Jump to content

Bitlocker mit TPM via PS aktivieren und Kennwort als Datei speichern


Recommended Posts

 Hallo Forum!

 

Ich  bräuchte Hilfe bei der Ausführung der Bitlocker Verschlüsselung.

 

ich hab mir bisher folgendes zusammen "gegoogelt":

 

Enable-BitLocker -mountpoint C: -EncryptionMethod XtsAes256 -TpmProtector -UsedSpaceOnly -SkipHardwareTest -RecoveryKeyPath "D:\c\clientsachen\Bitlocker\"

Leider läuft dies immer darauf hinaus das ich noch einen Recoverykeyprotector eingeben soll. Ich dachte das wäre die Info ob das Kennwort im AD gespeichert wird? 

Ist das nur ein Boolean? Wie bekomm ich den Befehl zum laufen?

 

Freu mich auf schnelle Hilfe.

Link to post

Spielt die Reihenfolge der Parameter hier eine Rolle?

 

Ich bekomm eine Fehlermeldung:

Parametersatz kann nicht aufgelöst werden.

ParameterBindingException

Enable-BitLocker -mountpoint C: -EncryptionMethod XtsAes256 -TpmProtector -UsedSpaceOnly -SkipHardwareTest -RecoveryKeyPath "D:\c\clientsachen\Bitlocker\" -RecoveryKeyprotector

 

 

Wenn ich den Parameter -TpmProtector entferne läuft das Ganze durch.

Als Key Protector wird dann TPM und ExternalKey angegeben. Also genau das was ich brauch.

 

Laut der Beschreibung:

 

-TpmProtector

Indicates that BitLocker uses the TPM as a protector for the volume encryption key.

 

Wie kommt man denn hier an Recovery Infos?

 

Link to post

Die Reihenfolge nicht, aber die Kombination. Wenn Du Dir die Hilfe angesehen hast, wirst Du hoffentlich bemerkt haben, dass Du -TpmProtector nicht mit -RecoveryKeyprotector kombinieren kannst. Die sind nicht im gleichen Parameter-Set verfügbar. Wo willst Du denn Deinen Recovery-Key speichern? Im TPM-Chip des Computers oder in einer Datei?

Link to post

Aktuell speicher ich die RecoveryKeys in Datei für die Dokumentation.

 

Wenn ich Sie im TPM-Chip speichere, müsste ich sicherstellen das der Nutzer nicht dran kommt und wie funktioniert dann das Recovery?

Ich denke ich bräuchte hier mehr Information zu dem Thema.

 

Wenn mir jemand Lektüre zu Bitlocker empfehlen kann, hilft mir das bestimmt weiter.

 

Link to post

Da die Rechner immer kleiner werden und Laptops auch mal abhanden kommen können, muss sichergestellt werden, dass die Daten verschlüsselt sind und für Fremde nicht zugänglich.

 

Also Bitlocker aktivieren, damit die Festplatte nur durch formatieren wieder nutzbar wird.

 

Die Rechner sind alle Mitglied im AD und es wäre hilfreich wenn sich Bitlocker automatisch über die Domäne verwaltet.

Da fehlt mir aber das Wissen zu.

Aktuell also der kleine Weg :

 

Win10 Image aufspielen und manuell Bitlocker akrivieren via Mini-Script oben.

Link to post

https://www.windowspro.de/roland-eich/bitlocker-recovery-keys-active-directory-speichern-auslesen

 

Wenn ich das bisher richtig verstehe muss ich zur Einrichtung der Funktionalität im AD GPOs konfigurieren.

Und zur Wiederherstellung benötigt es zusätzlich Serverrollen.

 

Beides ist noch nicht eingerichtet, da in dem Bereich den Server jemand anderes betreut.

Also verschlüssel ich, speicher den Key und irgendein armer Tropf muss den Key dann später mit manage bde ins AD bringen.

 

Erstmal Danke für die Zeit. Ich werde das nochmal durchdenken und optimieren.

Link to post
vor 54 Minuten schrieb nutzer123456:

Wenn ich das bisher richtig verstehe muss ich zur Einrichtung der Funktionalität im AD GPOs konfigurieren.

Wäre sinnvoll.

 

vor 54 Minuten schrieb nutzer123456:

Und zur Wiederherstellung benötigt es zusätzlich Serverrollen.

Naja...

 

vor 55 Minuten schrieb nutzer123456:

Also verschlüssel ich, speicher den Key und irgendein armer Tropf muss den Key dann später mit manage bde ins AD bringen.

Hmm. Toll. ;)

Link to post
vor 5 Stunden schrieb nutzer123456:

Also verschlüssel ich, speicher den Key und irgendein armer Tropf muss den Key dann später mit manage bde ins AD bringen.

Wenn ich das hier richtig gelesen habe, brauchst Du nicht bis später warten, sondern kannst die Wiederherstellungskeys gleich ins AD bringen. Es muss über ein Script oder GPO ablaufen. https://www.gruppenrichtlinien.de/artikel/bitlocker-mit-tpm-einrichten-speicherung-des-wiederherstellungsschluessel-im-active-directory

Das was Du Rolle nennst, sind nur Remote Verwaltungs Features und Viewer.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...