20
Bitlocker auf Server - Verständnisfrage
Hallo zusammen,
Ich habe mal eine Verständnisfrage zu BitLocker auf einem Windows-Server. Bei einem normalen PC unter z.B. Windows 10 erlange ich den Zugriff auf die verschlüsselten Daten ja dadurch, dass ich mich bei Windows anmelde. Wie ist das beim Server, wo sich ja niemand interaktiv anmeldet? Der hat in der Regel ja nicht mal Tastatur und Bildschirm.
Danke im Voraus,
Sarek \\//_
Ich habe mal eine Verständnisfrage zu BitLocker auf einem Windows-Server. Bei einem normalen PC unter z.B. Windows 10 erlange ich den Zugriff auf die verschlüsselten Daten ja dadurch, dass ich mich bei Windows anmelde. Wie ist das beim Server, wo sich ja niemand interaktiv anmeldet? Der hat in der Regel ja nicht mal Tastatur und Bildschirm.
Danke im Voraus,
Sarek \\//_
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 855418246
Url: https://administrator.de/contentid/855418246
Printed on: April 16, 2024 at 18:04 o'clock
20 Comments
Latest comment
Hallo,
https://docs.microsoft.com/en-us/powershell/module/bitlocker/enable-bitl ...
https://community.spiceworks.com/topic/2242246-automatic-unlocking-of-a- ...
https://community.spiceworks.com/topic/1971580-bitlocker-external-drives ...
https://petri.com/automatically-unlock-bitlocker-protected-devices-conne ...
https://www.techiessphere.com/2017/04/system-startup-script-to-auto-unlo ...
Gruß,
Peter
Zitat von @SarekHL:
Wie ist das beim Server, wo sich ja niemand interaktiv anmeldet? Der hat in der Regel ja nicht mal Tastatur und Bildschirm.
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...Wie ist das beim Server, wo sich ja niemand interaktiv anmeldet? Der hat in der Regel ja nicht mal Tastatur und Bildschirm.
https://docs.microsoft.com/en-us/powershell/module/bitlocker/enable-bitl ...
https://community.spiceworks.com/topic/2242246-automatic-unlocking-of-a- ...
https://community.spiceworks.com/topic/1971580-bitlocker-external-drives ...
https://petri.com/automatically-unlock-bitlocker-protected-devices-conne ...
https://www.techiessphere.com/2017/04/system-startup-script-to-auto-unlo ...
Gruß,
Peter
Hi.
In Servern (wie auch auf vielen Clientrechnern) wird in der Regel mit TPM-Only als Schutz (="TPM-Protector") verschlüsselt. Der Rechner startet und der Schlüssel zu den Daten wird vom TPM bereitgestellt, wenn der Startvorgang wie zuvor definiert ausgeführt wird (und nicht etwa z.B. von einem Bootstick gebootet wird).
Lies mal Meine Wissenssammlung zu Bitlocker
Bei einem normalen PC unter z.B. Windows 10 erlange ich den Zugriff auf die verschlüsselten Daten ja dadurch, dass ich mich bei Windows anmelde
Irrtum. Weder hat das was mit der Anmeldung zu tun, noch gibt es Unterschiede Server zu Win10.In Servern (wie auch auf vielen Clientrechnern) wird in der Regel mit TPM-Only als Schutz (="TPM-Protector") verschlüsselt. Der Rechner startet und der Schlüssel zu den Daten wird vom TPM bereitgestellt, wenn der Startvorgang wie zuvor definiert ausgeführt wird (und nicht etwa z.B. von einem Bootstick gebootet wird).
Lies mal Meine Wissenssammlung zu Bitlocker
2
Zitat von @DerWoWusste:
In Servern (wie auch auf vielen Clientrechnern) wird in der Regel mit TPM-Only als Schutz (="TPM-Protector") verschlüsselt. Der Rechner startet und der Schlüssel zu den Daten wird vom TPM bereitgestellt, wenn der Startvorgang wie zuvor definiert ausgeführt wird (und nicht etwa z.B. von einem Bootstick gebootet wird).
In Servern (wie auch auf vielen Clientrechnern) wird in der Regel mit TPM-Only als Schutz (="TPM-Protector") verschlüsselt. Der Rechner startet und der Schlüssel zu den Daten wird vom TPM bereitgestellt, wenn der Startvorgang wie zuvor definiert ausgeführt wird (und nicht etwa z.B. von einem Bootstick gebootet wird).
Danke für den Hinweis - schon der eine Satz führt wesentlich weiter als die von Pjordorf hingeknallten englischesprachigen und dazu noch sehr allgemeinen Links. Schön, dass es noch User gibt, die wirklich hilfreich sind!
Lies mal Meine Wissenssammlung zu Bitlocker
Eins ist mir auch nach Lektüre Deiner Wissenssammlung noch unklar: Es gibt ja eine Möglichkeit, auch ohne externes Bootmedium mit erhöhten Rechten in die Shell zu kommen und dort mit net user das Admin-Kennwort zu ändern. Schützt Bitlocker davor?
Ja natürlich. Das ist quasi der Hauptgrund, warum man es einsetzt.
1
Bitte Folgefrage beachten - Danke!
Du brauchst es nicht. Keine Sorge.
Hallo DerWoWusste,
ich habe die Frage in einen neuen Thread verschoben, da es ja jetzt um TPM geht.
Das heißt, ich kann auch ohne dieses Besitzerkennwort die Bitlocker-Verschlüsselung bei Bedarf auch wieder deaktivieren?
ich habe die Frage in einen neuen Thread verschoben, da es ja jetzt um TPM geht.
Du brauchst es nicht. Keine Sorge.
Das heißt, ich kann auch ohne dieses Besitzerkennwort die Bitlocker-Verschlüsselung bei Bedarf auch wieder deaktivieren?
So ist es.
Super. Nächstes Problem: Wenn ich jetzt Bitlocker-Einstellungen anklicke, passiert nichts
Wo ist das? BL-Einstellungen sehe ich nirgendwo so benannt.
Öffne zum Verschlüsseln (nach zuvor ausgeführtem Vollbackup der Partition) einfach eine Kommandozeile per Rechtsklick als Admin ("als Administrator ausführen") und feuere ab:
Öffne zum Verschlüsseln (nach zuvor ausgeführtem Vollbackup der Partition) einfach eine Kommandozeile per Rechtsklick als Admin ("als Administrator ausführen") und feuere ab:
manage-bde -on c: -s -used -rpHm, ok ... bisher habe ich Bitlocker nur an PCs verwendet, nie an Servern. Am PC habe ich dafür eine GUI, wo ich dann auch das Kennwort für die Notfall-Entschlüsselung bekomme. Wie läuft das, wenn ich das per Kommandozeile mache?
UND: Muss ich noch
manage-bde -autounlock -enablesagen, oder ist AutoUnlock standard?
Gut läuft es.
Sorry, was willst Du hören? Da steht dann, das jetzt verschlüsselt wird und außerdem steht dann dort dein Recovery Passwort, welches man tunlichst kopiert und sicher wegspeichert/druckt.
Sorry, was willst Du hören? Da steht dann, das jetzt verschlüsselt wird und außerdem steht dann dort dein Recovery Passwort, welches man tunlichst kopiert und sicher wegspeichert/druckt.
Zitat von @DerWoWusste:
Da steht dann, das jetzt verschlüsselt wird und außerdem steht dann dort dein Recovery Passwort, welches man tunlichst kopiert und sicher wegspeichert/druckt.
Da steht dann, das jetzt verschlüsselt wird und außerdem steht dann dort dein Recovery Passwort, welches man tunlichst kopiert und sicher wegspeichert/druckt.
Ah ok ... sorry, ich habe mich nicht getraut, das zu starten, ohne vorher zu wissen, was mit dem Recovery-Passwort ist. Ich wusste ja nicht, dass es angezeigt wird ...
Warte mal... Du hast vermutlich das Bitlocker-feature noch gar nicht installiert - es fehlt auf Servern nämlich.
Also elevated powershell auf und dort
ausführen - dann klappts danach auch sowohl per Kommando als per GUI.
Also elevated powershell auf und dort
Install-WindowsFeature BitLocker
Die Verschlüsselung läuft - immer noch 
Eine kleine Zusatzfrage: An dem Server steckt (fest) ein kleiner Micro-USB-Stick. Den würde ich gerne ebenfalls verschlüsseln, aber da bietet Bitlocker nur "to-go-Verschlüsselung" an und will entweder ein Kennwort oder eine Smartcard speichern. Gibt es eine Möglichkeit, den auch über TPM mit zu verschlüsseln?
Eine kleine Zusatzfrage: An dem Server steckt (fest) ein kleiner Micro-USB-Stick. Den würde ich gerne ebenfalls verschlüsseln, aber da bietet Bitlocker nur "to-go-Verschlüsselung" an und will entweder ein Kennwort oder eine Smartcard speichern. Gibt es eine Möglichkeit, den auch über TPM mit zu verschlüsseln?
Mittels TPM kannst Du nur c: verschlüsseln, nichts anderes.
Automatische Entsperrung eines USB-Sticks geht jedoch auch anders:
manage-bde -autounlock -enable x:
Automatische Entsperrung eines USB-Sticks geht jedoch auch anders:
manage-bde -autounlock -enable x:
Zitat von @DerWoWusste:
Automatische Entsperrung eines USB-Sticks geht jedoch auch anders:
manage-bde -autounlock -enable x:
Automatische Entsperrung eines USB-Sticks geht jedoch auch anders:
manage-bde -autounlock -enable x:
Und wo wird dann der Key gespeichert????
Oder arbeite ich dann mit Kennwort?
Wenn Du den Stick verschlüsselst (Rechtsklick auf den Stick - Bitlocker aktivieren), kannst Du doch ein Kennwort festlegen. Danach wird noch das Recoverypasswort weggespeichert an einen Ort deiner Wahl bzw. man druckt es aus.
Und ich vermute mal, bei Eingabe von manage-bde -autounlock -enable x: fragt er einmalig nach dem Kennwort?
Nein. Wenn der Stick gemountet ist, fragt er nicht danach, denn das Kommando muss eh auf einer elevated command shell abgefeuert werden.
