Bitlocker-Lw auf Win2012R2 beim Booten automatisch einbinden, System C: unverschlüsselt
Hallo,
habe hier ein recht spezielles Problem mit einem W2012R2-Server ohne TPM:
Der Server wird fernadministriert via RDP, deshalb blockiert beim Remote-Reboot eine Bitlocker-Passwort-Eingabe für C:/System den Neustart, RDP funktioniert ja erst nach dem Systemstart...
Insbesondere die Datenlaufwerke D:/ E:/ F: dieses Servers sollen Bitlocker-verschlüsselt werden.
Idee:
Das zum Booten essentielle Systemlaufwerk C: wird nicht verschlüsselt, die Datenlaufwerke D:/ E:/ F: mit den schützenswerten Dateien werden Bitlocker-verschlüsselt. Damit kann man den Server remote rebooten, ohne dass das Bitlocker-Passwort beim Systemstart abgefragt wird.
Nicht-Systemlaufwerke lassen sich bei Bitlocker meines Wissens aber nur automatisch einbinden, falls auch das Systemlaufwerk Bitlocker-verschlüsselt ist. Da dies hier nicht der Fall wäre, suche ich eine Lösung, diese Datenlaufwerke möglichst zeitnah nach dem Systemstart einzubinden.
Prinzipiell gelingt das Einbinden ja auch per Batch via:
manage-bde -unlock D: -Password
Diesen Batch könnte man verschlüsselt ablegen, nur wie bekomme ich die zugehörigen Laufwerke automatisch und früh eingebunden?
'Autostart' ist wohl zu spät, da von den Laufwerken D:/ E:/ F: Daten für Programmstarts benötigt werden.
Danke und viele Grüße, UC
Bitlocker:
BitLocker Laufwerkverschlüsselung ohne TPM-Chip
https://docs.microsoft.com/de-de/windows/security/information-protection ...
habe hier ein recht spezielles Problem mit einem W2012R2-Server ohne TPM:
Der Server wird fernadministriert via RDP, deshalb blockiert beim Remote-Reboot eine Bitlocker-Passwort-Eingabe für C:/System den Neustart, RDP funktioniert ja erst nach dem Systemstart...
Insbesondere die Datenlaufwerke D:/ E:/ F: dieses Servers sollen Bitlocker-verschlüsselt werden.
Idee:
Das zum Booten essentielle Systemlaufwerk C: wird nicht verschlüsselt, die Datenlaufwerke D:/ E:/ F: mit den schützenswerten Dateien werden Bitlocker-verschlüsselt. Damit kann man den Server remote rebooten, ohne dass das Bitlocker-Passwort beim Systemstart abgefragt wird.
Nicht-Systemlaufwerke lassen sich bei Bitlocker meines Wissens aber nur automatisch einbinden, falls auch das Systemlaufwerk Bitlocker-verschlüsselt ist. Da dies hier nicht der Fall wäre, suche ich eine Lösung, diese Datenlaufwerke möglichst zeitnah nach dem Systemstart einzubinden.
Prinzipiell gelingt das Einbinden ja auch per Batch via:
manage-bde -unlock D: -Password
Diesen Batch könnte man verschlüsselt ablegen, nur wie bekomme ich die zugehörigen Laufwerke automatisch und früh eingebunden?
'Autostart' ist wohl zu spät, da von den Laufwerken D:/ E:/ F: Daten für Programmstarts benötigt werden.
Danke und viele Grüße, UC
Bitlocker:
BitLocker Laufwerkverschlüsselung ohne TPM-Chip
https://docs.microsoft.com/de-de/windows/security/information-protection ...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 529189
Url: https://administrator.de/forum/bitlocker-lw-auf-win2012r2-beim-booten-automatisch-einbinden-system-c-unverschluesselt-529189.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
6 Kommentare
Neuester Kommentar
Wir haben das selbe Board mal mit tpm bestückt. Ca. 60€ kostet dich das.
Zweitbeste Lösung ist unsicher, siehe mein von dir verlinkter Artikel. Nicht ratsam.
Du würdest dabei Skripte auf Netzwerkfreigaben nutzen, die von geplanten Tasks gestartet werden nach dem Hochfahren.
Die Dienste, welche ggf. die Laufwerke benötigen müssen dann nachgestartet werden. Geht alles, hab ich auch Mal so gemacht.
Zweitbeste Lösung ist unsicher, siehe mein von dir verlinkter Artikel. Nicht ratsam.
Du würdest dabei Skripte auf Netzwerkfreigaben nutzen, die von geplanten Tasks gestartet werden nach dem Hochfahren.
Manage-bde -unlock -rp Recoverypasswort
Die Dienste, welche ggf. die Laufwerke benötigen müssen dann nachgestartet werden. Geht alles, hab ich auch Mal so gemacht.
Wie sähe eine denkbare 'zweitbeste' Lösung aus, mit der ich remote booten kann?
Moin,
wenn der Server tatsächlich nur noch 6 Monate durchhalten soll;
Erkundige dich mal, ob die Kiste "BMC" unterstützt. Bei anderen Herstellern auch als IRMC bekannt.
BMC
Als M$-Doofs per Update die ganzen Bitlocker bzw. das TPM zerschossen hatte, konnte ich über das IRMC zugriff zum Server erhalten und innerhalb des BMCs über Video In, die Aufforderung des Bitlockerskey sehen und remote eintragen.
Vorrausgesetzt ist natürlich neben der Einrichtung, dass das auch lizensiert ist.
Gruß
AS