Jump to content

Windows 11 - USB Drives write protection


dormi98
Direkt zur Lösung Gelöst von dormi98,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen!

 

Ich verwalte per Intune for Education ca 200 Schülernotebooks. 

Die bisherigen Jahrgänge wurden mit Windows10 Geräten ausgeliefert. 

Der aktuell ausgelieferte Jahrgang hat Windows 11 Geräte bekommen. 

 

Auf allen ist Bitlocker aktiviert und die Festplatte verschlüsselt. Das soll auch so bleiben. 

 

Was USB Laufwerke betrifft verhalten sich Windows 10 und Windows 11 allerdings unterschiedlich. 

 

Während unter Windows 10 USB-Sticks einfach zu verwenden sind, kommt unter Windows 11 beim Anschließen die Frage ob man den USB-Stick per Bitlocker verschlüsseln möchte. Verneint man das wird der USB-Stick nur read-only gemountet. Klickt man auf Laufwerk verschlüsseln, kommt die Meldung: "Die Gruppenrichtlinieneinstellungen für Bitlocker-Startoptionen stehen im Konflikt und können nicht angewendet werden."

 

Ich habe zwar versucht in Intune unter Endpunktsicherheit - Datenträgerverschlüsselung  ein Bitlocker Profil anzulegen, aber für Wechseldatenträger ist die Richtlinie ohnehin nicht konfiguriert. 

 

Was muss ich einstellen, damit USB-Sticks unverschlüsselt verwendet werden können. Idealerweise überhaupt ohne der Nachfrage ob verschlüsselt werden soll. 

 

Danke schon mal im Voraus. 

Link zu diesem Kommentar

Hallo dormi98,

 

sind die Geräte AAD-Only oder Hybrid?

 

AD über Gruppenrichtlinien:

Computer Configuration > Policies > Administrative Templates > Windows Components > Bitlocker Drive Encryption > Removable Data Drives > "Deny write access to removable drives not protected by Bitlocker"

 

Intune CSP

Schau mal hier im Bereich "Bitlocker": Deny write access to removable drives not protected by BitLocker

Link zu diesem Kommentar

Die Geräte sind Azure AD only.

 

Ich verwende wie gesagt das gleiche Bitlocker Profil für Windows 10 und Windows 11 

in Intune zu finden unter: Endpunktsicherheit - Datenträgerverschlüsselung  (oder muss man das noch wo einstellen?)

 

Es sieht so aus: 

 

Wenn ich das richtig aus deinen Links lese sollte doch bei "nicht konfiguriert" der Schreibzugriff auf unverschlüsselte Wechseldatenträger möglich sein. 

Muss ich eine Custom OMA-URI anlgen?

 

 

bitl.PNG

Link zu diesem Kommentar
  • 5 Wochen später...
  • Beste Lösung

So, ich konnte das Problem lösen

 

Es sollte tatsächlich so sein, dass USB Datenträger wenn der Wert auf "Nicht konfiguriert" gestellt ist, nicht verschlüsselt werden müssen.

Nachdem es aber so ist habe bin ich über eine längere Suche auf den Registy Key gestoßen, der Verantorlich ist:

HKLM\System\CurrentControlSet\Policies\Microsoft\FVE

hier den Wert RDVDenyWriteAccess anlegen und Wert auf 0 setzen. 

 

Das ließ sich einfach per Powershell Script auf alle Windows 11 Rechner verteilen. 

Link zu diesem Kommentar

Dann hatte ich also den richtigen Tipp. ;-) 

 

Am 23.1.2023 um 23:27 schrieb MurdocX:

AD über Gruppenrichtlinien:

Computer Configuration > Policies > Administrative Templates > Windows Components > Bitlocker Drive Encryption > Removable Data Drives > "Deny write access to removable drives not protected by Bitlocker"

 

Siehe:

Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind (admx.help)

image.png.198f8dbddc85770027e91647ea5b8869.png

 

vor 49 Minuten schrieb dormi98:

Es sollte tatsächlich so sein, dass USB Datenträger wenn der Wert auf "Nicht konfiguriert" gestellt ist, nicht verschlüsselt werden müssen.

Nein, dann hast du die GPO-Technik nicht verstanden. Das bedeutet nur, dass keine Einstellung von der GPO gesetzt wird. Was nicht heißt das schon etwas gesetzt wurde. Um das Gegenteil der Richtlinie zu erreichen, hättest du diese auf "Deaktiviert" setzen müssen. 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...