Jump to content

Bitlocker mit TPM via PS aktivieren und Kennwort als Datei speichern


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

 Hallo Forum!

 

Ich  bräuchte Hilfe bei der Ausführung der Bitlocker Verschlüsselung.

 

ich hab mir bisher folgendes zusammen "gegoogelt":

 

Enable-BitLocker -mountpoint C: -EncryptionMethod XtsAes256 -TpmProtector -UsedSpaceOnly -SkipHardwareTest -RecoveryKeyPath "D:\c\clientsachen\Bitlocker\"

Leider läuft dies immer darauf hinaus das ich noch einen Recoverykeyprotector eingeben soll. Ich dachte das wäre die Info ob das Kennwort im AD gespeichert wird? 

Ist das nur ein Boolean? Wie bekomm ich den Befehl zum laufen?

 

Freu mich auf schnelle Hilfe.

Link zu diesem Kommentar

Spielt die Reihenfolge der Parameter hier eine Rolle?

 

Ich bekomm eine Fehlermeldung:

Parametersatz kann nicht aufgelöst werden.

ParameterBindingException

Enable-BitLocker -mountpoint C: -EncryptionMethod XtsAes256 -TpmProtector -UsedSpaceOnly -SkipHardwareTest -RecoveryKeyPath "D:\c\clientsachen\Bitlocker\" -RecoveryKeyprotector

 

 

Wenn ich den Parameter -TpmProtector entferne läuft das Ganze durch.

Als Key Protector wird dann TPM und ExternalKey angegeben. Also genau das was ich brauch.

 

Laut der Beschreibung:

 

-TpmProtector

Indicates that BitLocker uses the TPM as a protector for the volume encryption key.

 

Wie kommt man denn hier an Recovery Infos?

 

Link zu diesem Kommentar

Die Reihenfolge nicht, aber die Kombination. Wenn Du Dir die Hilfe angesehen hast, wirst Du hoffentlich bemerkt haben, dass Du -TpmProtector nicht mit -RecoveryKeyprotector kombinieren kannst. Die sind nicht im gleichen Parameter-Set verfügbar. Wo willst Du denn Deinen Recovery-Key speichern? Im TPM-Chip des Computers oder in einer Datei?

Link zu diesem Kommentar

Aktuell speicher ich die RecoveryKeys in Datei für die Dokumentation.

 

Wenn ich Sie im TPM-Chip speichere, müsste ich sicherstellen das der Nutzer nicht dran kommt und wie funktioniert dann das Recovery?

Ich denke ich bräuchte hier mehr Information zu dem Thema.

 

Wenn mir jemand Lektüre zu Bitlocker empfehlen kann, hilft mir das bestimmt weiter.

 

Link zu diesem Kommentar

Da die Rechner immer kleiner werden und Laptops auch mal abhanden kommen können, muss sichergestellt werden, dass die Daten verschlüsselt sind und für Fremde nicht zugänglich.

 

Also Bitlocker aktivieren, damit die Festplatte nur durch formatieren wieder nutzbar wird.

 

Die Rechner sind alle Mitglied im AD und es wäre hilfreich wenn sich Bitlocker automatisch über die Domäne verwaltet.

Da fehlt mir aber das Wissen zu.

Aktuell also der kleine Weg :

 

Win10 Image aufspielen und manuell Bitlocker akrivieren via Mini-Script oben.

Link zu diesem Kommentar

https://www.windowspro.de/roland-eich/bitlocker-recovery-keys-active-directory-speichern-auslesen

 

Wenn ich das bisher richtig verstehe muss ich zur Einrichtung der Funktionalität im AD GPOs konfigurieren.

Und zur Wiederherstellung benötigt es zusätzlich Serverrollen.

 

Beides ist noch nicht eingerichtet, da in dem Bereich den Server jemand anderes betreut.

Also verschlüssel ich, speicher den Key und irgendein armer Tropf muss den Key dann später mit manage bde ins AD bringen.

 

Erstmal Danke für die Zeit. Ich werde das nochmal durchdenken und optimieren.

Link zu diesem Kommentar
vor 54 Minuten schrieb nutzer123456:

Wenn ich das bisher richtig verstehe muss ich zur Einrichtung der Funktionalität im AD GPOs konfigurieren.

Wäre sinnvoll.

 

vor 54 Minuten schrieb nutzer123456:

Und zur Wiederherstellung benötigt es zusätzlich Serverrollen.

Naja...

 

vor 55 Minuten schrieb nutzer123456:

Also verschlüssel ich, speicher den Key und irgendein armer Tropf muss den Key dann später mit manage bde ins AD bringen.

Hmm. Toll. ;)

Link zu diesem Kommentar
vor 5 Stunden schrieb nutzer123456:

Also verschlüssel ich, speicher den Key und irgendein armer Tropf muss den Key dann später mit manage bde ins AD bringen.

Wenn ich das hier richtig gelesen habe, brauchst Du nicht bis später warten, sondern kannst die Wiederherstellungskeys gleich ins AD bringen. Es muss über ein Script oder GPO ablaufen. https://www.gruppenrichtlinien.de/artikel/bitlocker-mit-tpm-einrichten-speicherung-des-wiederherstellungsschluessel-im-active-directory

Das was Du Rolle nennst, sind nur Remote Verwaltungs Features und Viewer.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...