Verschlüsseln von Wiederherstellungsdaten über das Netzwerk
Gilt für: Configuration Manager (Current Branch)
Wenn Sie eine BitLocker-Verwaltungsrichtlinie erstellen, stellt Configuration Manager den Wiederherstellungsdienst an einem Verwaltungspunkt bereit. Auf der Seite Clientverwaltung der BitLocker-Verwaltungsrichtlinie sichert der Client beim Konfigurieren der BitLocker-Verwaltungsdienste Schlüsselwiederherstellungsinformationen in der Standortdatenbank. Diese Informationen umfassen BitLocker-Wiederherstellungsschlüssel, Wiederherstellungspakete und TPM-Kennworthashes. Wenn Benutzer von ihrem geschützten Gerät gesperrt werden, können Sie diese Informationen verwenden, um den Zugriff auf das Gerät wiederherzustellen.
Da diese Informationen vertraulich sind, müssen Sie sie schützen.
Wichtig
Ab Version 2103 wurde die Implementierung des Wiederherstellungsdiensts geändert. Es verwendet keine Legacy-MBAM-Komponenten mehr, wird aber konzeptionell immer noch als Wiederherstellungsdienst bezeichnet. Alle Clients der Version 2103 verwenden die Nachrichtenverarbeitungs-Engine-Komponente des Verwaltungspunkts als Wiederherstellungsdienst. Sie verwalten ihre Wiederherstellungsschlüssel über den sicheren Clientbenachrichtigungskanal. Mit dieser Änderung können Sie die Configuration Manager Website für erweitertes HTTP aktivieren. Diese Konfiguration wirkt sich nicht auf die Funktionalität der BitLocker-Verwaltung in Configuration Manager aus.
Wenn sowohl der Standort als auch die Clients Configuration Manager Version 2103 oder höher ausgeführt werden, senden Clients ihre Wiederherstellungsschlüssel über den sicheren Clientbenachrichtigungskanal an den Verwaltungspunkt. Wenn Clients Version 2010 oder früher verwenden, benötigen sie einen HTTPS-fähigen Wiederherstellungsdienst auf dem Verwaltungspunkt, um ihre Schlüssel zu verwalten.
HTTPS-Zertifikatanforderungen
Hinweis
Diese Anforderungen gelten nur, wenn der Standort Version 2010 oder früher ist oder wenn Sie BitLocker-Verwaltungsrichtlinien auf Geräten mit Configuration Manager Clientversion 2010 oder früher bereitstellen.
Configuration Manager erfordert eine sichere Verbindung zwischen dem Client und dem Wiederherstellungsdienst, um die Daten während der Übertragung über das Netzwerk zu verschlüsseln. Verwenden Sie eine der folgenden Optionen:
HTTPS-Aktivierung der IIS-Website auf dem Verwaltungspunkt, der den Wiederherstellungsdienst hostet, nicht auf der gesamten Verwaltungspunktrolle.
Konfigurieren Sie den Verwaltungspunkt für HTTPS. Für die Eigenschaften des Verwaltungspunkts muss die Einstellung ClientverbindungenHTTPS sein.
Hinweis
Wenn Ihr Standort über mehrere Verwaltungspunkte verfügt, aktivieren Sie HTTPS an allen Verwaltungspunkten am Standort, mit denen ein von BitLocker verwalteter Client möglicherweise kommunizieren kann. Wenn der HTTPS-Verwaltungspunkt nicht verfügbar ist, kann der Client ein Failover auf einen HTTP-Verwaltungspunkt ausführen und dann seinen Wiederherstellungsschlüssel nicht vermerken.
Diese Empfehlung gilt für beide Optionen: Aktivieren Des Verwaltungspunkts für HTTPS oder Aktivieren der IIS-Website, die den Wiederherstellungsdienst auf dem Verwaltungspunkt hostet.
Konfigurieren des Verwaltungspunkts für HTTPS
In früheren Versionen von Configuration Manager Current Branch, um den BitLocker-Wiederherstellungsdienst zu integrieren, mussten Sie einen VERWALTUNGSpunkt HTTPS aktivieren. Die HTTPS-Verbindung ist erforderlich, um die Wiederherstellungsschlüssel im gesamten Netzwerk vom Configuration Manager-Client bis zum Verwaltungspunkt zu verschlüsseln. Das Konfigurieren des Verwaltungspunkts und aller Clients für HTTPS kann für viele Kunden eine Herausforderung darstellen.
HTTPS-Aktivierung der IIS-Website
Die HTTPS-Anforderung gilt jetzt für die IIS-Website, die den Wiederherstellungsdienst hostet, und nicht für die gesamte Verwaltungspunktrolle. Diese Konfiguration lockert die Zertifikatanforderungen und verschlüsselt weiterhin die Wiederherstellungsschlüssel während der Übertragung.
Die Eigenschaft Clientverbindungen des Verwaltungspunkts kann HTTP oder HTTPS sein. Wenn der Verwaltungspunkt für HTTP konfiguriert ist, um den BitLocker-Wiederherstellungsdienst zu unterstützen:
Abrufen eines Serverauthentifizierungszertifikats. Binden Sie das Zertifikat an die IIS-Website auf dem Verwaltungspunkt, der den BitLocker-Wiederherstellungsdienst hostet.
Konfigurieren Sie Clients so, dass sie dem Serverauthentifizierungszertifikat vertrauen. Es gibt zwei Methoden, um diese Vertrauensstellung zu erreichen:
Verwenden Sie ein Zertifikat von einem öffentlichen und global vertrauenswürdigen Zertifikatanbieter. Windows-Clients enthalten vertrauenswürdige Stammzertifizierungsstellen (CAs) von diesen Anbietern. Wenn Sie ein Serverauthentifizierungszertifikat verwenden, das von einem dieser Anbieter ausgestellt wurde, sollten Ihre Clients diesem automatisch vertrauen.
Verwenden Sie ein Zertifikat, das von einer Zertifizierungsstelle aus der Public Key-Infrastruktur (PKI) Ihrer Organisation ausgestellt wurde. Die meisten PKI-Implementierungen fügen windows-Clients die vertrauenswürdigen Stammzertifizierungsstellen hinzu. Beispiel: Verwenden von Active Directory-Zertifikatdiensten mit Gruppenrichtlinie. Wenn Sie das Serverauthentifizierungszertifikat von einer Zertifizierungsstelle ausstellen, der Ihre Clients nicht automatisch vertrauen, fügen Sie den Clients das vertrauenswürdige Stammzertifikat der Zertifizierungsstelle hinzu.
Tipp
Die einzigen Clients, die mit dem Wiederherstellungsdienst kommunizieren müssen, sind die Clients, für die Sie eine BitLocker-Verwaltungsrichtlinie verwenden möchten und die eine Clientverwaltungsregel enthalten.
Problembehandlung bei der Verbindung
Verwenden Sie auf dem Client bitLockerManagementHandler.log , um probleme mit dieser Verbindung zu beheben. Für die Konnektivität mit dem Wiederherstellungsdienst zeigt das Protokoll die URL an, die der Client verwendet. Suchen Sie einen Eintrag im Protokoll basierend auf der Version von Configuration Manager:
- In Version 2103 und höher beginnt der Eintrag mit
Recovery keys escrowed to MP
- In Version 2010 und früher beginnt der Eintrag mit
Checking for Recovery Service at
Nächste Schritte
Das Verschlüsseln von Wiederherstellungsdaten in der Datenbank ist eine optionale Voraussetzung für die erstmalige Bereitstellung der Richtlinie.