Jump to content
AIRNESS023

Bitlocker für Removable Drives + TPM + Server 2016

Recommended Posts

Hallo Leute,

 

da ich von meiner hausinternen Technik nicht gut unterstützt werde und es selbst leider nicht testen kann, hoffe ich auf Eure Unterstützung.

 

Die Anforderung ist dass USB Festplatten mit Bitlocker verschlüsselt werden sollen. Auf diesen Festplatten läuft über WindowsServer Backup ein Sicherungsjob. 

Der BitLocker Key soll im AD gespeichert werden und die Festplatte soll "automatisch" nach dem Anstecken verfügbar sein, ohne dass ein Bitlocker PW eingegeben werden muss. 

Die Server haben einen TPM 1.2 Chip installiert. 

 

Wie verhält sich hier Bitlocker wenn ein TPM Chip zu Verfügung steht? Ist es dennoch notwendig ein Passwort einzugeben oder ist der Zugriff nach dem Anstecken direkt möglich? 

Das Speichern des BitLocker Keys sollte mit GPO funktionieren (GPO BitLocker Drive Encryption / Choose how Bitlocker-protected removable drives can be recovered) - korrekt?

 

 

Danke für Eure Hilfe!!

 

Share this post


Link to post
Share on other sites

Hallo,

 

Bitlocker mit TPM schützt nur das Systemlaufwerk. Die Schlüssel der anderen lokalen Laufwerke werden für die automatische Entsperrung in der Registry gespeichert, die auf dem Systemlaufwerk liegt.

Bitlocker "To go"  (für Wechselmedien) funktioniert meiner Meinung nach nur mit Password. Eventuell lässt sich der Schlüssel auch  in der  Registry speichern.

 

Will sagen: Wenn Du nur das  USB-Laufwerk sichern willst, hat das AD oder der TPM damit nichts zu schaffen. Das geht so nicht.

Share this post


Link to post
Share on other sites

Servus Zahni,

 

vielen Dank für deine schnelle Rückmeldung. Ja das Ziel sind ausschließlich USB Festplatten. Daher wird so wie ich es verstehe BitLocker to GO verwendet und nicht BitLocker. 

Daher würde die Group Policy Computer Configuration / Admin Templates / Windows Components / BitlockerDrive Encryption / Removable Data Drives nicht ziehen?

Da gäbe es einige Optionen (wie auch Configure use of Passwords und Choose how BitLocker Portected removeable drives can be recovered).

Leider seh ich die Einstellungsmöglichkeiten auf Grund eines fehlenden Serverzugriffs nicht :-(

 

 

Share this post


Link to post
Share on other sites

Hallo,

manche Backupsoftware erlaubt die Ausführung eines Skript bevor die Sicherung läuft. Hier könnte man ggf. über Powershell oder manage-bde die USB Festplatte freischalten. Ob das Windows Backup das kann... keine Ahnung :)

Nur als Idee gedacht :D

 

Share this post


Link to post
Share on other sites

Total OT - ich würde nie auf die Idee kommen, mit USB Platten am Server zu hantieren...

 

Andererseits - besser als gar kein Backup

 

Mit dem kostenlosen Veeam kann man das Backup verschlüsseln....

 

Ich würde jetzt mal die Frage nach dem Wert der Daten ins Spiel bringen - danach richtet sich die Auswahl den Targets / Mediums....

Share this post


Link to post
Share on other sites
vor 10 Stunden schrieb Nobbyaushb:

Andererseits - besser als gar kein Backup.

Wie wahr... Alles ist besser als nichts :-)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...