Windows 10 V1803: Kein Backup für BitLocker-Wiederherstellungsinformationen in AD

[English]Firmen die BitLocker einsetzen, sollten beim Umstieg auf Windows 10 V1803 aufpassen. Die BitLocker-Wiederherstellungsinformationen können nicht ins Active Directory (AD) gesichert werden. Hier ein kurzer Hinweis, damit ihr euch eine längere Fehlersuche erspart.


Anzeige

Diskussion hier im Blog

Das Thema ist schon mal als Kommentar im Blog-Beitrag Windows 10 V1803 als 'Semi-annual' deklariert und mehr aufgekommen. Blog-Leser Markus K. schrieb:

Mir ist noch nicht zu Ohren gekommen, dass das Bitlocker AD-Backup Problem behoben ist.

Ohne Bitlocker ist für uns da gar nichts "ready for business".
Microsoft will wirklich, dass man nichts konfiguriert und es exakt so verwendet wie mans bekommt.

Die Entgegnung von Blog-Leser Ingo zu diesem Kommentar war: Bitlocker sichert doch schon ewig nicht mehr Keys ins AD. Das ist wohl auch beabsichtigt so, die Leute sollen MDOP MBAM nutzen. Da ich in dieser Umgebung nicht aktiv bin, kann ich dazu nichts sagen.

Im Hinblick darauf, dass nicht alle Blog-Leserinnen so sattelfest mit den netten Microsoft-Kürzeln sind (ich musste nachschauen), hier die Erklärung. Das Microsoft Desktop Optimization Pack (MDOP) ist ein Portfolio von Technologien, das als Abonnement für Software Assurance-Kunden erhältlich ist. MDOP hilft, nach Ansicht von Microsoft, die Kompatibilität und das Management zu verbessern, die Support-Kosten zu senken, das Asset-Management zu verbessern und die Richtlinienkontrolle zu verbessern. Microsoft BitLocker Administration and Monitoring (MBAM) bietet eine administrative Schnittstelle zur unternehmensweiten Verschlüsselung von BitLocker-Laufwerken.

Microsoft Japan nimmt Stellung

Markus wies mich gestern auf einen Technet-Artikel von Microsoft Japan mit dem (übersetzten) Titel BitLocker-Wiederherstellungsinformationen können nicht in AD DS in Windows 10 1803 gespeichert werden hin. Im Artikel wird genau das obige Problem der BitLocker-Laufwerkverschlüsselungsfunktion für Windows 10 Version 1803 bestätigt. Das Team zur Technologieunterstützung schreibt:

Es wird berichtet, dass BitLocker-Wiederherstellungsinformationen in Active Directory in Windows 10 Version 1803 nicht gespeichert werden können. Wenn dieses Problem auftritt, wird die folgende Fehlermeldung angezeigt.

Bitlocker Actice Directory Fehler


Anzeige

Das technische Team bestätigt, dass beim Auftreten dieser Fehlermeldung im Betrieb von Windows 10 Version 1803 kein Problem mit der Konfiguration des Active Directory-Domänenserviceschemas vorliegt. Man kann sich als Administrator also die aufwändige Fehlersuche sparen.

Wann tritt der Fehler auf?

Dieses Problem bzw. der Fehler tritt unter Windows 10 V1803 auf, wenn die folgenden beiden Bedingungen erfüllt sind.

  • Die BitLocker-Wiederherstellungsinformationen sind so über Gruppenrichtlinien konfiguriert, dass sie in das Active Directory gespeichert werden (siehe Anmerkung).
  • Sie haben BitLocker unter Verwendung der lokalen Anmeldeinformationen aktiviert.

Der Fehler tritt laut dem Beitrag nicht auf, wenn BitLocker unter Verwendung der Anmeldeinformationen des Domänenkontos aktiviert wird.

So überprüfen Sie die Gruppenrichtlinie

Wenn Sie in den folgenden drei Gruppenrichtlinien "BitLocker-Wiederherstellungsinformationen von xxxx in AD DS speichern" aktivieren, werden BitLocker-Wiederherstellungsinformationen in Active Directory gespeichert, wenn die BitLocker-Verschlüsselung gestartet wird.

– Name der Gruppenrichtlinie

[Wählen Sie die Wiederherstellungsmethode für das BitLocker-geschützte Betriebssystemlaufwerk]
[Wählen Sie die Wiederherstellungsmethode für das BitLocker-geschützte feste Datenlaufwerk]
[Wählen Sie aus, wie BitLocker-geschützte Wechseldatenlaufwerke wiederhergestellt werden sollen]

So lässt sich das Problem umgehen

Dieses Problem tritt auf, wenn Sie lokale Kontoanmeldeinformationen verwenden und es keine Problemumgehung für das Speichern von BitLocker-Wiederherstellungsinformationen in Active Directory mit lokalem Konto gibt. Abhilfe schafft, indem Sie BitLocker auf eine der folgenden Arten aktivieren.

  • Aktivieren Sie BitLocker mit dem Domänenadministratorkonto.
  • Wenn das Domänenadministratorkonto nicht verfügbar ist, platzieren Sie das Domänenkonto vorübergehend in der lokalen Gruppe Administratoren und aktivieren Sie BitLocker.

Der Originalbeitrag auf japanisch ist bei Technet Japan abrufbar (Entfernt). Vielleicht hilft das ja dem einen oder anderen Betroffenen oder erspart eine Fehlersuche.

Ähnliche Artikel:
Windows 10 Version 1511: Clean Install blockt Bitlocker
Windows 10 Version 1607: Hyper-V/Bitlocker/DeviceGuard als Upgrade-Stopper
Bitlocker-Verschlüsselung in Windows 10 langsamer als bei Windows 7


Anzeige

Dieser Beitrag wurde unter Windows 10 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Windows 10 V1803: Kein Backup für BitLocker-Wiederherstellungsinformationen in AD

  1. ConR sagt:

    Sollte es in der Überschrift nicht 1803 statz 1893 heißen

  2. Karl Wester-Ebbinghaus (al Qamar) sagt:

    Also ich kann bestätigen das irgendwie das Ganze nicht mehr funktioniert wie es soll.

    Deployment erfolgt über aktuelles MDT. Einstellungen sind alle korrekt und Bitlocker wird im Bereitstellungsprozess korrekt aktiviert.

    Der Recovery Schlüssel wird auf Laufwerk C gespeichert, in eine Textdatei. im Notfall ist dies unsinnig.

    Im AD landet nichts!

    Microsoft hat ein wscript bereitgestellt welches die Speicherung des Schlüssel im AD forcieren soll. Auch dieses tut seinen Dienst nicht mehr!

    Wenn jetzt nicht mehr ein delegiertes Konto funktioniert, sondern nur noch ein Domänenadminkonto bzw dies üblicherweise nach Domainjoin in der lokalen Administratorengruppe ist, wäre das schon ein starkes Stück. Vor allem weil man das AD Domänenadminkontopasswort im Klartext in die ini Datei bei MDT schreibt. Schon aus diesen Gründen wurde ein eingeschränktes Konto nur mit Rechten auf eine OU implementiert.

  3. Markus K. sagt:

    Mir zeigt dies nur einmal mehr, dass immer wieder Funktionalität mit neuen W10 Versionen kaputt wird.
    Warum so etwas Microsofts Qualitätskontrolle nicht auffällt, ist ein anderes Thema.
    Nun könnte man doch MBAM verwenden, aber da brauch man MDOP und das hat die breite Masse sicher nicht.
    Wenn MBAM dann vielleicht auch bald obsolet ist (ich sage nur UE-V Gerüchte), weil das Backup des Bitlocker-Keys dann nur mehr in AZURE gemacht werden kann, dann brauch ich auch kein Bitlocker mehr, weil die Garantie, dass da nicht vielleicht doch etwas leacken könnte gibts vermutlich nicht.

  4. mt7479 sagt:

    Alles cool ConfigurationManager und LocalSystem.

  5. Philipp I. sagt:

    Also die Wiederherstellungsschlüssel für Bitlocker werden bei mir vollkommen problemlos im AD gespeichert. Habe das zuletzt unter Windows 10 1803 am 26.06.18 gemacht. DC ist ein 2012R2.

    Was seit 1607 nicht mehr funktioniert, ist die TPMs ebenfalls ins AD zu backupen. Die Richtlinie dazu ist auch verschwunden. Siehe dazu auch:
    https://docs.microsoft.com/en-us/windows/security/hardware-protection/tpm/backup-tpm-recovery-information-to-ad-ds

    Bei mir war sie noch im GPO aktiv, konnte da aber nicht mehr geändert werden, weil die aktuellen PolicyDefinitions diese Einstellungen nicht mehr kennen. Dann kommt es ebenfalls zu einer Fehlermeldung, dass Bitlocker nicht aktiviert werden kann.

  6. Günter Born sagt:

    Ergänzung: Bei Facebook gab es noch eine ergänzende Diskussion zwischen einem Fachkollegen und einem Microsoft Spezialisten. Da der FB-Inhalt nicht öffentlich einsehbar ist, habe ich mal einen Screenshot erstellt (Beteiligte wurden wegen DSGVO gepixelt).


    abgeschnittener Text:

    Zumal er nur in der Enterprise Edition enthalten ist.
    Je nach dem wie komplex die Domäne abgesichert ist kann man das auch anders mitigieren.

    Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft, Version 2 (müsste diese Seite und Teil 2 sein)

    Prevent Lateral Movement With Local Accounts

    Vielleicht hilft es den Wissenden bei der Skalierung.

  7. Bernhard Diener sagt:

    Viel Wind um fast nichts.

    AD Backup funktioniert seit 1803 nicht, wenn lokale Konten genutzt werden. Und, wer nutzt zum Anwerfen von Bitlocker in einer Domäne lokale Konten? Sehr wenige, offensichtlich keine Tester bei MS.

    Lasst Euch zumindest versichern, dass das AD-Backup bei Verwendung von Domänenkonten funktioniert und das Zitierte (Ingo) "Bitlocker sichert doch schon ewig nicht mehr Keys ins AD" keinen Deut Wahrheit enthält. Wir machen seit vielen Jahren (>10) AD-Backup ohne MBAM und jeweils mit der aktuellen Windowsversion.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.