Busfan 1 Geschrieben 12. Oktober 2020 Melden Teilen Geschrieben 12. Oktober 2020 Hallo, ich würde Bitlocker gerne remote via cmd oder Powershell aktivieren. Die Domain ist korrekt vorbereitet und wenn die Steps manuell am Client ausgeführt werden funktioniert auch alles, inkl. Hinterlegung des Recoverykeys im AD. Versucht habe ich: manage-bde -on C: -EncryptionMethod aes256 -TPMandPIN -SkipHardwareTest Fehlermeldung: Für die Gruppenrichtlinieneinstellung muss vor dem Verschlüsseln des Laufwerks ein Wiederherstellungskennwort angegeben werden Nach ausführen des oben angeführten Befehls sehe ich die ID > dann habe ich folgendes versucht: Manage-bde -protectors -adbackup c: id: {xxxx} Fehlermeldung: Die angegebene Schlüsselschutzvorrichtung kann nicht für den Vorgang verwendet werden. Wie lautet der korrekte Befehl? Danke! Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 12. Oktober 2020 Melden Teilen Geschrieben 12. Oktober 2020 Wie sind deine policies denn konfiguriert? Zitieren Link zu diesem Kommentar
Busfan 1 Geschrieben 12. Oktober 2020 Autor Melden Teilen Geschrieben 12. Oktober 2020 @NorbertFe per GPO's, oder was genau willst du wissen? Die Policies funktionieren schon richtig da es manuell ja funktioniert. Mir fehlt nur bei dem Befehl die richtige Syntax um anzugeben, dass der Key im AD beim Computerkonto hinterlegt wird. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 12. Oktober 2020 Melden Teilen Geschrieben 12. Oktober 2020 Lt. https://www.gruppenrichtlinien.de/artikel/bitlocker-mit-tpm-einrichten-speicherung-des-wiederherstellungsschluessel-im-active-directory lautet der Befehl: manage-bde -on C: -RecoveryPassword -SkipHardwareTest Auch kannst Du den Befehl per Task oder Script absetzen, lies am besten den Artikel und stell alles so ein, wie es im Artikel auch eingestellt ist. Anschließend mit einem Rechner testen. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 12. Oktober 2020 Melden Teilen Geschrieben 12. Oktober 2020 vor 40 Minuten schrieb Busfan: @NorbertFe per GPO's, oder was genau willst du wissen? Die Policies funktionieren schon richtig da es manuell ja funktioniert. Mir fehlt nur bei dem Befehl die richtige Syntax um anzugeben, dass der Key im AD beim Computerkonto hinterlegt wird. Ich frage nach den gpos, weil du tpm und pin setzen willst und überlege gerade, wie du die pin setzt. Zitieren Link zu diesem Kommentar
Busfan 1 Geschrieben 13. Oktober 2020 Autor Melden Teilen Geschrieben 13. Oktober 2020 @NorbertFe es wäre auch ok für mich, wenn in einer 2. Abfrage der PIN manuell eingegeben werden muss. Ich denke die wichtigsten Settings der GPO: disable Firewire disable standby Recoverkey to AD allow enhanced PINs require startup PIN with TPM Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 13. Oktober 2020 Melden Teilen Geschrieben 13. Oktober 2020 Ich habe noch nirgends mal ein Beispiel gefunden, das die pin Remote übergeben hat. Und auch sonst hättest du ja bei allen die selbe pin, was evtl. Auch nicht sinnvoll ist. 1 Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 13. Oktober 2020 Melden Teilen Geschrieben 13. Oktober 2020 https://www.infrastrukturhelden.de/microsoft-infrastruktur/active-directory/bitlocker-mit-windows-10-und-power-shell/ Dort wird beschrieben wie du den PIN per Powershell setzen kannst. Zitieren Link zu diesem Kommentar
Busfan 1 Geschrieben 13. Oktober 2020 Autor Melden Teilen Geschrieben 13. Oktober 2020 Wie gesagt, es darf ruhig fürs erste die gleiche PIN sein und diese kann von mir aus auch manuell eingegeben werden beim absetzen des Befehls. Das ist dann das Projekt unseres Lehrlings das zu setzen und die User dazu zu bewegen den Standard PIN zu ändern. @tesso danke, erster Versuch sieht erfolgreich aus mit dem LINK von dir Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 13. Oktober 2020 Melden Teilen Geschrieben 13. Oktober 2020 Moin, vor 19 Minuten schrieb Busfan: und die User dazu zu bewegen den Standard PIN zu ändern gerade wenn es um einen Azubi geht, sollte man nicht mit solchen Krücken arbeiten, die der Azubi dann für normal oder Best Practice hält. Standardkennwörter sind böse, gerade an einer so wichtigen Stelle. Wenn ihr schon mit einem Skript arbeitet, lässt sich das ja auch besser machen. Einen PIN anzufordern, aber überall denselben zu setzen, ist doch ein kapitaler Widerspruch. Zumal es an der Stelle keine Option gibt, das Ändern technisch zu erzwingen. Dann lieber auf einen PIN verzichten und Bitlocker auf die Szenarien beschränken, für die es ursprünglich gedacht ist. (Meine Meinung dazu: Ein vom Benutzer erzeugter PIN ist kaum jemals sicherer als das Windows-Kennwort, erzeugt also keinen Sicherheitsgewinn.) Gruß, Nils 2 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.