Hallo zusammen,
wir bereiten bei uns gerade die Einführung von Win10 vor. In dem Zusammenhang steht auch BitLocker im Raum.
Mein Ansatz ist der: Wir verschlüsseln mit Bitlocker und stützen uns dabei auf TPM. Um die ganzen Wiederhestellungsinfos nicht gesondert verwalten zu müssen, speichern wir diese im AD. Anleitungen gibt es dazu genüge. Die Bitlocker-Infos landen auch im AD und sind auslesbar. Die TPM Owner Infos kommen aber nicht im AD an. Nach etwas Recherche habe ich nun schon herausgefunden, dass MS hier etwas mit Win10 1607 geändert hat, so dass das beobachtete Verhalten normal ist.
Ich bin mir jetzt nur nicht ganz sicher, ob ich es richtig verstanden habe. Nach meinem Verständnis, brauche ich (zumindest für die Fälle, die mir einfallen) diese Infos auch gar nicht.
Bitlocker verschlüsselt die Platte. Beim Systemstart gibt TPM den Schlüssel frei, so dass auf die Platte zugegriffen werden kann.
1. Wenn das Gerät gestohlen wird (und es aus ist), kann der Dieb nichts damit anfangen: An Windows kann er sich ohne Passwort nicht anmelden und das Passwort eines lokalen Users kann er nicht auf den üblichen Wegen knacken. Der Schutz ist also gegeben.
2. Wenn das Gerät kaputt geht und ich die Platte in ein anderes Gerät einbauen muss, reichen mir die BitLocker-Infos, die ins AD geschrieben wurden, um auf die Platte zugreifen zu können. Der Notfall wäre also abgedeckt.
3. Wenn der TPM-Chip kaputt gehen sollte, siehe 2.
Wo fehlen mir also die TPM Owner Infos? In welchen Fällen, könnte ich sie konkret brauchen?
Gruß
Tim