BitLocker per GPO

Laufwerksverschlüsselung zentral ausrollen und Recovery-Keys im AD speichern.

← Zurück zum Wiki
Voraussetzungen GPO-Konfiguration Ausrollen Recovery

Voraussetzungen

Was muss vorhanden sein, bevor BitLocker per GPO ausgerollt werden kann.

Hardware

TPM-Chip (Version 1.2 oder höher, empfohlen 2.0) in allen Zielrechnern. Ohne TPM ist BitLocker nur mit zusätzlichem Startschlüssel (USB) oder Passwort möglich – das muss in der GPO separat aktiviert werden.

Betriebssystem

Windows 10/11 Pro, Enterprise oder Education. Die Home-Edition unterstützt kein BitLocker (aber die abgespeckte Geräteverschlüsselung). Windows Server ab 2012 R2.

Active Directory Schema-Erweiterung

Damit Recovery-Keys im AD gespeichert werden können, muss das AD-Schema die BitLocker-Attribute unterstützen. Ab Windows Server 2012 ist das Schema standardmäßig vorhanden. Ältere Umgebungen benötigen eine Schema-Erweiterung.

BitLocker-Feature installieren (Server)

Install-WindowsFeature BitLocker -IncludeManagementTools -Restart

RSAT BitLocker Recovery Tool

Ermöglicht das Auslesen von Recovery-Keys aus AD-Computerobjekten.

Install-WindowsFeature RSAT-Feature-Tools-BitLocker-BdeAducExt

GPO-Konfiguration

Diese Richtlinien steuern das BitLocker-Verhalten auf allen Domänenrechnern.

Verschlüsselungsmethode und -stärke festlegen

Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → BitLocker-Laufwerkverschlüsselung → Verschlüsselungsmethode und Verschlüsselungsstärke auswählen
Empfehlung: XTS-AES 256-Bit für Betriebssystemlaufwerke und feste Datenträger. AES-CBC 256-Bit für Wechseldatenträger (Kompatibilität).

Recovery-Key im AD speichern

→ Betriebssystemlaufwerke → Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können
Aktivieren und "Wiederherstellungsinformationen in AD DS speichern" auswählen. Zusätzlich: "BitLocker nicht aktivieren, bis Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS gespeichert werden" aktivieren – damit geht kein Key verloren.

TPM-Startprüfung konfigurieren

→ Betriebssystemlaufwerke → Zusätzliche Authentifizierung beim Start anfordern
Aktivieren. "BitLocker ohne kompatibles TPM zulassen" nur einschalten, wenn Rechner ohne TPM vorhanden sind. Standardmäßig: Nur TPM.

Verschlüsselung automatisch starten

→ Betriebssystemlaufwerke → Nur verwendeten Speicherplatz verschlüsseln
Schneller als Vollverschlüsselung. Für neue Rechner empfohlen. Bei bereits genutzten Rechnern: Vollverschlüsselung sicherer, da gelöschte Daten ebenfalls verschlüsselt werden.

BitLocker ausrollen

Nach der GPO-Konfiguration die Verschlüsselung auf den Clients aktivieren.

BitLocker-Status aller Laufwerke prüfen

manage-bde -status

BitLocker manuell aktivieren (C: Laufwerk)

# Mit TPM – lautlos ohne Benutzerinteraktion Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -TpmProtector Add-BitLockerKeyProtector -MountPoint "C:" -RecoveryPasswordProtector

BitLocker per Script auf allen Clients aktivieren

Als Anmeldeskript oder per GPO-Startskript verteilen.

# Prüfen ob bereits verschlüsselt $status = Get-BitLockerVolume -MountPoint "C:" if ($status.ProtectionStatus -eq "Off") { Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -TpmProtector -SkipHardwareTest Add-BitLockerKeyProtector -MountPoint "C:" -RecoveryPasswordProtector # Recovery-Key ins AD sichern $key = (Get-BitLockerVolume -MountPoint "C:").KeyProtector | Where-Object {$_.KeyProtectorType -eq "RecoveryPassword"} Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $key.KeyProtectorId }

Verschlüsselungsfortschritt prüfen

manage-bde -status C:

Recovery & Troubleshooting

Wenn ein Rechner den Recovery-Key verlangt oder BitLocker Probleme macht.

Recovery-Key aus dem AD auslesen

Geht über die ADUC-Konsole (BitLocker-Tab am Computerobjekt) oder per PowerShell.

# Recovery-Key eines Computers aus AD lesen Get-ADObject -Filter {objectclass -eq 'msFVE-RecoveryInformation'} -SearchBase "CN=COMPUTERNAME,OU=Clients,DC=domain,DC=local" -Properties msFVE-RecoveryPassword | Select-Object @{N='RecoveryKey';E={$_.'msFVE-RecoveryPassword'}}

Recovery-Key anhand der ID finden

Der Benutzer sieht am Recovery-Screen eine Key-ID. Damit lässt sich der passende Key finden.

# Die ersten 8 Zeichen der Key-ID reichen Get-ADObject -Filter {objectclass -eq 'msFVE-RecoveryInformation'} -Properties msFVE-RecoveryPassword | Where-Object {$_.DistinguishedName -like "*XXXXXXXX*"} | Select-Object @{N='Computer';E={($_.DistinguishedName -split ',')[1]}}, @{N='Key';E={$_.'msFVE-RecoveryPassword'}}

BitLocker vorübergehend pausieren

Nützlich vor BIOS-Updates oder Hardware-Änderungen, die einen Recovery-Screen auslösen würden.

# Für den nächsten Neustart pausieren Suspend-BitLocker -MountPoint "C:" -RebootCount 1

BitLocker komplett deaktivieren

Disable-BitLocker -MountPoint "C:"
⚠️
Wichtig: Vor BIOS-Updates, Mainboard-Tausch oder größeren Hardware-Änderungen immer BitLocker pausieren (Suspend-BitLocker). Sonst verlangt der Rechner beim nächsten Start den Recovery-Key, weil sich die TPM-Messwerte geändert haben.