woenk0
Goto Top

Bitlocker aktivieren und Laufwerker verschlüsseln per GPO

2016er Domäne, GPO für die Bitlocker Aktivierung wurde angelegt (kein PIN, Nutzung TPM, Key in AD schreiben)
Bei drei frisch aufgesetzten Lenovos funktioniert alles einwandfrei (Bitlocker ist aktiviert, ohne GPO wartet es auf Verschlüsselung, mit GPO wird verschlüsselt).
Bei den anderen bereits installierten Rechnern passiert gar nichts.
Dort ist Bitlocker deaktiviert und man kann nur manuell die Verschlüsselung starten, was zur Folge hat, das laut manage-BDE der Key nur im TPM ist.
Laut Ereignislog konnte das TPM den Befehl nicht ausführen. paar Sekunden davor ist Meldung das TPM bereit ist.

Habs auch schon mit Scripten beim Start oder Herunterfahren probiert oder per Aufgabenplanung mit/ohne Verzögerung nach bestimmter Zeit mit einen Script (Powershell und Batch) und System Rechten probiert, ohne Erfolg.
Wenn ich die Scripte per Admin CMD ausführe funktioniert wenigstens die Verschlüsselung und das speichern im AD.

Ich weiss leider nicht wie die anderen Rechner aufgesetzt wurden (Ticketsystem und Doku brauchte es vor mir für 30 User nicht), ich vermute über ein Standardimage da knapp 30 Rechner in einen Tag fertig. Alle Rechner sind gerade mal ein Jahr alt und eigentlich jünger als die neu aufgesetzten.


Hab Tante Google gefragt und ChatGPT.... aber finde wohl nichts.
Kann mich düster dran erinnern das es bereits bei Win10 eine schlechte Idee war bei einen bereits verschlüsselten Gerät die Verschlüsselung zu deaktivieren und dieses dann als Image für andere Rechner zu verwenden.

Weiss jemand eine Lösung wie man Bitlocker zwar wieder auf "aktiv" setzt aber noch nicht verschlüsselt (wie nach eine Standard Installation) oder wenigstens wie ich es per Script gestalten könnte ohne das ich dieses bei ein paar Rechnern manuell ausführen muss (ich vermute das es die Berechtigung von System ist, aber eine höhere viel mir nicht ein).

fehlen sicher zu viele Infos...aber ist Freitag :D

Content-ID: 82079453840

Url: https://administrator.de/contentid/82079453840

Printed on: October 13, 2024 at 10:10 o'clock

DerWoWusste
DerWoWusste Aug 23, 2024 at 17:46:23 (UTC)
Goto Top
Bleib bei den Skripten.
Wenn's als Admin klappt, klappt's auch als Systemkonto. Da dein Skript nicht beiliegt, kann man nur vermuten, dass du das Systemkonto eventuell ein Skript ausführen lässt, auf dass es keinen Zugriff hat (das stünde dann wohl auch so im Verlaufslog des Aufgabenplaners).
WoenK0
WoenK0 Aug 23, 2024 at 19:14:11 (UTC)
Goto Top
Zitat von @DerWoWusste:

Bleib bei den Skripten.
Wenn's als Admin klappt, klappt's auch als Systemkonto. Da dein Skript nicht beiliegt, kann man nur vermuten, dass du das Systemkonto eventuell ein Skript ausführen lässt, auf dass es keinen Zugriff hat (das stünde dann wohl auch so im Verlaufslog des Aufgabenplaners).

Das simpelste Script war ein Einzeiler ala "manage-bde -on C:" welches bei der Policy abgelegt war (Start oder herunterfahren)

In der Aufgabenplanung konnte ich die Aufgabe nicht sehen, aber vermutlich kann man als normaler User auch keine Aufgaben im System Kontext sehen oder ?
Script war der gleiche Einzeiler und Pfad ein offener Share auf dem Fileserver, welchen ich für die Inventarisierung nutze (echt doof wenn es keine Liste gibt welcher User welchen Rechner hat und welche Seriennummer der hat).

Was ich nicht herausbekomme ist, wie ich diesen halb aktivierten Zustand nach den frisch Aufsetzen wiederherstellen könnte. Wäre meiner Ansicht nach das sauberste.
DerWoWusste
DerWoWusste Aug 23, 2024 at 19:46:40 (UTC)
Goto Top
Das Skript muss dann nicht auf ein Share. Schreib den Befehl direkt in den Taskplaner mit den Argumenten in der nächsten Zeile.

Zur Sicherheit teste
manage-bde -on c: -s -rp
PetraBeckerSS
PetraBeckerSS Aug 25, 2024 at 12:05:01 (UTC)
Goto Top
Ich bin jemand, der Bitlocker hasst.
WoenK0
WoenK0 Aug 25, 2024 at 17:18:58 (UTC)
Goto Top
Zitat von @DerWoWusste:

Das Skript muss dann nicht auf ein Share. Schreib den Befehl direkt in den Taskplaner mit den Argumenten in der nächsten Zeile.

Zur Sicherheit teste
manage-bde -on c: -s -rp

hat funktioniert über ne Admin shell, startup script leider nicht, kam ein Fenster das die Verschlüsselung nicht durchgeführt werden konnte.
Was mich wirklich nervt ist, das die neu aufgesetzten Rechner eine Netzwerkverbindung bekommen, sich die GPO ziehen und ohne jegliches Script zu verschlüsseln anfangen...das will ich bei den alten auch haben :D
Und ich vermute fast, das wenn ich die neu aufgesetzten entschlüssel, kann ich sie nicht wieder per GPO verschlüsseln.
WoenK0
WoenK0 Aug 25, 2024 at 17:23:33 (UTC)
Goto Top
Zitat von @PetraBeckerSS:

Ich bin jemand, der Bitlocker hasst.

Gibt wenigstens einen Schein von Sicherheit... würde meinen Usern jetzt keinen zusätzlichen Pin zumuten, aber die Verschlüsselung macht den Zugriff auf die Platte wenigstens 15 Minuten schwieriger.
DerWoWusste
DerWoWusste Aug 25, 2024 updated at 17:37:58 (UTC)
Goto Top
kam ein Fenster das die Verschlüsselung nicht durchgeführt werden konnte.
Lass die Befehle doch mitloggen, dann weißt du, warum.
WoenK0
WoenK0 Aug 26, 2024 at 15:46:08 (UTC)
Goto Top
Zitat von @DerWoWusste:

kam ein Fenster das die Verschlüsselung nicht durchgeführt werden konnte.
Lass die Befehle doch mitloggen, dann weißt du, warum.

supi :D in dem Moment wo ich das Loggen auf einen Share in die Batch rein hab ging es auf einmal.

Was natürlich immer noch unschön ist, warum brauch ich überhaupt eine Batch ?
In dem Moment wo ich Bitlocker deaktiviere macht die GPO (ohne Batch in der Aufgabenplanung) nicht mehr die Verschlüsselung und im Ereignislog steht wieder der Fehler, das das TPM den Befehl nicht ausführen konnte.