Jump to content

Bitlocker mit PIN und AD Recoverykey remote aktivieren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

 

ich würde Bitlocker gerne remote via cmd oder Powershell aktivieren.

Die Domain ist korrekt vorbereitet und wenn die Steps manuell am Client ausgeführt werden funktioniert auch alles, inkl. Hinterlegung des Recoverykeys im AD.

 

Versucht habe ich:

manage-bde -on C: -EncryptionMethod aes256 -TPMandPIN -SkipHardwareTest

Fehlermeldung:

Für die Gruppenrichtlinieneinstellung muss vor dem Verschlüsseln des Laufwerks ein Wiederherstellungskennwort angegeben werden

 

 

Nach ausführen des oben angeführten Befehls sehe ich die ID > dann habe ich folgendes versucht:

Manage-bde -protectors -adbackup c: id: {xxxx}

Fehlermeldung:

Die angegebene Schlüsselschutzvorrichtung kann nicht für den Vorgang  verwendet werden.

 

Wie lautet der korrekte Befehl?

 

Danke!

 

Link to post

Lt. https://www.gruppenrichtlinien.de/artikel/bitlocker-mit-tpm-einrichten-speicherung-des-wiederherstellungsschluessel-im-active-directory

lautet der Befehl:

 


manage-bde -on C: -RecoveryPassword -SkipHardwareTest

 

Auch kannst Du den Befehl per Task oder Script absetzen, lies am besten den Artikel und stell alles so ein, wie es im Artikel auch eingestellt ist. Anschließend mit einem Rechner testen.

Link to post
vor 40 Minuten schrieb Busfan:

@NorbertFe 

per GPO's, oder was genau willst du wissen? Die Policies funktionieren schon richtig da es manuell ja funktioniert. Mir fehlt nur bei dem Befehl die richtige Syntax um anzugeben, dass der Key im AD beim Computerkonto hinterlegt wird.

Ich frage nach den gpos, weil du tpm und pin setzen willst und überlege gerade, wie du die pin setzt.

Link to post

Wie gesagt, es darf ruhig fürs erste die gleiche PIN sein und diese kann von mir aus auch manuell eingegeben werden beim absetzen des Befehls. Das ist dann das Projekt unseres Lehrlings das zu setzen und die User dazu zu bewegen den Standard PIN zu ändern.

 

@tesso danke, erster Versuch sieht erfolgreich aus mit dem LINK von dir

 

Link to post

Moin,

 

vor 19 Minuten schrieb Busfan:

und die User dazu zu bewegen den Standard PIN zu ändern

gerade wenn es um einen Azubi geht, sollte man nicht mit solchen Krücken arbeiten, die der Azubi dann für normal oder Best Practice hält. Standardkennwörter sind böse, gerade an einer so wichtigen Stelle. Wenn ihr schon mit einem Skript arbeitet, lässt sich das ja auch besser machen.

 

Einen PIN anzufordern, aber überall denselben zu setzen, ist doch ein kapitaler Widerspruch. Zumal es an der Stelle keine Option gibt, das Ändern technisch zu erzwingen. Dann lieber auf einen PIN verzichten und Bitlocker auf die Szenarien beschränken, für die es ursprünglich gedacht ist. (Meine Meinung dazu: Ein vom Benutzer erzeugter PIN ist kaum jemals sicherer als das Windows-Kennwort, erzeugt also keinen Sicherheitsgewinn.)

 

Gruß, Nils

 

  • Like 2
Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...