BitLocker-Wiederherstellungsleitfaden

In diesem Thema für IT-Experten wird beschrieben, wie BitLocker-Schlüssel aus AD DS wiederhergestellt werden.

Organisationen können BitLocker-Wiederherstellungsinformationen, die in Active Directory-Domänendienste (AD DS) gespeichert sind, verwenden, um auf BitLocker-geschützte Daten zuzugreifen. Es wird empfohlen, dass Sie bei der Planung Ihrer BitLocker-Bereitstellung ein Wiederherstellungsmodell für BitLocker erstellen.

In diesem Artikel wird davon ausgegangen, dass Sie wissen, wie AD DS eingerichtet wird, dass BitLocker-Wiederherstellungsinformationen automatisch gesichert werden, und welche Arten von Wiederherstellungsinformationen in AD DS gespeichert werden.

In diesem Artikel wird nicht beschreiben, wie AD DS so konfiguriert wird, dass BitLocker-Wiederherstellungsinformationen gespeichert werden.

Dieser Artikel enthält folgende Themen:

• Was ist die BitLocker-Wiederherstellung?

• Testen der Wiederherstellung

• Planen des Wiederherstellungsprozesses

• Verwenden zusätzlicher Wiederherstellungsinformationen

• Zurücksetzen von Wiederherstellungskennwörtern

• Abrufen des BitLocker-Schlüsselpakets

Was ist die BitLocker-Wiederherstellung?

Bei der BitLocker-Wiederherstellung handelt es sich um den Prozess, mit dem Sie den Zugriff auf ein BitLocker-geschütztes Laufwerk wiederherstellen können, falls Sie das Laufwerk nicht normal entsperren können. In einem Wiederherstellungsszenario haben Sie die folgenden Optionen, um den Zugriff auf das Laufwerk wiederherzustellen:

• Der Benutzer kann das Wiederherstellungskennwort eingeben. Wenn Benutzer in Ihrer Organisation Wiederherstellungskennwörter drucken oder speichern können, kann der Benutzer das Wiederherstellungskennwort mit 48 Zeichen eingeben, das er auf einem USB-Laufwerk gedruckt oder gespeichert hat, oder online über Ihr Microsoft-Konto. (Das Speichern eines Wiederherstellungskennworts bei Ihrem Microsoft-Konto online, ist nur zulässig, wenn BitLocker auf einem Computer verwendet wird, der kein Mitglied einer Domäne ist).

• Ein Datenwiederherstellungs-Agent kann die Anmeldeinformationen zum Entsperren des Laufwerks verwenden. Wenn das Laufwerk ein Betriebssystemlaufwerk ist, muss das Laufwerk als Datenlaufwerk auf einem anderen Computer bereitgestellt werden, damit der Datenwiederherstellungs-Agent es entsperren kann.

• Ein Domänenadministrator kann das Wiederherstellungskennwort aus AD DS abrufen und es zum Entsperren des Laufwerks verwenden. Das Speichern von Wiederherstellungskennwörtern in AD DS wird empfohlen, um IT-Experten eine Möglichkeit zum Abrufen von Wiederherstellungskennwörtern für Laufwerke in ihrer Organisation zu geben, falls erforderlich. Für diese Methode müssen Sie diese Wiederherstellungsmethode in der BitLocker-Gruppenrichtlinieneinstellung Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke im Editor für lokale Gruppenrichtlinien aktiviert haben. Weitere Informationen finden Sie unter BitLocker-Gruppenrichtlinieneinstellungen.

Was löst die BitLocker-Wiederherstellung aus?

Die folgende Liste enthält Beispiele für bestimmte Ereignisse, die dazu führen, dass BitLocker in den Wiederherstellungsmodus übergeht, wenn versucht wird, das Betriebssystemlaufwerk zu starten:

• Auf Computern, die BitLocker oder die Geräteverschlüsselung verwenden, wenn ein Angriff erkannt wird, wird das Gerät sofort neu gestartet, und BitLocker geht in den Wiederherstellungsmodus über. Um diese Funktion zu nutzen, können Administratoren die Gruppenrichtlinieneinstellung Interaktive Anmeldung: Schwellenwert für Computerkontosperrung unter \Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options Editor für lokale Gruppenrichtlinien festlegen oder die MaxFailedPasswordAttempts-Richtlinie von Exchange ActiveSync verwenden (auch über Windows Intune konfigurierbar), um die Anzahl fehlgeschlagener Kennwortversuche, bevor das Gerät in die Gerätesperrung übergeht, einzuschränken.

• Ändern der Startreihenfolge, um ein anderes Laufwerk vor der Festplatte zu starten.

• Platzieren des CD- oder DVD-Laufwerks vor der Festplatte in der BIOS-Startreihenfolge und anschließendes Einlegen oder Entfernen einer CD oder DVD.

• Fehler beim Starten von einem Netzlaufwerk vor dem Starten von der Festplatte aus.

• Andocken oder Abdocken eines tragbaren Computers. In einigen Fällen (je nach Computerhersteller und BIOS) ist die Andockbedingung des tragbaren Computers Teil der Systemmessung und muss konsistent sein, damit der Systemstatus überprüft und BitLocker entsperrt werden kann. Dies bedeutet, dass wenn ein tragbarer Computer mit der Dockingstation verbunden wird, wenn BitLocker aktiviert wird, der Computer auch an die Dockingstation angeschlossen sein muss, wenn er entsperrt wird. Im Gegenzug muss, wenn ein tragbarer Computer nicht mit der Dockingstation verbunden ist, wenn BitLocker aktiviert wird, dieser möglicherweise von der Dockingstation getrennt werden, wenn er entsperrt wird.

• Änderungen an der NTFS-Partitionstabelle auf dem Datenträger, einschließlich des Erstellens, Löschens oder Ändern der Größe einer primären Partition.

• Zu häufiges falsches Eingeben der persönlichen Identifikationsnummer (PIN), sodass die TPM-Anti-Hammering-Logik aktiviert wird. Bei der Anti-Hammering-Logik handelt es sich um Software- oder Hardwaremethoden, mit denen die Probleme und Kosten eines Brute-Force-Angriffs auf eine PIN erhöht werden, indem erst nach Ablauf eines bestimmten Zeitraums PIN-Eingaben akzeptiert werden.

• Deaktivieren der Unterstützung für das Lesen des USB-Geräts in der Umgebung vor dem Start aus dem BIOS oder der UEFI-Firmware, wenn Sie USB-basierte Schlüssel anstelle eines TPM verwenden.

• Ausschalten, Deaktivieren oder Löschen des TPM.

• Aktualisieren wichtiger Frühstartkomponenten, z. B. ein BIOS- oder UEFI-Firmwareupdate BIOS- und UEFI, wodurch verursacht wird, dass sich die zugehörigen Startmessungen ändern.

• Vergessen der PIN, wenn die PIN-Authentifizierung aktiviert wurde.

• Aktualisieren der Options-ROM-Firmware.

• Aktualisieren der TPM-Firmware.

• Hinzufügen oder Entfernen von Hardware, z. B. Einsetzen einer neuen Karte in den Computer, einschließlich einiger PCMIA-Drahtloskarten.

• Entfernen, Einsetzen oder vollständiges Entfernen des Ladekabels eines Smartakkus bei einem tragbaren Computer.

• Änderungen am Master Boot Record auf dem Datenträger.

• Änderungen am Start-Manager auf dem Datenträger.

• Ausblenden des TPM im Betriebssystem. Einige BIOS- oder UEFI-Einstellungen können verwendet werden, um die Aufzählung des TPM im Betriebssystem zu verhindern. Wenn diese Option implementiert ist, kann damit das TPM im Betriebssystem ausgeblendet werden. Wenn das TPM ausgeblendet ist, ist der sichere Start für BIOS und UEFI deaktiviert werden, und das TPM reagiert nicht auf Befehle von Software.

• Verwenden einer anderer Tastatur, mit der die PIN nicht korrekt eingeben wird, oder deren Tastaturbelegung nicht der von der Umgebung vor dem Start angenommenen Tastaturbelegung entspricht. Auf diese Weise kann die Eingabe von erweiterten PINs verhindert werden.

• Ändern der Plattformkonfigurationsregister (PCRs), die vom TPM-Überprüfungsprofil verwendet werden. Beispiel: Das Einschließen von PCR[1] würde dazu führen, dass BitLocker die meisten Änderungen an BIOS-Einstellungen misst, sodass BitLocker in den Wiederherstellungsmodus eintritt, auch wenn sich BIOS-Einstellungen ändern, die nicht entscheidend für den Start sind.

  Hinweis  

  Einige Computer verfügen über BIOS-Einstellungen, die Messungen von bestimmten PCRs überspringen, z. B. PCR[2]. Durch Ändern dieser Einstellung im BIOS würde BitLocker in den Wiederherstellungsmodus eintreten, da die PCR-Messung PCR abweicht.

   

• Verschieben des BitLocker-geschützten Laufwerks in einen neuen Computer

• Ersetzen der Hauptplatine auf ein neue mit einem neuen TPM.

• Verlieren des USB-Speichersticks, das den Systemstartschlüssel enthält, wenn die Authentifizierung mit einem Schlüssel für Systemstart aktiviert wurde.

• Fehler beim TPM-Selbsttest.

• Ein BIOS, eine UEFI-Firmware oder eine Options-ROM-Komponente, die nicht mit den entsprechenden Trusted Computing Group Standards für Clientcomputer kompatibel sind. Eine nicht kompatible Implementierung zeichnet möglicherweise temporäre Daten (z. B. Zeit) in den TPM-Messungen auf, sodass unterschiedliche Messungen bei jedem Start entstehen und BitLocker in den Wiederherstellungsmodus eintritt.

• Ändern der Verwendungsautorisierung für den Speicherstammschlüssel des TPM auf einen Wert ungleich NULL.

  Hinweis  

  Der BitLocker-TPM-Initialisierungsprozess legt den Wert der Verwendungsautorisierung auf NULL fest, sodass ein anderer Benutzer oder Prozess diesen Wert explizit geändert haben muss.

   

• Deaktivieren der Codeintegritätsüberprüfung oder Aktivieren Testsignierung im Windows-Start-Manager (Bootmgr).

• Drücken der Taste F8 oder F10 während des Startvorgangs.

• Hinzufügen oder Entfernen von Add-In-Karten (z. B. Grafik- oder Netzwerkkarten) oder Aktualisieren der Firmware auf Add-In-Karten.

• Verwenden einer BIOS-Abkürzungstaste während des Startvorgangs, um die Startreihenfolge auf eine andere Option als die Festplatte zu ändern.

Hinweis  

Bevor Sie mit der Wiederherstellung beginnen, wird empfohlen, dass Sie ermitteln, wo die Ursache für die Wiederherstellung liegt. Auf diese Weise können Sie vermeiden, dass das Problem in Zukunft erneut auftritt. Wenn Sie beispielsweise feststellen, dass ein Angreifer den Computer geändert hat, weil er physischen Zugriff darauf erlangt hat, können Sie neue Sicherheitsrichtlinien erstellen, um nachzuverfolgen, wer physisch anwesend ist. Nachdem das Wiederherstellungskennwort verwendet wurde, um Zugriff auf den Computer wiederherzustellen, versiegelt BitLocker den Verschlüsselungsschlüssel erneut auf die aktuellen Wert der gemessenen Komponenten.

 

Bei geplanten Szenarien, z. B. bekannten Hardware- oder Firmwareupdates, können Sie vermeiden, dass die Wiederherstellung initialisiert wird, indem Sie den BitLocker-Schutz vorübergehend anhalten. Da beim Anhalten von BitLocker das Laufwerk vollständig verschlüsselt bleibt, kann der Administrator den BitLocker-Schutz schnell fortsetzen, nachdem die geplante Aufgabe abgeschlossen wurde. Durch Anhalten und Fortsetzen wird auch der Verschlüsselungsschlüssel erneut versiegelt, ohne dass der Wiederherstellungsschlüssel eingegeben werden muss.

Hinweis  

Wenn BitLocker angehalten wurde, wird der Schutz automatisch fortgesetzt, wenn der Computer neu gestartet wird, es sei denn, es wird mithilfe des manage-bde-Befehlszeilentools eine Anzahl der Neustart angegeben.

Wenn die Softwarewartung erfordert, dass der Computer neu gestartet wird, und Sie eine zweistufige Authentifizierung verwenden, können Sie die BitLocker-Netzwerkentsperrung aktivieren, um den sekundären Authentifizierungsfaktor bereitzustellen, wenn die Computer nicht über einen lokalen Benutzer verfügen, der die zusätzliche Authentifizierungsmethode bereitstellt.

 

Die Wiederherstellung wurde im Kontext von ungeplantem oder unerwünschtem Verhalten beschrieben, Sie können die Wiederherstellung jedoch auch als beabsichtigtes Produktionsszenario veranlassen, um die Zugriffskontrolle zu verwalten. Wenn Sie in Ihrem Unternehmen beispielsweise Desktop- oder Laptopcomputer für andere Abteilungen oder Mitarbeiter bereitstellen möchten, können Sie erzwingen, dass BitLocker in die Wiederherstellung eintritt, bevor der Computer an einen neuen Benutzer übergeben wird.

Testen der Wiederherstellung

Bevor Sie einen gründlichen BitLocker-Wiederherstellungsprozess erstellen, wird empfohlen, dass Sie testen, wie der Wiederherstellungsprozess sowohl für Endbenutzer (Personen rufen das Helpdesk an, um das Wiederherstellungskennwort zu erhalten) als auch für Administratoren (Personen, die dem Endbenutzer helfen, das Wiederherstellungskennwort zu erhalten) funktioniert. Der Befehl –forcerecovery von manage-bde ist eine einfache Möglichkeit, den Wiederherstellungsvorgang zu durchlaufen, bevor bei Benutzern eine Wiederherstellungssituation auftritt.

So erzwingen Sie eine Wiederherstellung für den lokalen Computer

1. Klicken Sie auf die Schaltfläche Start, geben Sie cmd im Feld Suche starten ein, klicken Sie mit der rechten Maustaste auf cmd.exe, und klicken Sie dann auf Als Administrator ausführen.

2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

   manage-bde -forcerecovery <Volume>

So erzwingen Sie die Wiederherstellung eines Remotecomputers

1. Geben Sie auf der Startseite cmd.exe ein, und klicken Sie dann auf Als Administrator ausführen.

2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

   manage-bde. -ComputerName <ComputerName>-forcerecovery <Volume>

Hinweis  

<ComputerName> stellt den Namen des Remotecomputers dar. <Volume> stellt das Volume auf dem Remotecomputer dar, das mit BitLocker geschützt ist.

 

Planen des Wiederherstellungsprozesses

Bei der Planung des BitLocker-Wiederherstellungsvorgangs schlagen Sie zunächst in den aktuellen empfohlenen Methoden zur Wiederherstellung von vertraulichen Informationen in Ihrer Organisation nach. Beispiel: Wie wird in Ihrem Unternehmen bei verlorenen Windows-Kennwörtern vorgegangen? Wie werden in Ihrer Organisation PIN-Zurücksetzungen für Smartcards durchgeführt? Sie können diese bewährten Methoden und zugehörigen Ressourcen (Personen und Tools) verwenden, um ein BitLocker-Wiederherstellungsmodell zu formulieren.

Organisationen, die die BitLocker-Laufwerkverschlüsselung und BitLocker To Go zum Schutz von Daten auf einer großen Anzahl von Computern und Wechseldatenträgern verwenden, auf denen die Betriebssysteme Windows 10, Windows 8 oder Windows 7 und Windows to Go ausgeführt werden, sollten das Tool „Microsoft BitLocker Administration and Monitoring (MBAM)“, Version 2.0, verwenden, das im Microsoft Desktop Optimization Pack (MDOP) für Microsoft Software Assurance enthalten ist. Mit MBAM können BitLocker-Implementierungen leichter bereitgestellt und verwaltet werden, und Administratoren können damit die Verschlüsselung für Betriebssysteme und Festplattenlaufwerke bereitstellen und überwachen. Vor dem Verschlüsseln von lokalen Festplattenlaufwerken wird der Benutzer in MBAM aufgefordert. MBAM verwaltet auch Wiederherstellungsschlüssel für Festplattenlaufwerke und Wechseldatenträger, wodurch die Wiederherstellung einfacher zu verwalten ist. MBAM kann als Teil einer Microsoft System Center-Bereitstellung oder als eigenständige Lösung verwendet werden. Weitere Informationen finden Sie unter Microsoft BitLocker Administration and Monitoring.

Nachdem eine BitLocker-Wiederherstellung initiiert wurde, können Benutzer ein Wiederherstellungskennwort verwenden, um den Zugriff auf verschlüsselte Daten zu entsperren. Sie müssen für Ihre Organisation sowohl Methoden für eine selbständige Wiederherstellung als auch Methoden zum Abrufen des Wiederherstellungskennworts berücksichtigen.

Beim Ermitteln des Wiederherstellungsprozesses sollten Sie:

• Sich damit vertraut machen, wie Sie das Wiederherstellungskennwort abrufen können. Weitere Informationen:

  • Selbständige Wiederherstellung

  • Abrufen des Wiederherstellungskennworts

• Bestimmen Sie eine Reihe von Schritten für nach der Wiederherstellung, einschließlich einer Analyse, warum die Wiederherstellung auftrat, und des Zurücksetzens des Wiederherstellungskennworts. Weitere Informationen:

  • Analyse nach der Wiederherstellung

Selbständige Wiederherstellung

In einigen Fällen haben Benutzer das Wiederherstellungskennwort möglicherweise ausgedruckt oder es befindet sich auf einem USB-Speicherstick, sodass sie die Wiederherstellung selbständig durchführen können. Wir empfehlen, dass Sie in Ihrer Organisation eine Richtlinie für die selbständige Wiederherstellung erstellen. Wenn die selbständige Wiederherstellung die Verwendung eines Kennworts oder eines auf einem USB-Speicherstick gespeicherten Wiederherstellungsschlüssels umfasst, sollten die Benutzer gewarnt werden, den USB-Speicherstick nicht an demselben aufzubewahren, an dem sich auch der Computer befindet, besonders wenn sie auf Reisen sind. Wenn sich zum Beispiel der Computer und die wiederherstellbaren Elemente in derselben Tasche befinden, kann ein nicht autorisierter Benutzer sehr leicht Zugriff auf den Computer erlangen. Eine weitere zu berücksichtigende Richtlinie besteht darin, dass Benutzer sich vor oder nach einer selbständigen Wiederherstellung an das Helpdesk wenden, damit die Ursache identifiziert werden kann.

Abrufen des Wiederherstellungskennworts

Wenn der Benutzer das Wiederherstellungskennwort nicht in einem Ausdruck oder auf einem USB-Speicherstick hat, muss er in der Lage sein, das Wiederherstellungskennwort von einer Onlinequelle abzurufen. Wenn der Computer Mitglied einer Domäne ist, kann das Wiederherstellungskennwort in AD DS gesichert werden. Dies erfolgt jedoch nicht standardmäßig; Sie müssen Sie die entsprechenden Gruppenrichtlinieneinstellungen konfiguriert haben, bevor BitLocker auf dem Computer aktiviert wurde. Die BitLocker-Gruppenrichtlinieneinstellungen befinden sich im Editor für lokale Gruppenrichtlinien oder in der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerksverschlüsselung. Die folgenden Richtlinieneinstellungen definieren die Wiederherstellungsmethoden, die verwendet werden können, um den Zugriff auf ein mit BitLocker geschütztes Laufwerk wiederherzustellen, wenn eine Authentifizierungsmethode einen Fehler verursacht oder nicht verwendet werden kann.

• Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können

• Festlegen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können

• Festlegen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können

Wählen Sie in den einzelnen Richtlinien BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichern aus, und wählen Sie dann aus, welche BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten (AD DS) gespeichert werden sollen. Aktivieren Sie das Kontrollkästchen BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Festplattenlaufwerke in AD DS gespeichert wurden, wenn Sie möchten, dass Benutzer BitLocker nur dann aktivieren können, wenn der Computer mit der Domäne verbunden ist und die Sicherung von BitLocker-Wiederherstellungsinformationen für das Laufwerk in AD DS erfolgreich ist.

Hinweis  

Wenn die Computer Teil einer Arbeitsgruppe sind, sollten Benutzer daran erinnert werden, ihr BitLocker-Wiederherstellungskennwort bei ihrem Microsoft-Konto online zu speichern. Es wird empfohlen, dass Sie eine Onlinekopie Ihres BitLocker-Wiederherstellungskennworts anlegen, um sicherzustellen, dass Sie den Zugriff auf Ihre Daten nicht verlieren, falls eine Wiederherstellung erforderlich ist.

 

Mit dem Tool „BitLocker-Wiederherstellungskennwort-Viewer für Active Directory-Benutzer und -Computer“ können Domänenadministratoren BitLocker-Wiederherstellungskennwörter für bestimmte Computerobjekte in Active Directory anzeigen.

Sie können die folgende Liste als Vorlage zum Erstellen Ihres eigenen Wiederherstellungsprozesses für das Abrufen des Wiederherstellungskennworts verwenden. In diesem Beispielprozess wird das Tool „BitLocker-Wiederherstellungskennwort-Viewer für Active Directory-Benutzer und -Computer“ verwendet.

• Notieren Sie den Namen der Computer des Benutzers.

• Überprüfen Sie die Identität des Benutzers.

• Suchen Sie das Wiederherstellungskennwort in AD DS.

• Sammeln Sie Informationen, um die Ursache der Wiederherstellung zu ermitteln.

• Geben Sie dem Benutzer das Wiederherstellungskennwort.

Notieren Sie den Namen der Computer des Benutzers.

Sie können den Namen der Computer des Benutzers verwenden, um das Wiederherstellungskennwort in AD DS zu suchen. Wenn der Benutzer den Namen des Computers nicht kennt, bitten Sie ihn, das erste Wort der Laufwerkbezeichnung in der Benutzeroberfläche Kennworteintrag für die BitLocker-Laufwerkverschlüsselung vorzulesen. Dies ist der Name des Computers, als BitLocker aktiviert wurde, und es handelt sich dabei wahrscheinlich um den aktuellen Namen des Computers.

Überprüfen Sie die Identität des Benutzers.

Sie sollten sicherstellen, dass die Person, die das Wiederherstellungskennwort anfordert, wirklich der autorisierte Benutzer des Computers ist. Vielleicht möchten Sie auch überprüfen, ob der Computer mit dem vom Benutzer angegebenen Namen dem Benutzer gehört.

Suchen Sie das Wiederherstellungskennwort in AD DS.

Suchen Sie das Computerobjekt mit dem entsprechenden Namen in AD DS. Da Computerobjektnamen im globalen Katalog AD DS-Katalog aufgeführt sind, sollten Sie das Objekt finden, selbst wenn Sie eine Gesamtstruktur mit mehreren Domänen haben.

Mehrere Wiederherstellungskennwörter

Wenn mehrere Wiederherstellungskennwörter unter einem Computerobjekt in AD DS gespeichert sind, enthält der Name des BitLocker-Wiederherstellungsinformationsobjekts das Datum, an dem das Kennwort erstellt wurde.

Wenn Sie sich einmal nicht sicher sind, welches Kennwort Sie angeben sollen, oder wenn Sie der Meinung sind, dass Sie das falsche Kennwort angeben, bitten Sie den Benutzer, die achtstellige Kennwort-ID vorzulesen, die in der Wiederherstellungskonsole angezeigt wird.

Da die Kennwort-ID einen eindeutigen Wert hat, der den einzelnen in AD DS gespeicherten Wiederherstellungskennwörtern zugeordnet ist, wird beim Ausführen einer Abfrage mit dieser ID das korrekte Kennwort zum Entsperren des verschlüsselten Volumes gefunden.

Sammeln Sie Informationen, um die Ursache der Wiederherstellung zu ermitteln.

Bevor Sie dem Benutzer das Wiederherstellungskennwort geben, sollten Sie alle Informationen zusammentragen, anhand der Sie ermitteln können, warum die Wiederherstellung erforderlich war, um die Fehlerursache während der Analyse nach der Wiederherstellung zu analysieren. Weitere Informationen zur Analyse nach der Wiederherstellung finden Sie unter Analyse nach der Wiederherstellung.

Geben Sie dem Benutzer das Wiederherstellungskennwort.

Da das Wiederherstellungskennwort 48 Zeichen umfasst, müssen Benutzer das Kennwort möglicherweise notieren, indem sie es aufschreiben oder es auf einem anderen Computer eingeben. Bei Verwendung von MBAM wird das Wiederherstellungskennwort neu erstellt, nachdem es aus der MBAM-Datenbank wiederhergestellt wurde, um die mit einem nicht kontrollierten Kennwort einhergehenden Sicherheitsrisiken zu vermeiden.

Hinweis  

Da das Wiederherstellungskennwort 48 Ziffern umfasst und eine Kombination von Ziffern enthält, ist es möglich, dass der Benutzer das Kennwort falsch versteht oder falsch aufschreibt. Die Startzeit-Wiederherstellungskonsole verwendet integrierte Prüfsummenzahlen, um Eingabefehler in jedem 6-stelligen Block des 48-stelligen Wiederherstellungskennworts zu erkennen, und bietet dem Benutzer die Möglichkeit, solche Fehler zu korrigieren.

 

Analyse nach der Wiederherstellung

Wenn ein Volume mit einem Wiederherstellungskennwort entsperrt wird, wird ein Ereignis in das Ereignisprotokoll geschrieben, und die Plattformüberprüfungsmessungen werden im TPM so zurückgesetzt, dass sie der aktuellen Konfiguration entsprechen. Das Entsperren des Volumes bedeutet, dass der Verschlüsselungsschlüssel freigegeben wurde und für die dynamische Verschlüsselung bereit ist, wenn Daten auf das Volume geschrieben werden, und für die dynamische Entschlüsselung, wenn Daten vom Volume gelesen werden. Nachdem das Volume entsperrt wurde, verhält sich BitLocker genauso, unabhängig davon, wie der Zugriff gewährt wurde.

Wenn Sie feststellen, dass bei einem Computer wiederholte Entsperrungen von Wiederherstellungskennwörtern stattfinden, empfiehlt es sich, dass ein Administrator eine Analyse nach der Wiederherstellung durchführt, um die Fehlerursache der Wiederherstellung zu ermitteln und die BitLocker-Plattformüberprüfung so zu aktualisieren, dass der Benutzer nicht bei jedem Starten des Computers ein Wiederherstellungskennwort eingeben muss. Weitere Informationen:

• Ermitteln der Fehlerursache der Wiederherstellung

• Aktualisieren des BitLocker-Schutzes

Ermitteln der Fehlerursache der Wiederherstellung

Wenn ein Benutzer das Laufwerk wiederherstellen musste, ist es wichtig, die Fehlerursache für die Initiierung der Wiederherstellung so schnell wie möglich zu ermitteln. Durch eine ordnungsgemäße Analyse des Zustands des Computers und das Aufdecken von Manipulationen können Bedrohungen aufgezeigt werden, die schwerwiegendere Auswirkungen auf die Unternehmenssicherheit haben.

Ein Administrator kann die Ursache der Wiederherstellung in einigen Fällen zwar remote untersuchen, der Endbenutzer muss aber möglicherweise den Computer bereitstellen, der das wiederhergestellte Laufwerk enthält, damit die Fehlerursache weiter analysiert werden kann.

Lesen Sie und beantworten Sie die folgenden Fragen für Ihre Organisation:

1. Welcher BitLocker-Schutzmodus ist aktiviert (TPM, TPM + PIN, TPM + Systemstartschlüssel, nur Systemstartschlüssel? Welches PCR-Profil wird dem Computer verwendet?

2. Hat der Benutzer lediglich die PIN vergessen oder den Systemstartschlüssel verloren? Wenn ein Token verloren gegangen ist, wo könnte das Token sein?

3. Wenn der TPM-Modus aktiv war, wurde die Wiederherstellung durch eine Änderung der Startdatei verursacht?

4. Wenn die Wiederherstellung durch eine Änderung der Startdatei verursacht wurde, ist dies auf eine beabsichtigte Benutzeraktion (z. B. BIOS-Upgrade) oder Schadsoftware zurückzuführen?

5. Wann konnte der Benutzer den Computer zuletzt erfolgreich starten und was könnte mit dem Computer seitdem passiert sein?

6. Ist der Benutzer seit dem letzten erfolgreichen Start in Kontakt mit Schadsoftware gekommen oder hat er den Computer unbeaufsichtigt gelassen?

Verwenden Sie zur Beantwortung dieser Fragen das BitLocker-Befehlszeilentool, um die aktuelle Konfiguration und den aktuellen Schutzmodus anzuzeigen (z. B. manage-bde -status). Überprüfen Sie das Ereignisprotokoll, um Ereignisse zu suchen, die Aufschluss darüber geben, warum die Wiederherstellung initiiert wurde (z. B. ob eine Änderung der Startdatei aufgetreten ist). Beide Funktionen können per Remotezugriff ausgeführt werden.

Beheben der Fehlerursache

Nachdem Sie identifiziert haben, wodurch die Wiederherstellung verursacht wurde, können Sie den BitLocker-Schutz zurücksetzen und eine Wiederherstellung bei jedem Start vermeiden.

Die Details dieses Zurücksetzens können je nach der Fehlerursache der Wiederherstellung variieren. Wenn Sie die Fehlerursache nicht ermitteln können, oder wenn der Computer möglicherweise mit Schadsoftware oder einem Rootkit infiziert wurde, sollte das Helpdesk bewährte Virenrichtlinien anwenden, um entsprechend zu reagieren.

Hinweis  

Sie können eine Zurücksetzung des BitLocker-Überprüfungsprofils durchführen, indem Sie BitLocker anhalten und fortsetzen.

 

• Unbekannte PIN

• Verloren gegangener Systemstartschlüssel

• Änderungen an Startdateien

Unbekannte PIN

Wenn der Benutzer die PIN vergessen hat, müssen Sie die PIN zurücksetzen, während Sie am Computer angemeldet sind, um zu verhindern, dass BitLocker bei jedem Neustart des Computers eine Wiederherstellung initiiert.

So verhindern Sie eine kontinuierliche Wiederherstellung aufgrund einer unbekannten PIN

1. Entsperren Sie den Computer mithilfe des Wiederherstellungskennworts.

2. Setzen Sie die PIN zurück:

   2. Klicken Sie mit der rechten Maustaste auf das Laufwerk, und klicken Sie dann auf PIN ändern.

   3. Klicken Sie im Dialogfeld der BitLocker-Laufwerkverschlüsselung auf Vergessene PIN zurücksetzen. Wenn Sie nicht mit einem Administratorkonto angemeldet sind, müssen Sie jetzt Administratoranmeldeinformationen angeben.

   4. Geben Sie im Dialogfeld zum Zurücksetzen der PIN die neue PIN ein, und bestätigen Sie sie, und klicken Sie dann auf Fertig stellen.

3. Verwenden Sie die neue PIN beim nächsten Entsperren des Laufwerks.

Verloren gegangener Systemstartschlüssel

Wenn Sie den USB-Speicherstick mit dem Startschlüssel verloren haben, müssen Sie das Laufwerk mithilfe des Wiederherstellungsschlüssels entsperren und dann einen neuen Startschlüssel erstellen.

So verhindern Sie eine kontinuierliche Wiederherstellung aufgrund eines verlorenen Startschlüssels

1. Melden Sie sich als Administrator am Computer an, für den der Startschlüssel verloren gegangen ist.

2. Öffnen Sie „BitLocker verwalten“.

3. Klicken Sie auf Systemstartschlüssel duplizieren, stecken Sie das neue USB-Laufwerk ein, auf das der Schlüssel geschrieben werden soll, und klicken Sie dann auf Speichern.

Änderungen an Startdateien

Dieser Fehler kann auftreten, wenn Sie die Firmware aktualisiert haben. Als bewährte Methode sollten Sie BitLocker anhalten, bevor Sie Änderungen an der Firmware vornehmen und dann den Schutz nach Abschluss des Updates fortsetzen. Dadurch wird verhindert, dass der Computer in den Wiederherstellungsmodus wechselt. Wenn jedoch Änderungen vorgenommen wurden, während der BitLocker-Schutz aktiviert war, können Sie sich einfach mithilfe des Wiederherstellungskennworts am Computer anmelden. Das Plattformüberprüfungsprofil wird so aktualisiert, dass die Wiederherstellung beim nächsten Mal nicht ausgeführt wird.

Windows RE und BitLocker

Windows Recovery Environment (RE) kann verwendet werden, um den Zugriff auf ein durch BitLocker oder die Geräteverschlüsselung geschütztes Laufwerk wiederherzustellen. Wenn ein Computer nach zwei fehlerhaften Versuchen nicht gestartet werden kann, wird die Systemstartreparatur automatisch gestartet. Wenn die Systemstartreparatur aufgrund von Fehlern beim Systemstart automatisch gestartet wird, werden nur Reparaturen am Betriebssystem und an der Treiberdatei ausgeführt, vorausgesetzt, die Startprotokolle oder andere verfügbare Absturzabbilder zeigen auf eine bestimmte beschädigte Datei. In Windows 8.1 und höher können Geräte, die Firmware zur Unterstützung bestimmter TPM-Messungen für PCR [7] umfassen, überprüfen, dass Windows RE eine vertrauenswürdige Betriebssystemumgebung ist und alle BitLocker-geschützten Laufwerke entsperren, wenn Windows RE nicht geändert wurde. Wenn die Windows RE-Umgebung geändert wurde, z. B. das TPM deaktiviert wurde, bleiben die Laufwerke gesperrt, bis der BitLocker-Wiederherstellungsschlüssel angegeben wird. Wenn die Systemstartreparatur nicht automatisch auf dem Computer ausgeführt werden kann und stattdessen Windows RE manuell von einer Notfalldiskette gestartet wird, muss der BitLocker-Wiederherstellungsschlüssel angegeben werden, um die BitLocker-geschützten Laufwerke zu entsperren.

Verwenden zusätzlicher Wiederherstellungsinformationen

Neben dem 48-stelligen BitLocker-Wiederherstellungskennwort werden auch andere Arten von Wiederherstellungsinformationen in Active Directory gespeichert. In diesem Abschnitt wird beschrieben, wie diese zusätzlichen Informationen verwendet werden können.

BitLocker-Schlüsselpaket

Wenn das Volume mit den zuvor in diesem Dokument beschriebenen Wiederherstellungsmethoden nicht entsperrt werden kann, können Sie das BitLocker-Reparaturtool zum Entschlüsseln des Volumes auf Blockebene verwenden. Das Tool verwendet das BitLocker-Schlüsselpaket, um verschlüsselte Daten von schwer beschädigten Laufwerken wiederherzustellen. Diese wiederhergestellten Daten können dann verwendet werden, um verschlüsselte Daten zu retten, auch nachdem das beschädigte Volume nicht mit dem korrekten Wiederherstellungskennwort entsperrt werden konnte. Es wird empfohlen, dass Sie das Wiederherstellungskennwort dennoch speichern. Ein Schlüsselpaket kann nicht ohne das entsprechende Wiederherstellungskennwort verwendet werden.

Hinweis  

Sie müssen das BitLocker-Reparaturtool repair-bde verwenden, um das BitLocker-Schlüsselpaket verwenden zu können.

 

Das BitLocker-Schlüsselpaket wird nicht standardmäßig gespeichert. Um das Paket zusammen mit dem Wiederherstellungskennwort in AD DS zu speichern, müssen Sie die Option Wiederherstellungskennwort und Schlüsselpaket sichern in den Gruppenrichtlinieneinstellungen auswählen, die die Wiederherstellungsmethode steuern. Sie können das Schlüsselpaket auch von einem Volume im Betrieb exportieren. Weitere Informationen zum Exportieren von Schlüsselpaketen finden Sie unter Abrufen des BitLocker-Schlüsselpakets.

Zurücksetzen von Wiederherstellungskennwörtern

Nach der Bereitstellung und Verwendung eines Wiederherstellungskennworts sollten Sie dieses ungültig machen. Tun Sie dies auch, wenn Sie ein vorhandenes Wiederherstellungskennwort aus irgendeinem Grund absichtlich für ungültig erklären möchten.

Sie können das Wiederherstellungskennwort auf zwei Arten zurücksetzen:

• Verwenden von manage-bde Sie können manage-bde verwenden, um das alte Wiederherstellungskennwort zu entfernen und ein neues Wiederherstellungskennwort hinzuzufügen. Das Verfahren gibt den Befehl und die Syntax für diese Methode an.

• Ausführen eines Skripts Sie können ein Skript ausführen, um das Kennwort zurückzusetzen, ohne das Volume entschlüsseln. Das Beispielskript in der Vorgehensweise veranschaulicht diese Funktionalität. Das Beispielskript erstellt ein neues Wiederherstellungskennwort und macht alle anderen Kennwörter ungültig.

So setzen Sie das Wiederherstellungskennwort mithilfe von manage-bde zurück

1. Entfernen Sie das vorherige Wiederherstellungskennwort.

   Manage-bde –protectors –delete C: –type RecoveryPassword
   

2. Fügen Sie das neue Wiederherstellungskennwort hinzu.

   Manage-bde –protectors –add C: -RecoveryPassword
   

3. Rufen Sie die ID des neuen Wiederherstellungskennwort ab. Kopieren Sie die ID des Wiederherstellungskennworts auf dem Bildschirm.

   Manage-bde –protectors –get C: -Type RecoveryPassword
   

4. Sichern Sie das neue Wiederherstellungskennwort in AD DS.

   Manage-bde –protectors –adbackup C: -id {EXAMPLE6-5507-4924-AA9E-AFB2EB003692}
   

   Warnung  

   Sie müssen die geschweiften Klammern in die ID-Zeichenfolge einfügen.

    

So führen Sie das Beispielskript für das Wiederherstellungskennwort aus

1. Speichern Sie das folgende Beispielskript in einer VBScript-Datei. Beispiel: ResetPassword.vbs.

2. Geben Sie an der Eingabeaufforderung einen Befehl wie zum Beispiel den Folgenden ein:

   cscript ResetPassword.vbs

Wichtig  

Dieses Beispielskript wird so konfiguriert, dass es nur für das Volume C funktioniert. Sie müssen das Skript so anpassen, dass es dem Volume entspricht, auf dem Sie das Zurücksetzen des Kennworts testen möchten.

 

Hinweis  

Um einen Remotecomputer zu verwalten, können Sie den Namen des Remotecomputers anstelle des Namens des lokalen Computers angeben.

 

Sie können das folgende Beispielskript verwenden, um einer VBScript-Datei zum Zurücksetzen der Wiederherstellungskennwörter zu erstellen.

' Target drive letter
strDriveLetter = "c:"

' Target computer name
' Use "." to connect to the local computer
strComputerName = "." 


' --------------------------------------------------------------------------------
' Connect to the BitLocker WMI provider class
' --------------------------------------------------------------------------------

strConnectionStr = "winmgmts:" _
                 & "{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
                 & strComputerName _
                 & "\root\cimv2\Security\MicrosoftVolumeEncryption"
                 
                 
On Error Resume Next 'handle permission errors

Set objWMIService = GetObject(strConnectionStr)


If Err.Number <> 0 Then
     WScript.Echo "Failed to connect to the BitLocker interface (Error 0x" & Hex(Err.Number) & ")."
     Wscript.Echo "Ensure that you are running with administrative privileges."
     WScript.Quit -1
End If

On Error GoTo 0

strQuery = "Select * from Win32_EncryptableVolume where DriveLetter='" & strDriveLetter & "'"
Set colTargetVolumes = objWMIService.ExecQuery(strQuery)


If colTargetVolumes.Count = 0 Then
    WScript.Echo "FAILURE: Unable to find BitLocker-capable drive " &  strDriveLetter & " on computer " & strComputerName & "."
    WScript.Quit -1
End If


' there should only be one volume found
For Each objFoundVolume in colTargetVolumes
    set objVolume = objFoundVolume
Next


' objVolume is now our found BitLocker-capable disk volume


' --------------------------------------------------------------------------------
' Perform BitLocker WMI provider functionality
' --------------------------------------------------------------------------------


' Add a new recovery password, keeping the ID around so it doesn't get deleted later
' ----------------------------------------------------------------------------------

nRC = objVolume.ProtectKeyWithNumericalPassword("Recovery Password Refreshed By Script", , sNewKeyProtectorID)

If nRC <> 0 Then
WScript.Echo "FAILURE: ProtectKeyWithNumericalPassword failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If

' Removes the other, "stale", recovery passwords 
' ----------------------------------------------------------------------------------

nKeyProtectorTypeIn = 3 ' type associated with "Numerical Password" protector

nRC = objVolume.GetKeyProtectors(nKeyProtectorTypeIn, aKeyProtectorIDs)

If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If

' Delete those key protectors other than the one we just added. 

For Each sKeyProtectorID In aKeyProtectorIDs

If sKeyProtectorID <> sNewKeyProtectorID Then
nRC = objVolume.DeleteKeyProtector(sKeyProtectorID)

If nRC <> 0 Then
WScript.Echo "FAILURE: DeleteKeyProtector on ID " & sKeyProtectorID & " failed with return code 0x" & Hex(nRC)
WScript.Quit -1
Else
' no output
'WScript.Echo "SUCCESS: Key protector with ID " & sKeyProtectorID & " deleted"
End If
End If

Next

WScript.Echo "A new recovery password has been added. Old passwords have been removed."

' - some advanced output (hidden)
'WScript.Echo ""
'WScript.Echo "Type ""manage-bde -protectors -get " & strDriveLetter & " -type recoverypassword"" to view existing passwords."

Abrufen des BitLocker-Schlüsselpakets

Sie zwei Methoden zum Abrufen des Schlüsselpakets verwenden, wie unter Verwenden zusätzlicher Wiederherstellungsinformationen beschrieben:

• Exportieren eines zuvor gespeicherten Schlüsselpakets aus AD DS. Sie benötigen Lesezugriff auf BitLocker-Wiederherstellungskennwörter, die in AD DS gespeichert sind.

• Exportieren eines neuen Schlüsselpakets von einem entsperrten BitLocker-geschützten Volume. Sie müssen über Zugriffsberechtigungen als lokaler Administrator für das Arbeitsvolume verfügen, bevor Schäden aufgetreten sind.

Das folgende Beispielskript exportiert alle zuvor gespeicherten Schlüsselpakete aus AD DS.

So führen Sie das Beispielskript zum Abrufen des Schlüsselpakets aus

1. Speichern Sie das folgende Beispielskript in einer VBScript-Datei. Beispiel: GetBitLockerKeyPackageADDS.vbs.

2. Geben Sie an der Eingabeaufforderung einen Befehl wie zum Beispiel den Folgenden ein:

   cscript GetBitLockerKeyPackageADDS.vbs -?

Sie können das folgende Beispielskript verwenden, um eine VBScript-Datei zum Abrufen des BitLocker-Schlüsselpakets aus AD DS erstellen.

' --------------------------------------------------------------------------------
' Usage
' --------------------------------------------------------------------------------

Sub ShowUsage
   Wscript.Echo "USAGE: GetBitLockerKeyPackageAD [Path To Saved Key Package] [Optional Computer Name]"
   Wscript.Echo "If no computer name is specified, the local computer is assumed."
   Wscript.Echo 
   Wscript.Echo "Example: GetBitLockerKeyPackageAD E:\bitlocker-ad-key-package mycomputer"
   WScript.Quit
End Sub

' --------------------------------------------------------------------------------
' Parse Arguments
' --------------------------------------------------------------------------------

Set args = WScript.Arguments

Select Case args.Count
  Case 1
    If args(0) = "/?" Or args(0) = "-?" Then
    ShowUsage
    Else 
      strFilePath = args(0)
      ' Get the name of the local computer      
      Set objNetwork = CreateObject("WScript.Network")
      strComputerName = objNetwork.ComputerName      
    End If    
      
  Case 2
    If args(0) = "/?" Or args(0) = "-?" Then
      ShowUsage
    Else 
      strFilePath = args(0)
      strComputerName = args(1)
    End If
  Case Else
    ShowUsage

End Select



' --------------------------------------------------------------------------------
' Get path to Active Directory computer object associated with the computer name
' --------------------------------------------------------------------------------

Function GetStrPathToComputer(strComputerName) 

    ' Uses the global catalog to find the computer in the forest
    ' Search also includes deleted computers in the tombstone

    Set objRootLDAP = GetObject("LDAP://rootDSE")
    namingContext = objRootLDAP.Get("defaultNamingContext") ' e.g. string dc=fabrikam,dc=com    

    strBase = "<GC://" & namingContext & ">"
 
    Set objConnection = CreateObject("ADODB.Connection") 
    Set objCommand = CreateObject("ADODB.Command") 
    objConnection.Provider = "ADsDSOOBject" 
    objConnection.Open "Active Directory Provider" 
    Set objCommand.ActiveConnection = objConnection 

    strFilter = "(&(objectCategory=Computer)(cn=" &  strComputerName & "))"
    strQuery = strBase & ";" & strFilter  & ";distinguishedName;subtree" 

    objCommand.CommandText = strQuery 
    objCommand.Properties("Page Size") = 100 
    objCommand.Properties("Timeout") = 100
    objCommand.Properties("Cache Results") = False 

    ' Enumerate all objects found. 

    Set objRecordSet = objCommand.Execute 
    If objRecordSet.EOF Then
      WScript.echo "The computer name '" &  strComputerName & "' cannot be found."
      WScript.Quit 1
    End If

    ' Found object matching name

    Do Until objRecordSet.EOF 
      dnFound = objRecordSet.Fields("distinguishedName")
      GetStrPathToComputer = "LDAP://" & dnFound
      objRecordSet.MoveNext 
    Loop 


    ' Clean up. 
    Set objConnection = Nothing 
    Set objCommand = Nothing 
    Set objRecordSet = Nothing 

End Function


' --------------------------------------------------------------------------------
' Securely access the Active Directory computer object using Kerberos
' --------------------------------------------------------------------------------


Set objDSO = GetObject("LDAP:")
strPathToComputer = GetStrPathToComputer(strComputerName)

WScript.Echo "Accessing object: " + strPathToComputer

Const ADS_SECURE_AUTHENTICATION = 1
Const ADS_USE_SEALING = 64 '0x40
Const ADS_USE_SIGNING = 128 '0x80


' --------------------------------------------------------------------------------
' Get all BitLocker recovery information from the Active Directory computer object
' --------------------------------------------------------------------------------

' Get all the recovery information child objects of the computer object

Set objFveInfos = objDSO.OpenDSObject(strPathToComputer, vbNullString, vbNullString, _
                                   ADS_SECURE_AUTHENTICATION + ADS_USE_SEALING + ADS_USE_SIGNING)

objFveInfos.Filter = Array("msFVE-RecoveryInformation")

' Iterate through each recovery information object and saves any existing key packages

nCount = 1
strFilePathCurrent = strFilePath & nCount

For Each objFveInfo in objFveInfos

   strName = objFveInfo.Get("name")

   strRecoveryPassword = objFveInfo.Get("msFVE-RecoveryPassword")
   strKeyPackage = objFveInfo.Get("msFVE-KeyPackage")

   WScript.echo 
   WScript.echo "Recovery Object Name: " + strName 
   WScript.echo "Recovery Password: " + strRecoveryPassword

   ' Validate file path
   Set fso = CreateObject("Scripting.FileSystemObject")

   If (fso.FileExists(strFilePathCurrent)) Then
 WScript.Echo "The file " & strFilePathCurrent & " already exists. Please use a different path."
WScript.Quit -1
   End If

   ' Save binary data to the file
   SaveBinaryDataText strFilePathCurrent, strKeyPackage
   
   WScript.echo "Related key package successfully saved to " + strFilePathCurrent


   ' Update next file path using base name
   nCount = nCount + 1
   strFilePathCurrent = strFilePath & nCount

Next


'----------------------------------------------------------------------------------------
' Utility functions to save binary data 
'----------------------------------------------------------------------------------------

Function SaveBinaryDataText(FileName, ByteArray)
  'Create FileSystemObject object
  Dim FS: Set FS = CreateObject("Scripting.FileSystemObject")
  
  'Create text stream object
  Dim TextStream
  Set TextStream = FS.CreateTextFile(FileName)
  
  'Convert binary data To text And write them To the file
  TextStream.Write BinaryToString(ByteArray)
End Function

Function BinaryToString(Binary)
  Dim I, S
  For I = 1 To LenB(Binary)
    S = S & Chr(AscB(MidB(Binary, I, 1)))
  Next
  BinaryToString = S
End Function

WScript.Quit

The following sample script exports a new key package from an unlocked, encrypted volume.

To run this script, start by saving the code into a VBS file (for example, GetBitLockerKeyPackage.vbs). Then, open an administrator command prompt and use “cscript” to run the saved file (for example, type "cscript GetBitLockerKeyPackage.vbs  -?").



' --------------------------------------------------------------------------------
' Usage
' --------------------------------------------------------------------------------

Sub ShowUsage
   Wscript.Echo "USAGE: GetBitLockerKeyPackage [VolumeLetter/DriveLetter:] [Path To Saved Key Package]"
   Wscript.Echo 
   Wscript.Echo "Example: GetBitLockerKeyPackage C: E:\bitlocker-backup-key-package"
   WScript.Quit
End Sub

' --------------------------------------------------------------------------------
' Parse Arguments
' --------------------------------------------------------------------------------

Set args = WScript.Arguments

Select Case args.Count
  Case 2
    If args(0) = "/?" Or args(0) = "-?" Then
      ShowUsage
    Else 
      strDriveLetter = args(0)
      strFilePath = args(1)
    End If
  Case Else
    ShowUsage

End Select

' --------------------------------------------------------------------------------
' Other Inputs
' --------------------------------------------------------------------------------

' Target computer name
' Use "." to connect to the local computer
strComputerName = "." 

' Default key protector ID to use. Specify "" to let the script choose.

strDefaultKeyProtectorID = ""

' strDefaultKeyProtectorID = "{001298E0-870E-4BA0-A2FF-FC74758D5720}"  ' sample 


' --------------------------------------------------------------------------------
' Connect to the BitLocker WMI provider class
' --------------------------------------------------------------------------------

strConnectionStr = "winmgmts:" _
                 & "{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
                 & strComputerName _
                 & "\root\cimv2\Security\MicrosoftVolumeEncryption"
                 
                 
On Error Resume Next 'handle permission errors

Set objWMIService = GetObject(strConnectionStr)


If Err.Number <> 0 Then
     WScript.Echo "Failed to connect to the BitLocker interface (Error 0x" & Hex(Err.Number) & ")."
     Wscript.Echo "Ensure that you are running with administrative privileges."
     WScript.Quit -1
End If

On Error GoTo 0

strQuery = "Select * from Win32_EncryptableVolume where DriveLetter='" & strDriveLetter & "'"
Set colTargetVolumes = objWMIService.ExecQuery(strQuery)


If colTargetVolumes.Count = 0 Then
    WScript.Echo "FAILURE: Unable to find BitLocker-capable drive " &  strDriveLetter & " on computer " & strComputerName & "."
    WScript.Quit -1
End If


' there should only be one volume found
For Each objFoundVolume in colTargetVolumes
    set objVolume = objFoundVolume
Next


' objVolume is now our found BitLocker-capable disk volume


' --------------------------------------------------------------------------------
' Perform BitLocker WMI provider functionality
' --------------------------------------------------------------------------------


' Collect all possible valid key protector ID's that can be used to get the package
' ----------------------------------------------------------------------------------

nNumericalKeyProtectorType = 3 ' type associated with "Numerical Password" protector

nRC = objVolume.GetKeyProtectors(nNumericalKeyProtectorType, aNumericalKeyProtectorIDs)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If

nExternalKeyProtectorType = 2 ' type associated with "External Key" protector

nRC = objVolume.GetKeyProtectors(nExternalKeyProtectorType, aExternalKeyProtectorIDs)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If


' Get first key protector of the type "Numerical Password" or "External Key", if any
' ----------------------------------------------------------------------------------

if strDefaultKeyProtectorID = "" Then

' Save first numerical password, if exists
If UBound(aNumericalKeyProtectorIDs) <> -1 Then
strDefaultKeyProtectorID = aNumericalKeyProtectorIDs(0)
End If

' No numerical passwords exist, save the first external key
If strDefaultKeyProtectorID = "" and UBound(aExternalKeyProtectorIDs) <> -1 Then
strDefaultKeyProtectorID = aExternalKeyProtectorIDs(0)
End If 

' Fail case: no recovery key protectors exist. 
If strDefaultKeyProtectorID = "" Then
WScript.Echo "FAILURE: Cannot create backup key package because no recovery passwords or recovery keys exist. Check that BitLocker protection is on for this drive."
WScript.Echo "For help adding recovery passwords or recovery keys, type ""manage-bde -protectors -add -?""."
WScript.Quit -1
End If

End If

' Get some information about the chosen key protector ID
' ----------------------------------------------------------------------------------

' is the type valid?

nRC = objVolume.GetKeyProtectorType(strDefaultKeyProtectorID, nDefaultKeyProtectorType)

If Hex(nRC) = "80070057" Then
WScript.Echo "The key protector ID " & strDefaultKeyProtectorID & " is not valid."
WScript.Echo "This ID value may have been provided by the script writer."
ElseIf nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectorType failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If

' what's a string that can be used to describe it?

strDefaultKeyProtectorType = ""

Select Case nDefaultKeyProtectorType 

  Case nNumericalKeyProtectorType
      strDefaultKeyProtectorType = "recovery password"

  Case nExternalKeyProtectorType
      strDefaultKeyProtectorType = "recovery key"

  Case Else
      WScript.Echo "The key protector ID " & strDefaultKeyProtectorID & " does not refer to a valid recovery password or recovery key."
      WScript.Echo "This ID value may have been provided by the script writer."

End Select


' Save the backup key package using the chosen key protector ID
' ----------------------------------------------------------------------------------

nRC = objVolume.GetKeyPackage(strDefaultKeyProtectorID, oKeyPackage)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyPackage failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If

' Validate file path
Set fso = CreateObject("Scripting.FileSystemObject")
If (fso.FileExists(strFilePath)) Then
WScript.Echo "The file " & strFilePath & " already exists. Please use a different path."
WScript.Quit -1
End If

Dim oKeyPackageByte, bKeyPackage
For Each oKeyPackageByte in oKeyPackage
  'WScript.echo "key package byte: " & oKeyPackageByte
  bKeyPackage = bKeyPackage & ChrB(oKeyPackageByte)
Next

' Save binary data to the file
SaveBinaryDataText strFilePath, bKeyPackage

' Display helpful information
' ----------------------------------------------------------------------------------

WScript.Echo "The backup key package has been saved to " & strFilePath & "."

WScript.Echo "IMPORTANT: To use this key package, the " & strDefaultKeyProtectorType & " must also be saved."

' Display the recovery password or a note about saving the recovery key file

If nDefaultKeyProtectorType = nNumericalKeyProtectorType Then

nRC = objVolume.GetKeyProtectorNumericalPassword(strDefaultKeyProtectorID, sNumericalPassword)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectorNumericalPassword failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
WScript.Echo "Save this recovery password: " & sNumericalPassword

ElseIf nDefaultKeyProtectorType = nExternalKeyProtectorType Then
WScript.Echo "The saved key file is named " & strDefaultKeyProtectorID & ".BEK"
WScript.Echo "For help re-saving this external key file, type ""manage-bde -protectors -get -?"""
End If


'----------------------------------------------------------------------------------------
' Utility functions to save binary data 
'----------------------------------------------------------------------------------------

Function SaveBinaryDataText(FileName, ByteArray)
  'Create FileSystemObject object
  Dim FS: Set FS = CreateObject("Scripting.FileSystemObject")
  
  'Create text stream object
  Dim TextStream
  Set TextStream = FS.CreateTextFile(FileName)
  
  'Convert binary data To text And write them To the file
  TextStream.Write BinaryToString(ByteArray)
End Function

Function BinaryToString(Binary)
  Dim I, S
  For I = 1 To LenB(Binary)
    S = S & Chr(AscB(MidB(Binary, I, 1)))
  Next
  BinaryToString = S
End Function

Weitere Informationen

• BitLocker-Übersicht