Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ein besserer Weg zur Delegation of Control für Bitlocker Recoverykeys

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

04.09.2019, aktualisiert 22:12 Uhr, 673 Aufrufe, 8 Danke

Will man Supportmitarbeitern ermöglichen, Bitlocker-Recoverykeys auszulesen, dann bietet sich eigentlich der Delegation of Control Wizard an.
Ich zeige zunächst mal, wie das gemacht würde:
1 - Klicke auf das Bild, um es zu vergrößern
2 - Klicke auf das Bild, um es zu vergrößern
3 - Klicke auf das Bild, um es zu vergrößern
Das Dumme ist nur: damit der Supporter hier etwas auslesen kann, braucht er „Full Control“!
Ebenso arbeitet der Wizard nur auf OU-Ebene und kann nicht granular pro Rechner Rechte setzen, falls gewünscht.

Er kann somit diese Keys nicht nur lesen, sondern (via ADSI-Edit oder Kommandos) auch löschen und somit (versehentlich) großen Schaden anrichten. Dass hier keine Leserechte ausreichen, liegt an einem interessanten Umstand: Microsoft benutzt zum Absichern der Recoverykeys das sogenannte „Confidentiality Bit“. Ich zitiere aus https://blog.nextxpert.com/2011/01/11/how-to-delegate-access-to-bitlocke ... :
All objects created with the Confidentiality bit set to 1, are only available for users, who have full control access to that object. These objects are hidden for other users in Active Directory
Das ist nicht schön, denn der Delegation of Control Wizard kann dieses Bit nicht setzen oder entfernen, sprich: entweder, wir vergeben Vollzugriff, oder der Supporter kommt gar nicht ran - etwas dazwischen bietet der Wizard nicht!

Doch es gibt einen Ausweg:
Man kann die LDP.exe von 2019 Server nutzen, um Leserechte und „Control Access“ zu erteilen, so dass man genau das Gewünschte erreicht: „nur lesen, sonst nichts“.
Die LDP.exe von 2016 Server kann seltsamerweise hierzu nicht genutzt werden. Für diese Serverversion muss man ldp.exe aus diesem Download extrahieren und damit arbeiten: https://www.microsoft.com/en-us/download/details.aspx?id=4201
Ich liefere noch die passenden Screenshots. Zunächst LDP.exe starten, Connect – OK – Bind – OK – Tree (CTRL-T) – OK
Dann zur OU navigieren, auf die Rechte gesetzt werden sollen und dem folgenden Bild folgen:
4 - Klicke auf das Bild, um es zu vergrößern
Im Descriptor dann DACL anklicken und „add trustee“ und z.B. wie im Bild einstellen:
5 - Klicke auf das Bild, um es zu vergrößern
Dann OK und zuletzt "Update" klicken.
Damit haben wir „yourdom\someuser“ Leserechte auf die Recoverykeys aller Computer in der OU „Server“ gegeben.
Erfreulicherweise kann man über ldp.exe die OU weiter aufklappen und das Selbe auf Rechnerebene und sogar auf Partitionsebene/Keyebene machen. Sprich, man könnte einem Supporter den Zugriff auf den Recoverykey lediglich einer einzelnen Partition eines einzelnen Servers erteilen.
Neue Wissensbeiträge
Voice over IP

Telekom Umstellung von ISDN Anlagenanschluss auf IP-Telefonie

Erfahrungsbericht von NixVerstehen vor 1 TagVoice over IP6 Kommentare

Hallo zusammen, nachdem nun vor ein paar Tagen die zwangsweise Umstellung von ISDN auf IP-Telefonie problemlos über die Bühne ...

Apple

Apple Special Event vom 10.09.2019: Arcade, TV+, iPad und iPadOS, Watch und iPhone 11

Information von Trontur vor 3 TagenApple2 Kommentare

Hier könnt ihr euch die Keynote von Tim Cook auf dem Apple Special Event vom 10.09.2019 anschauen: September Event ...

LAN, WAN, Wireless

Das RIPE ist quasi endgültig leer was IPv4 angeht

Information von LordGurke vor 10 TagenLAN, WAN, Wireless8 Kommentare

Das RIPE teilt mit, dass sie erwarten, Ende des Jahres keine /22-IPv4-Allocations (1.024 Adressen) mehr vergeben zu können. Dann ...

Netzwerke
Webinar virtuelle Netzwerke
Information von Voiper vor 11 TagenNetzwerke

Moin Zusammen, auf openHPI gibt es ein ein kostenloses Webinar zu virtuellen netzwerken. Für den ein oder anderen Netzwerker ...

Heiß diskutierte Inhalte
Exchange Server
Exchange 2013 nach Umzug nicht erreichbar
gelöst Frage von dbox3Exchange Server17 Kommentare

Hallo, die Lösung für mein Problem mag einfach sein. Nur stehe ich irgendwie auf dem Schlauch. ich habe einen ...

Switche und Hubs
Hardwareberatung Switch
gelöst Frage von snowflockeSwitche und Hubs12 Kommentare

Hallo, ich bin ganz neu hier also seit gnädig :-) Ich bin seit 5 Jahre in der IT tätig, ...

Windows Server
Drucker auf dem Terminalserver 2016 via Printserver wird nicht angezeigt
Frage von EchterHansenWindows Server6 Kommentare

Moin Moin, ich habe hier zwei 2016er Terminalserver und einen 2016er Printserver, auf dem ca. 10 RICOH-Drucker Typ 4. ...

Voice over IP
Telekom Umstellung von ISDN Anlagenanschluss auf IP-Telefonie
Erfahrungsbericht von NixVerstehenVoice over IP6 Kommentare

Hallo zusammen, nachdem nun vor ein paar Tagen die zwangsweise Umstellung von ISDN auf IP-Telefonie problemlos über die Bühne ...