nutzer123456 0 Geschrieben 6. Dezember 2020 Melden Teilen Geschrieben 6. Dezember 2020 Hallo Forum! Ich bräuchte Hilfe bei der Ausführung der Bitlocker Verschlüsselung. ich hab mir bisher folgendes zusammen "gegoogelt": Enable-BitLocker -mountpoint C: -EncryptionMethod XtsAes256 -TpmProtector -UsedSpaceOnly -SkipHardwareTest -RecoveryKeyPath "D:\c\clientsachen\Bitlocker\" Leider läuft dies immer darauf hinaus das ich noch einen Recoverykeyprotector eingeben soll. Ich dachte das wäre die Info ob das Kennwort im AD gespeichert wird? Ist das nur ein Boolean? Wie bekomm ich den Befehl zum laufen? Freu mich auf schnelle Hilfe. Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 6. Dezember 2020 Melden Teilen Geschrieben 6. Dezember 2020 Hast Du Dir denn schon mal die Hilfe für Enable-BitLocker durchgelesen? Ganz besonders das Beispiel #2 und den Abschnitt über den Parameter -RecoveryKeyProtector? Zitieren Link zu diesem Kommentar
nutzer123456 0 Geschrieben 6. Dezember 2020 Autor Melden Teilen Geschrieben 6. Dezember 2020 Spielt die Reihenfolge der Parameter hier eine Rolle? Ich bekomm eine Fehlermeldung: Parametersatz kann nicht aufgelöst werden. ParameterBindingException Enable-BitLocker -mountpoint C: -EncryptionMethod XtsAes256 -TpmProtector -UsedSpaceOnly -SkipHardwareTest -RecoveryKeyPath "D:\c\clientsachen\Bitlocker\" -RecoveryKeyprotector Wenn ich den Parameter -TpmProtector entferne läuft das Ganze durch. Als Key Protector wird dann TPM und ExternalKey angegeben. Also genau das was ich brauch. Laut der Beschreibung: -TpmProtector Indicates that BitLocker uses the TPM as a protector for the volume encryption key. Wie kommt man denn hier an Recovery Infos? Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 6. Dezember 2020 Melden Teilen Geschrieben 6. Dezember 2020 Die Reihenfolge nicht, aber die Kombination. Wenn Du Dir die Hilfe angesehen hast, wirst Du hoffentlich bemerkt haben, dass Du -TpmProtector nicht mit -RecoveryKeyprotector kombinieren kannst. Die sind nicht im gleichen Parameter-Set verfügbar. Wo willst Du denn Deinen Recovery-Key speichern? Im TPM-Chip des Computers oder in einer Datei? Zitieren Link zu diesem Kommentar
nutzer123456 0 Geschrieben 6. Dezember 2020 Autor Melden Teilen Geschrieben 6. Dezember 2020 Aktuell speicher ich die RecoveryKeys in Datei für die Dokumentation. Wenn ich Sie im TPM-Chip speichere, müsste ich sicherstellen das der Nutzer nicht dran kommt und wie funktioniert dann das Recovery? Ich denke ich bräuchte hier mehr Information zu dem Thema. Wenn mir jemand Lektüre zu Bitlocker empfehlen kann, hilft mir das bestimmt weiter. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 6. Dezember 2020 Melden Teilen Geschrieben 6. Dezember 2020 Ich denke du willst, dass das im ad landet? Zitieren Link zu diesem Kommentar
nutzer123456 0 Geschrieben 6. Dezember 2020 Autor Melden Teilen Geschrieben 6. Dezember 2020 AD ! Ja aber dann müsste ich es einmal komplett durchspielen. Enable testen ob der Bitlocker wirklich die Platte sperrt und die Daten sicher sind. Recovery Wie gesagt ich bräuchte ein ausführliche Anleitung um es zu verstehen. Da sind defenitiv Lücken bei mir. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 6. Dezember 2020 Melden Teilen Geschrieben 6. Dezember 2020 Dazu müsste man ja erstmal verstehen, was dein Ziel ist. Das steht hier nämlich nirgends. Zitieren Link zu diesem Kommentar
nutzer123456 0 Geschrieben 6. Dezember 2020 Autor Melden Teilen Geschrieben 6. Dezember 2020 Da die Rechner immer kleiner werden und Laptops auch mal abhanden kommen können, muss sichergestellt werden, dass die Daten verschlüsselt sind und für Fremde nicht zugänglich. Also Bitlocker aktivieren, damit die Festplatte nur durch formatieren wieder nutzbar wird. Die Rechner sind alle Mitglied im AD und es wäre hilfreich wenn sich Bitlocker automatisch über die Domäne verwaltet. Da fehlt mir aber das Wissen zu. Aktuell also der kleine Weg : Win10 Image aufspielen und manuell Bitlocker akrivieren via Mini-Script oben. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 6. Dezember 2020 Melden Teilen Geschrieben 6. Dezember 2020 (bearbeitet) Und wo genau hakt es jetzt? Wenn der key im ad steht, brauchst du ihn doch nicht nach d schreiben. und tpm würde ich bei mobile devices sowieso immer mit einer pin kombinieren. bearbeitet 6. Dezember 2020 von NorbertFe Zitieren Link zu diesem Kommentar
nutzer123456 0 Geschrieben 6. Dezember 2020 Autor Melden Teilen Geschrieben 6. Dezember 2020 https://www.windowspro.de/roland-eich/bitlocker-recovery-keys-active-directory-speichern-auslesen Wenn ich das bisher richtig verstehe muss ich zur Einrichtung der Funktionalität im AD GPOs konfigurieren. Und zur Wiederherstellung benötigt es zusätzlich Serverrollen. Beides ist noch nicht eingerichtet, da in dem Bereich den Server jemand anderes betreut. Also verschlüssel ich, speicher den Key und irgendein armer Tropf muss den Key dann später mit manage bde ins AD bringen. Erstmal Danke für die Zeit. Ich werde das nochmal durchdenken und optimieren. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 6. Dezember 2020 Melden Teilen Geschrieben 6. Dezember 2020 vor 54 Minuten schrieb nutzer123456: Wenn ich das bisher richtig verstehe muss ich zur Einrichtung der Funktionalität im AD GPOs konfigurieren. Wäre sinnvoll. vor 54 Minuten schrieb nutzer123456: Und zur Wiederherstellung benötigt es zusätzlich Serverrollen. Naja... vor 55 Minuten schrieb nutzer123456: Also verschlüssel ich, speicher den Key und irgendein armer Tropf muss den Key dann später mit manage bde ins AD bringen. Hmm. Toll. ;) Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 6. Dezember 2020 Melden Teilen Geschrieben 6. Dezember 2020 vor 5 Stunden schrieb nutzer123456: Also verschlüssel ich, speicher den Key und irgendein armer Tropf muss den Key dann später mit manage bde ins AD bringen. Wenn ich das hier richtig gelesen habe, brauchst Du nicht bis später warten, sondern kannst die Wiederherstellungskeys gleich ins AD bringen. Es muss über ein Script oder GPO ablaufen. https://www.gruppenrichtlinien.de/artikel/bitlocker-mit-tpm-einrichten-speicherung-des-wiederherstellungsschluessel-im-active-directory Das was Du Rolle nennst, sind nur Remote Verwaltungs Features und Viewer. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.