policy een script uitvoeren dat de TPM ongeldig maakt waardoor de gebruiker enkel nog kan inloggen met het recovery password. Hiervoor gebruiken we het commando manage-bde -ForceRecovery. Volgens de output van het commando zou dit exact dat moeten doen (zie hieronder). In de praktijk vraagt BitLocker om het recovery password, maar accepteert dat niet als correct na het ingeven.

PS C:\Users\Administrator> manage-bde.exe -ForceRecovery c:
BitLocker Drive Encryption: Configuration Tool version 6.2.9200
Copyright (C) 2012 Microsoft Corporation. All rights reserved.

    TPM:
      ID: {C50DC6BC-3503-4A5B-AC86-4A7EB8EC00AB}

Key protector with ID "{C50DC6BC-3503-4A5B-AC86-4A7EB8EC00AB}" deleted.
Only a recovery password or recovery key can unlock volume C:.
PS C:\Users\Administrator> (Get-BitLockerVolume).KeyProtector


KeyProtectorId      : {A2DB1378-A0E9-4372-BAF6-D96C74D0A77A}
AutoUnlockProtector :
KeyProtectorType    : RecoveryPassword
KeyFileName         :
RecoveryPassword    : 210430-544511-535018-062700-250756-593483-345774-219087
KeyCertificateType  :
Thumbprint          :

KeyProtectorId      : {4673AE64-F3B7-4976-92C2-D2584BD39172}
AutoUnlockProtector :
KeyProtectorType    : RecoveryPassword
KeyFileName         :
RecoveryPassword    : 601502-030690-192005-498520-321904-056639-351956-604670
KeyCertificateType  :
Thumbprint          :

KeyProtectorId      : {5F43BEB6-AE1D-406D-83CF-62A607818043}
AutoUnlockProtector : True
KeyProtectorType    : ExternalKey
KeyFileName         : 5F43BEB6-AE1D-406D-83CF-62A607818043.BEK
RecoveryPassword    :
KeyCertificateType  :
Thumbprint          :

Ik heb deze opstelling eerder getest in een VM waar ik de TPM key protector vervangen had door een gewone Password key protector. Daar werkte deze methode perfect. Heeft iemand een idee over waarom BitLocker de key opeens niet aanneemt?

Reageer