binbash86
Goto Top

Bitlocker Key per Batch - Loginscript ablegen

Guten Tag,

ein Kunde von uns setzt bei allen seinen Notebooks Bitlocker zur Verschlüsselung ein. Da bisher jeder User seinen Wiederherstellungsschlüssel selbst verwaltet hat, wollen wir jetzt erreichen dass diese in einem Netzlaufwerk automatisiert abgelegt werden. Weiß jmd. eine Möglichkeit, dass Windows über das Loginscript dazu bewegt wird den Wiederherstellungsschlüssel in einen zu definierbaren Ordner zu exportieren ?

Danke für eure Hilfe!

Content-Key: 316069

Url: https://administrator.de/contentid/316069

Printed on: June 22, 2024 at 21:06 o'clock

Member: DerWoWusste
DerWoWusste Sep 23, 2016 updated at 12:52:14 (UTC)
Goto Top
Hi.

Das Kommandozeilentool (Batch) von BL ist manage-bde.exe.
Schau Dir mal manage-bde /? an.
manage-bde -protectors -get C: -Type recoverypassword>\\server\share\%computername%.txt
schreibt in eine Textdatei.

Beachten:
1 Freigabe \\server\share\ beschreibbar (nicht ändern-Rechte, NUR schreiben)machen für die Domaingruppe "Domänencomputer", gleichzeitig Leserechte dort nur für Admins!
2 Nicht als Logon-, sondern als Startskript konfigurieren
3 Recoverykeys gehören niemals in Nutzerhände!

Du kannst das Schlüsselbackup auch ins AD machen:
manage-bde -protectors -adbackup c:
Member: agowa338
agowa338 Sep 25, 2016 at 10:06:43 (UTC)
Goto Top
Wieso als Datei? Das ist viel zu umständlich, falls du mal einen suchst.
Wie DerWoWusste schon sagt, lieber im Active Directory speichern. Dann kümmert Windows sich um die Sicherheit (Solange du nicht jedem Domänen-Admin Rechte gibst) face-wink
Member: DerWoWusste
DerWoWusste Sep 25, 2016 at 10:12:58 (UTC)
Goto Top
Moin agowa338.
Dann kümmert Windows sich um die Sicherheit
Da gebe ich Dir Recht.
Wieso als Datei? Das ist viel zu umständlich, falls du mal einen suchst.
Nein, im Gegenteil. Mach das mal in der Praxis und Du wirst sehen, dass es als Datei einfacher ist.
Member: agowa338
agowa338 Sep 25, 2016 updated at 14:35:25 (UTC)
Goto Top
Zitat von @DerWoWusste:
Wieso als Datei? Das ist viel zu umständlich, falls du mal einen suchst.
Nein, im Gegenteil. Mach das mal in der Praxis und Du wirst sehen, dass es als Datei einfacher ist.
  1. Active Directory Benutzer und Computer öffnen
  2. Rechtsklick auf die Domäne
  3. Kennwort für BitLocker-Wiederherstellung suchen
  4. Kennwort-ID eintragen
Finde ich irgendwie einfacher wie 1000 Textdateien die ich alle durchsuchen muss...

Ich kenne das eher so aus der Praxis, dass dann mal wieder entweder ein Gerät umbenannt wurde und die Zuordnung futsch ist...
Member: DerWoWusste
DerWoWusste Sep 25, 2016 at 20:36:02 (UTC)
Goto Top
Wenn Du ein Gerät umbenennst, dann kannst Du auch nach der Kennung suchen über das Suchfeld des Explorers. Diese ist mit in der Textdatei.
Der Usecase ist ja auch, dass man nicht die Kennung eintippen will, weil immerhin 8 Zeichen, sondern die simple Suche nach dem Namen. Und im AD wird die Nummer mit Umbruch gespeichert und ist nicht direkt druckbar. Aber was soll's, jeder wie er mag.
Mein Code oben
manage-bde -protectors -adbackup c:
ist übrigens nicht vollständig. Man muss noch die ID des Recoverykey-Protectors zuvor raussuchen lassen. Da dies wieder Extracode wäre, ist es besser, per Policy für zukünftige Verschlüsselungen ein ADBackup zu erzwingen und dann auf den schon verschlüsselten Rechnern diesen Protector zu löschen und neu zu erstellen:
manage-bde -protectors -delete c: -type recoverypassword
manage-bde -protectors -add c: -recoverypassword