Bitlocker Key per Batch - Loginscript ablegen
Guten Tag,
ein Kunde von uns setzt bei allen seinen Notebooks Bitlocker zur Verschlüsselung ein. Da bisher jeder User seinen Wiederherstellungsschlüssel selbst verwaltet hat, wollen wir jetzt erreichen dass diese in einem Netzlaufwerk automatisiert abgelegt werden. Weiß jmd. eine Möglichkeit, dass Windows über das Loginscript dazu bewegt wird den Wiederherstellungsschlüssel in einen zu definierbaren Ordner zu exportieren ?
Danke für eure Hilfe!
ein Kunde von uns setzt bei allen seinen Notebooks Bitlocker zur Verschlüsselung ein. Da bisher jeder User seinen Wiederherstellungsschlüssel selbst verwaltet hat, wollen wir jetzt erreichen dass diese in einem Netzlaufwerk automatisiert abgelegt werden. Weiß jmd. eine Möglichkeit, dass Windows über das Loginscript dazu bewegt wird den Wiederherstellungsschlüssel in einen zu definierbaren Ordner zu exportieren ?
Danke für eure Hilfe!
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 316069
Url: https://administrator.de/forum/bitlocker-key-per-batch-loginscript-ablegen-316069.html
Ausgedruckt am: 29.05.2025 um 08:05 Uhr
5 Kommentare
Neuester Kommentar
Hi.
Das Kommandozeilentool (Batch) von BL ist manage-bde.exe.
Schau Dir mal manage-bde /? an.
schreibt in eine Textdatei.
Beachten:
1 Freigabe \\server\share\ beschreibbar (nicht ändern-Rechte, NUR schreiben)machen für die Domaingruppe "Domänencomputer", gleichzeitig Leserechte dort nur für Admins!
2 Nicht als Logon-, sondern als Startskript konfigurieren
3 Recoverykeys gehören niemals in Nutzerhände!
Du kannst das Schlüsselbackup auch ins AD machen:
Das Kommandozeilentool (Batch) von BL ist manage-bde.exe.
Schau Dir mal manage-bde /? an.
manage-bde -protectors -get C: -Type recoverypassword>\\server\share\%computername%.txtBeachten:
1 Freigabe \\server\share\ beschreibbar (nicht ändern-Rechte, NUR schreiben)machen für die Domaingruppe "Domänencomputer", gleichzeitig Leserechte dort nur für Admins!
2 Nicht als Logon-, sondern als Startskript konfigurieren
3 Recoverykeys gehören niemals in Nutzerhände!
Du kannst das Schlüsselbackup auch ins AD machen:
manage-bde -protectors -adbackup c:
Wieso als Datei? Das ist viel zu umständlich, falls du mal einen suchst.
Wie DerWoWusste schon sagt, lieber im Active Directory speichern. Dann kümmert Windows sich um die Sicherheit (Solange du nicht jedem Domänen-Admin Rechte gibst)
Wie DerWoWusste schon sagt, lieber im Active Directory speichern. Dann kümmert Windows sich um die Sicherheit (Solange du nicht jedem Domänen-Admin Rechte gibst)
Moin agowa338.
Dann kümmert Windows sich um die Sicherheit
Da gebe ich Dir Recht.Wieso als Datei? Das ist viel zu umständlich, falls du mal einen suchst.
Nein, im Gegenteil. Mach das mal in der Praxis und Du wirst sehen, dass es als Datei einfacher ist.Zitat von @DerWoWusste:
Wieso als Datei? Das ist viel zu umständlich, falls du mal einen suchst.
Nein, im Gegenteil. Mach das mal in der Praxis und Du wirst sehen, dass es als Datei einfacher ist.- Active Directory Benutzer und Computer öffnen
- Rechtsklick auf die Domäne
- Kennwort für BitLocker-Wiederherstellung suchen
- Kennwort-ID eintragen
Ich kenne das eher so aus der Praxis, dass dann mal wieder entweder ein Gerät umbenannt wurde und die Zuordnung futsch ist...
Wenn Du ein Gerät umbenennst, dann kannst Du auch nach der Kennung suchen über das Suchfeld des Explorers. Diese ist mit in der Textdatei.
Der Usecase ist ja auch, dass man nicht die Kennung eintippen will, weil immerhin 8 Zeichen, sondern die simple Suche nach dem Namen. Und im AD wird die Nummer mit Umbruch gespeichert und ist nicht direkt druckbar. Aber was soll's, jeder wie er mag.
Mein Code oben
Der Usecase ist ja auch, dass man nicht die Kennung eintippen will, weil immerhin 8 Zeichen, sondern die simple Suche nach dem Namen. Und im AD wird die Nummer mit Umbruch gespeichert und ist nicht direkt druckbar. Aber was soll's, jeder wie er mag.
Mein Code oben
manage-bde -protectors -adbackup c:
ist übrigens nicht vollständig. Man muss noch die ID des Recoverykey-Protectors zuvor raussuchen lassen. Da dies wieder Extracode wäre, ist es besser, per Policy für zukünftige Verschlüsselungen ein ADBackup zu erzwingen und dann auf den schon verschlüsselten Rechnern diesen Protector zu löschen und neu zu erstellen:manage-bde -protectors -delete c: -type recoverypassword
manage-bde -protectors -add c: -recoverypassword
