Jump to content

Bitlocker: "Daten für die Wiederherstellung des Zugriffs konnten nicht auf dem  Server gespeichert werden"


Go to solution Solved by alexcad,

Recommended Posts

Posted

Moin zusammen,

wir würden gerne das Kaspersky Security Center 13.2 im Zusammenspiel mit der Endpoint Protection 11.7.0 dazu verwenden, Bitlocker in unserer Domäne für alle Clients zu aktivieren.

Bei jungfräulichen Clients vor Ort klappt alles auf Anhieb.

Problematisch sind jedoch Clients, welche per Sophos SSL VPN mit der Firma verbunden sind.

Hier scheitert die Aktivierung von Bitlocker mit folgendem Fehler:

Ich vermute, dass hiermit die Ablage des Wiederherstellungskennworts im Active Directory gemeint ist.

Was ich nicht verstehe: Wenn ich testweise Bitlocker manuell auf einem per VPN eingewählten Client einrichte, wird der Schlüssel anstandslos ins AD übertragen.

Einzig die Aktivierung per Kaspersky funktioniert leider nicht.

Hat dies jemand ebenfalls bereits beobachtet und kann mir einen Tipp geben?

 

Danke vorab,

Dominik

Posted

 

...Ich vermute, dass hiermit die Ablage des Wiederherstellungskennworts im Active Directory gemeint ist.

 

Hallo Dominik,

wenn du Bitlocker über Kaspersky verwaltest werden die Wiederherstellungsschlüssel in der Datenbank des Admin-Servers gespeichert und können von dort bequem ausgelesen werden.
 


Ich würde vermuten, dass es ein Kommunikationsproblem mit dem Admin-Server gibt, wenn die Systeme per Sophos-VPN verbunden sind. Hier solltest du mal die Firewall-Regeln für deinen SSL-VPN-Pool auf der SOPHOS prüfen.
Ergänzend kannst du auch mal auf einem per VPN verbundenen Client die Verbindung mit klnagchk prüfen, siehe 

Link


Grüße
​​​​​​​Alex​​​​​​​

Posted

Hi Alex,

 

Danke für deine schnelle Antwort!

Wird der Wiederherstellungsschlüssel auch in der Datenbank des Admin-Servers gespeichert, wenn per GPO definiert ist, dass der Schlüssel im AD abgelegt werden soll?

 

Ich sehe im von dir aufgeführten Bereich der Admin-Konsole zwar alle aktuell verschlüsselten PCs, sehe aber auf den ersten Blick keine Möglichkeit, den Schlüssel einzusehen?

Im AD kann ich den Wiederherstellungsschlüssel jedoch auslesen:

 

Danke,

Dominik

Posted

Dazu klickst du mit der rechten Maustaste auf das verschlüsselte Gerät und bekommst dann im Kontextmenü die Möglichkeit den Wiederherstellungsschlüssel anzeigen zu lassen:

Der Dialog kommt bei dir vermutlich in deutscher Sprache. Bei mir ist das nur in Englisch, da ich in meiner Demoumgebung schon KES11.8_beta integriert habe - das Plugin gibt es bisher nur in englischer Sprache.

Grüße
Alex

 

  • Solution
Posted

Nachtrag, zum Verständnis: 
Damit das bitlocker-Management über Kaspersky funktioniert dürfen die Geräte nicht über Microsoft-Funktionen (oder andere Lösungen) verschlüsselt sein. Nur dann hat die KES auch die Möglichkeit den Wiederherstellungsschlüssel mitzulesen und im KSC zu speichern. Im AD gespeicherte Wiederherstellungsschlüssel bereits verschlüsselter Geräte können nicht nachträglich ausgelesen und ins KSC übertragen werden. In diesem Fall läuft die (erneute) bitlocker-Verschlüsselung über Kaspersky in einen Fehler.
 

Grüße
Alex

Posted

Hi Alex,

tatsächlich fehlte mir in der bei mir lokal installierten Managementkonsole das Plugin für die Verwaltung von KES.

Der Zugriff auf die Schlüssel funktioniert!

Der Hinweis in deinem letzten Posting beantwortet dann auch noch eine andere offene Frage: Tatsächlich wurden eine ganze Reihe unserer Rechner bereits unabhängig vom KSC mit Bordmitteln von Windows 10 mittels Bitlocker verschlüsselt, bzw. auch mit einem von einem Lieferanten bereit gestellten Script für unser Matrix42/Empirum Managementsystem.

Hier stoßen wir nun natürlich auf allerlei Probleme, diese bereits verschlüsselten Clients wieder “einzufangen” und mit KSC zu verwalten.

Ich vermute, hier bleibt dann nichts andere übrig, als Bitlocker auf den betroffenen Clients zu deaktivieren und über die KSC Richtlinie wieder zu aktivieren, richtig?

Posted

… Hier stoßen wir nun natürlich auf allerlei Probleme, diese bereits verschlüsselten Clients wieder “einzufangen” und mit KSC zu verwalten.

Ich vermute, hier bleibt dann nichts andere übrig, als Bitlocker auf den betroffenen Clients zu deaktivieren und über die KSC Richtlinie wieder zu aktivieren, richtig?


Ja, leider.
Das Problem haben wir ganz oft bei unseren Kunden. Teilweise ist es auch gar nicht so einfach zu erkennen, ob und über welchen Weg ein Laufwerk verschlüsselt wurde.

Teilweise werden Geräte schon verschlüsselt ausgeliefert oder/und die lokale Anzeige wurde per GPO unterbunden.

Zuverlässig zeigt den bitlocker-Status der Kommandozeilen-Befehl manage-bde an:
    => manage-bde -status
    => manage-bde X: -off (entschlüsseln)

Das ist auch das, was du über den Verschlüsselungsmonitor über die lokale KES-GUI angezeigt bekommst:

 

Grüße
​​​​​​​Alex

Posted

OK, vielen Dank..es ist also leider wieder einmal nicht so einfach, wie gedacht 😀

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...