Jump to content

Bitlocker mit PIN und AD Recoverykey remote aktivieren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich würde Bitlocker gerne remote via cmd oder Powershell aktivieren.

Die Domain ist korrekt vorbereitet und wenn die Steps manuell am Client ausgeführt werden funktioniert auch alles, inkl. Hinterlegung des Recoverykeys im AD.

 

Versucht habe ich:

manage-bde -on C: -EncryptionMethod aes256 -TPMandPIN -SkipHardwareTest

Fehlermeldung:

Für die Gruppenrichtlinieneinstellung muss vor dem Verschlüsseln des Laufwerks ein Wiederherstellungskennwort angegeben werden

 

 

Nach ausführen des oben angeführten Befehls sehe ich die ID > dann habe ich folgendes versucht:

Manage-bde -protectors -adbackup c: id: {xxxx}

Fehlermeldung:

Die angegebene Schlüsselschutzvorrichtung kann nicht für den Vorgang  verwendet werden.

 

Wie lautet der korrekte Befehl?

 

Danke!

 

Link zu diesem Kommentar

Lt. https://www.gruppenrichtlinien.de/artikel/bitlocker-mit-tpm-einrichten-speicherung-des-wiederherstellungsschluessel-im-active-directory

lautet der Befehl:

 


manage-bde -on C: -RecoveryPassword -SkipHardwareTest

 

Auch kannst Du den Befehl per Task oder Script absetzen, lies am besten den Artikel und stell alles so ein, wie es im Artikel auch eingestellt ist. Anschließend mit einem Rechner testen.

Link zu diesem Kommentar
vor 40 Minuten schrieb Busfan:

@NorbertFe 

per GPO's, oder was genau willst du wissen? Die Policies funktionieren schon richtig da es manuell ja funktioniert. Mir fehlt nur bei dem Befehl die richtige Syntax um anzugeben, dass der Key im AD beim Computerkonto hinterlegt wird.

Ich frage nach den gpos, weil du tpm und pin setzen willst und überlege gerade, wie du die pin setzt.

Link zu diesem Kommentar

Moin,

 

vor 19 Minuten schrieb Busfan:

und die User dazu zu bewegen den Standard PIN zu ändern

gerade wenn es um einen Azubi geht, sollte man nicht mit solchen Krücken arbeiten, die der Azubi dann für normal oder Best Practice hält. Standardkennwörter sind böse, gerade an einer so wichtigen Stelle. Wenn ihr schon mit einem Skript arbeitet, lässt sich das ja auch besser machen.

 

Einen PIN anzufordern, aber überall denselben zu setzen, ist doch ein kapitaler Widerspruch. Zumal es an der Stelle keine Option gibt, das Ändern technisch zu erzwingen. Dann lieber auf einen PIN verzichten und Bitlocker auf die Szenarien beschränken, für die es ursprünglich gedacht ist. (Meine Meinung dazu: Ein vom Benutzer erzeugter PIN ist kaum jemals sicherer als das Windows-Kennwort, erzeugt also keinen Sicherheitsgewinn.)

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...