Bitlocker mit TPM via PS aktivieren und Kennwort als Datei speichern

[nutzer123456 0]

 Hallo Forum!

 

Ich  bräuchte Hilfe bei der Ausführung der Bitlocker Verschlüsselung.

 

ich hab mir bisher folgendes zusammen "gegoogelt":

 

Enable-BitLocker -mountpoint C: -EncryptionMethod XtsAes256 -TpmProtector -UsedSpaceOnly -SkipHardwareTest -RecoveryKeyPath "D:\c\clientsachen\Bitlocker\"

Leider läuft dies immer darauf hinaus das ich noch einen Recoverykeyprotector eingeben soll. Ich dachte das wäre die Info ob das Kennwort im AD gespeichert wird? 

Ist das nur ein Boolean? Wie bekomm ich den Befehl zum laufen?

 

Freu mich auf schnelle Hilfe.

[BOfH_666 577]

Hast Du Dir denn schon mal die Hilfe für Enable-BitLocker durchgelesen? Ganz besonders das Beispiel #2 und den Abschnitt über den Parameter -RecoveryKeyProtector?

[nutzer123456 0]

Spielt die Reihenfolge der Parameter hier eine Rolle?

 

Ich bekomm eine Fehlermeldung:

Parametersatz kann nicht aufgelöst werden.

ParameterBindingException

Enable-BitLocker -mountpoint C: -EncryptionMethod XtsAes256 -TpmProtector -UsedSpaceOnly -SkipHardwareTest -RecoveryKeyPath "D:\c\clientsachen\Bitlocker\" -RecoveryKeyprotector

 

 

Wenn ich den Parameter -TpmProtector entferne läuft das Ganze durch.

Als Key Protector wird dann TPM und ExternalKey angegeben. Also genau das was ich brauch.

 

Laut der Beschreibung:

 

-TpmProtector

Indicates that BitLocker uses the TPM as a protector for the volume encryption key.

 

Wie kommt man denn hier an Recovery Infos?

 

[BOfH_666 577]

Die Reihenfolge nicht, aber die Kombination. Wenn Du Dir die Hilfe angesehen hast, wirst Du hoffentlich bemerkt haben, dass Du -TpmProtector nicht mit -RecoveryKeyprotector kombinieren kannst. Die sind nicht im gleichen Parameter-Set verfügbar. Wo willst Du denn Deinen Recovery-Key speichern? Im TPM-Chip des Computers oder in einer Datei?

[nutzer123456 0]

Aktuell speicher ich die RecoveryKeys in Datei für die Dokumentation.

 

Wenn ich Sie im TPM-Chip speichere, müsste ich sicherstellen das der Nutzer nicht dran kommt und wie funktioniert dann das Recovery?

Ich denke ich bräuchte hier mehr Information zu dem Thema.

 

Wenn mir jemand Lektüre zu Bitlocker empfehlen kann, hilft mir das bestimmt weiter.

 

[NorbertFe 2.034]

Ich denke du willst, dass das im ad landet?

[nutzer123456 0]

AD ! Ja aber dann müsste ich es einmal komplett durchspielen.

 

• Enable
• testen ob der Bitlocker wirklich die Platte sperrt und die Daten sicher sind.
• Recovery

Wie gesagt ich bräuchte ein ausführliche Anleitung um es zu verstehen. Da sind defenitiv Lücken bei mir.

 

[NorbertFe 2.034]

Dazu müsste man ja erstmal verstehen, was dein Ziel ist. Das steht hier nämlich nirgends.

[nutzer123456 0]

Da die Rechner immer kleiner werden und Laptops auch mal abhanden kommen können, muss sichergestellt werden, dass die Daten verschlüsselt sind und für Fremde nicht zugänglich.

 

Also Bitlocker aktivieren, damit die Festplatte nur durch formatieren wieder nutzbar wird.

 

Die Rechner sind alle Mitglied im AD und es wäre hilfreich wenn sich Bitlocker automatisch über die Domäne verwaltet.

Da fehlt mir aber das Wissen zu.

Aktuell also der kleine Weg :

 

Win10 Image aufspielen und manuell Bitlocker akrivieren via Mini-Script oben.

[NorbertFe 2.034]

Und wo genau hakt es jetzt? Wenn der key im ad steht, brauchst du ihn doch nicht nach d schreiben. und tpm würde ich bei mobile devices sowieso immer mit einer pin kombinieren.

bearbeitet 6. Dezember 2020 von NorbertFe

[nutzer123456 0]

https://www.windowspro.de/roland-eich/bitlocker-recovery-keys-active-directory-speichern-auslesen

 

Wenn ich das bisher richtig verstehe muss ich zur Einrichtung der Funktionalität im AD GPOs konfigurieren.

Und zur Wiederherstellung benötigt es zusätzlich Serverrollen.

 

Beides ist noch nicht eingerichtet, da in dem Bereich den Server jemand anderes betreut.

Also verschlüssel ich, speicher den Key und irgendein armer Tropf muss den Key dann später mit manage bde ins AD bringen.

 

Erstmal Danke für die Zeit. Ich werde das nochmal durchdenken und optimieren.

[NorbertFe 2.034]

vor 54 Minuten schrieb nutzer123456:

Wenn ich das bisher richtig verstehe muss ich zur Einrichtung der Funktionalität im AD GPOs konfigurieren.

Wäre sinnvoll.

 

vor 54 Minuten schrieb nutzer123456:

Und zur Wiederherstellung benötigt es zusätzlich Serverrollen.

Naja...

 

vor 55 Minuten schrieb nutzer123456:

Also verschlüssel ich, speicher den Key und irgendein armer Tropf muss den Key dann später mit manage bde ins AD bringen.

Hmm. Toll. ;)

[Sunny61 806]

vor 5 Stunden schrieb nutzer123456:

Also verschlüssel ich, speicher den Key und irgendein armer Tropf muss den Key dann später mit manage bde ins AD bringen.

Wenn ich das hier richtig gelesen habe, brauchst Du nicht bis später warten, sondern kannst die Wiederherstellungskeys gleich ins AD bringen. Es muss über ein Script oder GPO ablaufen. https://www.gruppenrichtlinien.de/artikel/bitlocker-mit-tpm-einrichten-speicherung-des-wiederherstellungsschluessel-im-active-directory

Das was Du Rolle nennst, sind nur Remote Verwaltungs Features und Viewer.