itstuttgart
Goto Top

BitLocker im AD für nur ein Gerät

Hallo liebe Spezis,

ich möchte BitLocker bei uns im Unternehmen aktivieren, aber nicht alle User benötigen BitLocker. Könnte ich es auf einzelne Geräte oder User runterbrechen, damit nicht alle Geräte in der Domäne BitLocker aktiviert wird.

Könnt Ihr mir für Server 2019 DC eine Anleitung sagen bzw. zur Verfügung stellen wie ich BitLocker einrichte und konfigurieren muss ? Ich hab zwar im Windows gesehn, dass ich aktivieren kann aber möchte wie gesagt das nicht für alle aktivieren.

Ich habe im Unternehmen mehrere Notebooks sowie Desktops und möchte einfach die Desktops nicht mit BitLocker austatten bzw. aktivieren. Windows 10 und 11 Umgebung und alle mit TPM Moduls ausgestattet.

Ich möchte die Wiederherstellungsschlüsseln etc im AD hinterlegen, dass ist unter anderem der Grund.

Content-Key: 7099038041

Url: https://administrator.de/contentid/7099038041

Printed on: February 23, 2024 at 07:02 o'clock

Member: Dani
Dani May 10, 2023 at 19:08:59 (UTC)
Goto Top
Moin,
Ich habe im Unternehmen mehrere Notebooks sowie Desktops und möchte einfach die Desktops nicht mit BitLocker austatten bzw. aktivieren. Windows 10 und 11 Umgebung und alle mit TPM Moduls ausgestattet.
warum nicht, werden/Können die Desktop nicht gestohlen werden?

Könnt Ihr mir für Server 2019 DC eine Anleitung sagen bzw. zur Verfügung stellen wie ich BitLocker einrichte und konfigurieren muss ?
https://www.youtube.com/watch?v=B8wzmxNA06Q
https://www.windowspro.de/roland-eich/bitlocker-recovery-keys-active-dir ...
https://learn.microsoft.com/de-de/windows/security/information-protectio ...
https://theitbros.com/config-active-directory-store-bitlocker-recovery-k ...

Ich hab zwar im Windows gesehn, dass ich aktivieren kann aber möchte wie gesagt das nicht für alle aktivieren.
Stichwort: Gruppenrichtlinie.


Gruß,
Dani
Member: commodity
commodity May 10, 2023 at 19:54:06 (UTC)
Goto Top
Zitat von @ITStuttgart:
... und möchte einfach die Desktops nicht mit BitLocker austatten bzw. aktivieren.

Da sehe ich keinen Grund. Bitlocker ist verlässlich und für den User transparent. Der normale User wird es nicht merken. Und die Firma hat mindestens zwei Vorteile:

- Datenschutz bei Diebstahl
- Kein Aufwand für die Datenlöschung bei Entsorgung des Rechners.

Vorsichtig wäre ich nur bei Dual-Boot-Umgebungen. Da kann das Linux-Update schon mal den Bitlocker sperren. Für den Admin, der sowas nutzt kein Problem, aber für den User vielleicht schon. Aber der hat ja im Regelfall keinen Dual-Boot-Rechner.

Viele Grüße, commodity
Member: maretz
maretz May 10, 2023 at 20:01:09 (UTC)
Goto Top
Ich würde mich den Kollegen anschließen - warum denn KEINE Verschlüsselung? Grad Bitlocker ist etwas was MS mal schöne gemacht hat, der End-Anwender siehts eigentlich nicht. Und das Geheule ist doch nur gross wenn das Laptop dann doch gestohlen wurde - und sei es nur weil man eben dringend dem Ruf der Natur folgen musste und das eben an der Tankstelle doch 3 min im Auto lag... (was völlig nachvollziehbar ist).

Da müsste heute schon jemand sagen warum es für die Person grad mal nicht geht um es nicht einfach zu nutzen... Und dabei einfach mal klar machen: Verschlüsselung bedeutet nicht das man was zu verbergen hat - Verschlüsselung bedeutet einfach nur das einem die eigenen Daten so wichtig sind das man die nich einfach jedem geben will... Genauso wie ich meinen Personalausweis nich jedem im Supermarkt einfach unaufgefordert zeigen würde - auch wenn ich sicher kein Verbrecher bin...
Member: Pjordorf
Pjordorf May 10, 2023 at 23:06:20 (UTC)
Goto Top
Hallo,

Zitat von @maretz:
... auch wenn ich sicher kein Verbrecher bin...
Aber dafür ein Bezahlter Datenbegutachter/Datenanseher, also ein Bezahlter ... face-smile

Gruß,
Peter
Member: commodity
commodity May 11, 2023 at 06:09:44 (UTC)
Goto Top
Grad Bitlocker ist etwas was MS mal schöne gemacht hat
Genau so ein Satz lag mir auf auf der Zunge face-smile
Bei allem Unsinn, den Microsoft so verzapft muss man auch mal das Positive hervorheben.

Der Bitlocker-Einsteiger ist meist etwas scary, bis er Erfahrung damit hat, was passiert, wenn Windows mal nicht entschlüsselt. Oder er traut seiner Schlüsselaufbewahrung nicht (die sollte natürlich verlässlich sein).
Leider hat MS imo keine Funktion integriert, mit der man den Wiederherstellungskey direkt testen könnte. Man kann es aber wohl z.B. über den safe mode machen.

https://superuser.com/questions/1443802/how-can-i-verify-a-bitlocker-rec ...

Viele Grüße, commodity
Member: killtec
killtec May 11, 2023 updated at 13:44:56 (UTC)
Goto Top
Hi,
kann mich da nur anschließen. Es gibt keinen Grund das nicht auf alle Geräte anzuwenden, bei denen es technisch möglich ist.

Bitlocker kannst du dann gut per GPO verteilen. Läuft Stressfrei. Bei uns im Netz sind leider nicht alle Geräte mit einem TPM ausgestattet. Diese müssten dann anders verschlüsselt werden.

#edit: Bitlocker geht nicht auf User-Ebene, sondern auf Hardware-Ebene...

Gruß