Bitlocker mit PIN und AD Recoverykey remote aktivieren

[Busfan 0]

Hallo,

 

ich würde Bitlocker gerne remote via cmd oder Powershell aktivieren.

Die Domain ist korrekt vorbereitet und wenn die Steps manuell am Client ausgeführt werden funktioniert auch alles, inkl. Hinterlegung des Recoverykeys im AD.

 

Versucht habe ich:

manage-bde -on C: -EncryptionMethod aes256 -TPMandPIN -SkipHardwareTest

Fehlermeldung:

Für die Gruppenrichtlinieneinstellung muss vor dem Verschlüsseln des Laufwerks ein Wiederherstellungskennwort angegeben werden

 

 

Nach ausführen des oben angeführten Befehls sehe ich die ID > dann habe ich folgendes versucht:

Manage-bde -protectors -adbackup c: id: {xxxx}

Fehlermeldung:

Die angegebene Schlüsselschutzvorrichtung kann nicht für den Vorgang  verwendet werden.

 

Wie lautet der korrekte Befehl?

 

Danke!

 

[NorbertFe 794]

Wie sind deine policies denn konfiguriert?

[Busfan 0]

@NorbertFe 

per GPO's, oder was genau willst du wissen? Die Policies funktionieren schon richtig da es manuell ja funktioniert. Mir fehlt nur bei dem Befehl die richtige Syntax um anzugeben, dass der Key im AD beim Computerkonto hinterlegt wird.

[Sunny61 501]

Lt. https://www.gruppenrichtlinien.de/artikel/bitlocker-mit-tpm-einrichten-speicherung-des-wiederherstellungsschluessel-im-active-directory

lautet der Befehl:

 

manage-bde -on C: -RecoveryPassword -SkipHardwareTest

 

Auch kannst Du den Befehl per Task oder Script absetzen, lies am besten den Artikel und stell alles so ein, wie es im Artikel auch eingestellt ist. Anschließend mit einem Rechner testen.

[NorbertFe 794]

vor 40 Minuten schrieb Busfan:

@NorbertFe 

per GPO's, oder was genau willst du wissen? Die Policies funktionieren schon richtig da es manuell ja funktioniert. Mir fehlt nur bei dem Befehl die richtige Syntax um anzugeben, dass der Key im AD beim Computerkonto hinterlegt wird.

Ich frage nach den gpos, weil du tpm und pin setzen willst und überlege gerade, wie du die pin setzt.

[Busfan 0]

@NorbertFe

es wäre auch ok für mich, wenn in einer 2. Abfrage der PIN manuell eingegeben werden muss.

Ich denke die wichtigsten Settings der GPO:

disable Firewire

disable standby

Recoverkey to AD

allow enhanced PINs

require startup PIN with TPM

[NorbertFe 794]

Ich habe noch nirgends mal ein Beispiel gefunden, das die pin Remote übergeben hat. Und auch sonst hättest du ja bei allen die selbe pin, was evtl. Auch nicht sinnvoll ist. 

[tesso 176]

https://www.infrastrukturhelden.de/microsoft-infrastruktur/active-directory/bitlocker-mit-windows-10-und-power-shell/

 

Dort wird beschrieben wie du den PIN per Powershell setzen kannst. 

[Busfan 0]

Wie gesagt, es darf ruhig fürs erste die gleiche PIN sein und diese kann von mir aus auch manuell eingegeben werden beim absetzen des Befehls. Das ist dann das Projekt unseres Lehrlings das zu setzen und die User dazu zu bewegen den Standard PIN zu ändern.

 

@tesso danke, erster Versuch sieht erfolgreich aus mit dem LINK von dir

 

[NilsK 1,217]

Moin,

 

vor 19 Minuten schrieb Busfan:

und die User dazu zu bewegen den Standard PIN zu ändern

gerade wenn es um einen Azubi geht, sollte man nicht mit solchen Krücken arbeiten, die der Azubi dann für normal oder Best Practice hält. Standardkennwörter sind böse, gerade an einer so wichtigen Stelle. Wenn ihr schon mit einem Skript arbeitet, lässt sich das ja auch besser machen.

 

Einen PIN anzufordern, aber überall denselben zu setzen, ist doch ein kapitaler Widerspruch. Zumal es an der Stelle keine Option gibt, das Ändern technisch zu erzwingen. Dann lieber auf einen PIN verzichten und Bitlocker auf die Szenarien beschränken, für die es ursprünglich gedacht ist. (Meine Meinung dazu: Ein vom Benutzer erzeugter PIN ist kaum jemals sicherer als das Windows-Kennwort, erzeugt also keinen Sicherheitsgewinn.)

 

Gruß, Nils