Windows 11 - USB Drives write protection

[dormi98 15]

Hallo zusammen!

 

Ich verwalte per Intune for Education ca 200 Schülernotebooks. 

Die bisherigen Jahrgänge wurden mit Windows10 Geräten ausgeliefert. 

Der aktuell ausgelieferte Jahrgang hat Windows 11 Geräte bekommen. 

 

Auf allen ist Bitlocker aktiviert und die Festplatte verschlüsselt. Das soll auch so bleiben. 

 

Was USB Laufwerke betrifft verhalten sich Windows 10 und Windows 11 allerdings unterschiedlich. 

 

Während unter Windows 10 USB-Sticks einfach zu verwenden sind, kommt unter Windows 11 beim Anschließen die Frage ob man den USB-Stick per Bitlocker verschlüsseln möchte. Verneint man das wird der USB-Stick nur read-only gemountet. Klickt man auf Laufwerk verschlüsseln, kommt die Meldung: "Die Gruppenrichtlinieneinstellungen für Bitlocker-Startoptionen stehen im Konflikt und können nicht angewendet werden."

 

Ich habe zwar versucht in Intune unter Endpunktsicherheit - Datenträgerverschlüsselung  ein Bitlocker Profil anzulegen, aber für Wechseldatenträger ist die Richtlinie ohnehin nicht konfiguriert. 

 

Was muss ich einstellen, damit USB-Sticks unverschlüsselt verwendet werden können. Idealerweise überhaupt ohne der Nachfrage ob verschlüsselt werden soll. 

 

Danke schon mal im Voraus. 

[MurdocX 904]

Hallo dormi98,

 

sind die Geräte AAD-Only oder Hybrid?

 

AD über Gruppenrichtlinien:

Computer Configuration > Policies > Administrative Templates > Windows Components > Bitlocker Drive Encryption > Removable Data Drives > "Deny write access to removable drives not protected by Bitlocker"

 

Intune CSP

Schau mal hier im Bereich "Bitlocker": Deny write access to removable drives not protected by BitLocker

• Settings you can manage with Intune Endpoint Protection profiles for Windows 10/11 devices | Microsoft Learn
• BitLocker CSP - Windows Client Management | Microsoft Learn

[dormi98 15]

Die Geräte sind Azure AD only.

 

Ich verwende wie gesagt das gleiche Bitlocker Profil für Windows 10 und Windows 11 

in Intune zu finden unter: Endpunktsicherheit - Datenträgerverschlüsselung  (oder muss man das noch wo einstellen?)

 

Es sieht so aus: 

 

Wenn ich das richtig aus deinen Links lese sollte doch bei "nicht konfiguriert" der Schreibzugriff auf unverschlüsselte Wechseldatenträger möglich sein. 

Muss ich eine Custom OMA-URI anlgen?

 

 

[dormi98 15]

So, ich konnte das Problem lösen

 

Es sollte tatsächlich so sein, dass USB Datenträger wenn der Wert auf "Nicht konfiguriert" gestellt ist, nicht verschlüsselt werden müssen.

Nachdem es aber so ist habe bin ich über eine längere Suche auf den Registy Key gestoßen, der Verantorlich ist:

HKLM\System\CurrentControlSet\Policies\Microsoft\FVE

hier den Wert RDVDenyWriteAccess anlegen und Wert auf 0 setzen. 

 

Das ließ sich einfach per Powershell Script auf alle Windows 11 Rechner verteilen. 

[MurdocX 904]

Dann hatte ich also den richtigen Tipp.  

 

Am 23.1.2023 um 23:27 schrieb MurdocX:

AD über Gruppenrichtlinien:

Computer Configuration > Policies > Administrative Templates > Windows Components > Bitlocker Drive Encryption > Removable Data Drives > "Deny write access to removable drives not protected by Bitlocker"

 

Siehe:

Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind (admx.help)

 

vor 49 Minuten schrieb dormi98:

Es sollte tatsächlich so sein, dass USB Datenträger wenn der Wert auf "Nicht konfiguriert" gestellt ist, nicht verschlüsselt werden müssen.

Nein, dann hast du die GPO-Technik nicht verstanden. Das bedeutet nur, dass keine Einstellung von der GPO gesetzt wird. Was nicht heißt das schon etwas gesetzt wurde. Um das Gegenteil der Richtlinie zu erreichen, hättest du diese auf "Deaktiviert" setzen müssen.