Busfan 0 Posted October 12, 2020 Report Share Posted October 12, 2020 Hallo, ich würde Bitlocker gerne remote via cmd oder Powershell aktivieren. Die Domain ist korrekt vorbereitet und wenn die Steps manuell am Client ausgeführt werden funktioniert auch alles, inkl. Hinterlegung des Recoverykeys im AD. Versucht habe ich: manage-bde -on C: -EncryptionMethod aes256 -TPMandPIN -SkipHardwareTest Fehlermeldung: Für die Gruppenrichtlinieneinstellung muss vor dem Verschlüsseln des Laufwerks ein Wiederherstellungskennwort angegeben werden Nach ausführen des oben angeführten Befehls sehe ich die ID > dann habe ich folgendes versucht: Manage-bde -protectors -adbackup c: id: {xxxx} Fehlermeldung: Die angegebene Schlüsselschutzvorrichtung kann nicht für den Vorgang verwendet werden. Wie lautet der korrekte Befehl? Danke! Quote Link to post
NorbertFe 794 Posted October 12, 2020 Report Share Posted October 12, 2020 Wie sind deine policies denn konfiguriert? Quote Link to post
Busfan 0 Posted October 12, 2020 Author Report Share Posted October 12, 2020 @NorbertFe per GPO's, oder was genau willst du wissen? Die Policies funktionieren schon richtig da es manuell ja funktioniert. Mir fehlt nur bei dem Befehl die richtige Syntax um anzugeben, dass der Key im AD beim Computerkonto hinterlegt wird. Quote Link to post
Sunny61 501 Posted October 12, 2020 Report Share Posted October 12, 2020 Lt. https://www.gruppenrichtlinien.de/artikel/bitlocker-mit-tpm-einrichten-speicherung-des-wiederherstellungsschluessel-im-active-directory lautet der Befehl: manage-bde -on C: -RecoveryPassword -SkipHardwareTest Auch kannst Du den Befehl per Task oder Script absetzen, lies am besten den Artikel und stell alles so ein, wie es im Artikel auch eingestellt ist. Anschließend mit einem Rechner testen. Quote Link to post
NorbertFe 794 Posted October 12, 2020 Report Share Posted October 12, 2020 vor 40 Minuten schrieb Busfan: @NorbertFe per GPO's, oder was genau willst du wissen? Die Policies funktionieren schon richtig da es manuell ja funktioniert. Mir fehlt nur bei dem Befehl die richtige Syntax um anzugeben, dass der Key im AD beim Computerkonto hinterlegt wird. Ich frage nach den gpos, weil du tpm und pin setzen willst und überlege gerade, wie du die pin setzt. Quote Link to post
Busfan 0 Posted October 13, 2020 Author Report Share Posted October 13, 2020 @NorbertFe es wäre auch ok für mich, wenn in einer 2. Abfrage der PIN manuell eingegeben werden muss. Ich denke die wichtigsten Settings der GPO: disable Firewire disable standby Recoverkey to AD allow enhanced PINs require startup PIN with TPM Quote Link to post
NorbertFe 794 Posted October 13, 2020 Report Share Posted October 13, 2020 Ich habe noch nirgends mal ein Beispiel gefunden, das die pin Remote übergeben hat. Und auch sonst hättest du ja bei allen die selbe pin, was evtl. Auch nicht sinnvoll ist. 1 Quote Link to post
tesso 176 Posted October 13, 2020 Report Share Posted October 13, 2020 https://www.infrastrukturhelden.de/microsoft-infrastruktur/active-directory/bitlocker-mit-windows-10-und-power-shell/ Dort wird beschrieben wie du den PIN per Powershell setzen kannst. Quote Link to post
Busfan 0 Posted October 13, 2020 Author Report Share Posted October 13, 2020 Wie gesagt, es darf ruhig fürs erste die gleiche PIN sein und diese kann von mir aus auch manuell eingegeben werden beim absetzen des Befehls. Das ist dann das Projekt unseres Lehrlings das zu setzen und die User dazu zu bewegen den Standard PIN zu ändern. @tesso danke, erster Versuch sieht erfolgreich aus mit dem LINK von dir Quote Link to post
NilsK 1,217 Posted October 13, 2020 Report Share Posted October 13, 2020 Moin, vor 19 Minuten schrieb Busfan: und die User dazu zu bewegen den Standard PIN zu ändern gerade wenn es um einen Azubi geht, sollte man nicht mit solchen Krücken arbeiten, die der Azubi dann für normal oder Best Practice hält. Standardkennwörter sind böse, gerade an einer so wichtigen Stelle. Wenn ihr schon mit einem Skript arbeitet, lässt sich das ja auch besser machen. Einen PIN anzufordern, aber überall denselben zu setzen, ist doch ein kapitaler Widerspruch. Zumal es an der Stelle keine Option gibt, das Ändern technisch zu erzwingen. Dann lieber auf einen PIN verzichten und Bitlocker auf die Szenarien beschränken, für die es ursprünglich gedacht ist. (Meine Meinung dazu: Ein vom Benutzer erzeugter PIN ist kaum jemals sicherer als das Windows-Kennwort, erzeugt also keinen Sicherheitsgewinn.) Gruß, Nils 2 Quote Link to post
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.