Bitlocker mit USB sicher in einer virtuellen Maschine verwenden

Microsoft meint:

Der BitLocker-Schutz kann beeinträchtigt werden, wenn der USB-Systemstartschlüssel nicht vom Computer entfernt wird […].

Genau vor dem Problem stehe ich natürlich bei meinem virtualisierten und mit Bitlocker verschlüsselten Homeserver.
Also habe ich mir etwas überlegt…

Erstmal wird das Stick-Image verschlüsselt:
# gpg -c /var/lib/vz/images/100/bek.img

Jetzt zweimal das gleiche (sichere…) Kennwort eingeben und es wird eine verschlüsselte Datei angelegt: /var/lib/vz/images/100/bek.img.gpg

Die ursprüngliche Datei kann jetzt (sicher) gelöscht werden:
# shred -z -u $img 2> /dev/null

Vor dem Start der WHS-VM muss der Stick jetzt natürlich wieder entschlüsselt werden und nach dem Start wieder entfernt und gelöscht werden. Das erledigt für mich das folgende Script:

/usr/bin/startwhs.sh

#!/bin/bash
vmid=100
img='/var/lib/vz/images/100/bek.img'
#Nur weitermachen, wenn die KVM noch nicht laeuft
out=`qm status $vmid 2>&1`
if [ "$out" != "status: running" ]; then #KVM laeuft nicht
echo "WHS not running"
#img auf Verdacht sicher loeschen
shred -z -u $img 2> /dev/null
#img entschluesseln
echo "img wird entschluesselt"
gpg $img.gpg
#WHS starten
echo "WHS is starting"
qm start $vmid
#Einen Moment warten
echo "waiting..."
sleep 10
#Stick 'abziehen'
echo "removing stick"
pvesh create /nodes/promo/qemu/100/monitor --command 'device_del bitlocker_device'
#img sicher loeschen
echo "shredding img file"
shred -z -u $img
echo "done"
else
echo "WHS already running"
fi

Es ist zwar etwas unpraktisch, immer erst eine SSH-Session zu starten, um das Script auszuführen und dann das Entschlüsselungskennwort einzugeben, aber wenn es der Sicherheit dient, ist es mir den Aufwand nach dem monatlichen Patchday wert.

2 Antworten auf „Bitlocker mit USB sicher in einer virtuellen Maschine verwenden“

  1. Hallo genau das was ich gesucht habe. Super Job.
    Eine Sache hat bei mir aber immer wieder nicht funktioniert, das Abziehen des USB Sticks. Hierzu die Zeile, wie ich sie in der vmid.conf ergänzt habe… 😉
    Wie man einen USB Image via File einbindet ist hier ja auch weiter unten beschrieben, wie es genau geht nochmal hier:
    „args: -device piix3-usb-uhci,addr=0x18 -drive id=bitlocker_device,file=/var/lib/vz/images/104/bek.img,if=none -device usb-storage,id=bitlocker_device,drive=bitlocker_device“

    Hier ist nur nach if=none -…. ,id=your_devicename,…. ergänzt. Wenn das wie im Blog weiter unten beschrieben fehlt, wird der Stick nicht ausgeworfen….
    VG
    Sven Kampe

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.