6
Bitlocker-Lw auf Win2012R2 beim Booten automatisch einbinden, System C: unverschlüsselt
Hallo,
habe hier ein recht spezielles Problem mit einem W2012R2-Server ohne TPM:
Der Server wird fernadministriert via RDP, deshalb blockiert beim Remote-Reboot eine Bitlocker-Passwort-Eingabe für C:/System den Neustart, RDP funktioniert ja erst nach dem Systemstart...
Insbesondere die Datenlaufwerke D:/ E:/ F: dieses Servers sollen Bitlocker-verschlüsselt werden.
Idee:
Das zum Booten essentielle Systemlaufwerk C: wird nicht verschlüsselt, die Datenlaufwerke D:/ E:/ F: mit den schützenswerten Dateien werden Bitlocker-verschlüsselt. Damit kann man den Server remote rebooten, ohne dass das Bitlocker-Passwort beim Systemstart abgefragt wird.
Nicht-Systemlaufwerke lassen sich bei Bitlocker meines Wissens aber nur automatisch einbinden, falls auch das Systemlaufwerk Bitlocker-verschlüsselt ist. Da dies hier nicht der Fall wäre, suche ich eine Lösung, diese Datenlaufwerke möglichst zeitnah nach dem Systemstart einzubinden.
Prinzipiell gelingt das Einbinden ja auch per Batch via:
manage-bde -unlock D: -Password
Diesen Batch könnte man verschlüsselt ablegen, nur wie bekomme ich die zugehörigen Laufwerke automatisch und früh eingebunden?
'Autostart' ist wohl zu spät, da von den Laufwerken D:/ E:/ F: Daten für Programmstarts benötigt werden.
Danke und viele Grüße, UC
Bitlocker:
BitLocker Laufwerkverschlüsselung ohne TPM-Chip
https://docs.microsoft.com/de-de/windows/security/information-protection ...
habe hier ein recht spezielles Problem mit einem W2012R2-Server ohne TPM:
Der Server wird fernadministriert via RDP, deshalb blockiert beim Remote-Reboot eine Bitlocker-Passwort-Eingabe für C:/System den Neustart, RDP funktioniert ja erst nach dem Systemstart...
Insbesondere die Datenlaufwerke D:/ E:/ F: dieses Servers sollen Bitlocker-verschlüsselt werden.
Idee:
Das zum Booten essentielle Systemlaufwerk C: wird nicht verschlüsselt, die Datenlaufwerke D:/ E:/ F: mit den schützenswerten Dateien werden Bitlocker-verschlüsselt. Damit kann man den Server remote rebooten, ohne dass das Bitlocker-Passwort beim Systemstart abgefragt wird.
Nicht-Systemlaufwerke lassen sich bei Bitlocker meines Wissens aber nur automatisch einbinden, falls auch das Systemlaufwerk Bitlocker-verschlüsselt ist. Da dies hier nicht der Fall wäre, suche ich eine Lösung, diese Datenlaufwerke möglichst zeitnah nach dem Systemstart einzubinden.
Prinzipiell gelingt das Einbinden ja auch per Batch via:
manage-bde -unlock D: -Password
Diesen Batch könnte man verschlüsselt ablegen, nur wie bekomme ich die zugehörigen Laufwerke automatisch und früh eingebunden?
'Autostart' ist wohl zu spät, da von den Laufwerken D:/ E:/ F: Daten für Programmstarts benötigt werden.
Danke und viele Grüße, UC
Bitlocker:
BitLocker Laufwerkverschlüsselung ohne TPM-Chip
https://docs.microsoft.com/de-de/windows/security/information-protection ...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 529189
Url: https://administrator.de/contentid/529189
Printed on: May 7, 2024 at 07:05 o'clock
6 Comments
Latest comment
Hi.
Wenn die Hardware nicht gerade uralt ist, wird ein ftpm vorhanden sein. Welches Mainboard?
Wenn die Hardware nicht gerade uralt ist, wird ein ftpm vorhanden sein. Welches Mainboard?
Hallo,
Motherboard:
CPU Typ HexaCore Intel Xeon E5-2620 v2, 2100 MHz (21 x 100)
Motherboard Name Intel Canoe Pass S2600CP (5 PCI-E x8, 1 PCI-E x16, 16 DDR3 DIMM, Video, Dual Gigabit LAN)
Motherboard Chipsatz Intel Patsburg C600, Intel Ivy Bridge-EP
Arbeitsspeicher 32689 MB (DDR3 SDRAM)
Es gibt wohl einen (unbestückten) Steckplatz für ein TPM-Modul.
Was ist ftpm und wie boote ich damit remote?
Danke + viele Grüße, UC
Motherboard:
CPU Typ HexaCore Intel Xeon E5-2620 v2, 2100 MHz (21 x 100)
Motherboard Name Intel Canoe Pass S2600CP (5 PCI-E x8, 1 PCI-E x16, 16 DDR3 DIMM, Video, Dual Gigabit LAN)
Motherboard Chipsatz Intel Patsburg C600, Intel Ivy Bridge-EP
Arbeitsspeicher 32689 MB (DDR3 SDRAM)
Es gibt wohl einen (unbestückten) Steckplatz für ein TPM-Modul.
Was ist ftpm und wie boote ich damit remote?
Danke + viele Grüße, UC
Kauf das tpm. Beste Lösung mit Abstand.
Jain...
Der Server ist aus dem Support raus, die Unterstützung dementsprechend mau, der soll noch ca. 6 Monate durchhalten.
Wie sähe eine denkbare 'zweitbeste' Lösung aus, mit der ich remote booten kann?
Danke + viele Grüße, UC
Der Server ist aus dem Support raus, die Unterstützung dementsprechend mau, der soll noch ca. 6 Monate durchhalten.
Wie sähe eine denkbare 'zweitbeste' Lösung aus, mit der ich remote booten kann?
Danke + viele Grüße, UC
Wir haben das selbe Board mal mit tpm bestückt. Ca. 60€ kostet dich das.
Zweitbeste Lösung ist unsicher, siehe mein von dir verlinkter Artikel. Nicht ratsam.
Du würdest dabei Skripte auf Netzwerkfreigaben nutzen, die von geplanten Tasks gestartet werden nach dem Hochfahren.
Die Dienste, welche ggf. die Laufwerke benötigen müssen dann nachgestartet werden. Geht alles, hab ich auch Mal so gemacht.
Zweitbeste Lösung ist unsicher, siehe mein von dir verlinkter Artikel. Nicht ratsam.
Du würdest dabei Skripte auf Netzwerkfreigaben nutzen, die von geplanten Tasks gestartet werden nach dem Hochfahren.
Manage-bde -unlock -rp RecoverypasswortDie Dienste, welche ggf. die Laufwerke benötigen müssen dann nachgestartet werden. Geht alles, hab ich auch Mal so gemacht.
Wie sähe eine denkbare 'zweitbeste' Lösung aus, mit der ich remote booten kann?
Moin,
wenn der Server tatsächlich nur noch 6 Monate durchhalten soll;
Erkundige dich mal, ob die Kiste "BMC" unterstützt. Bei anderen Herstellern auch als IRMC bekannt.
BMC
Als M$-Doofs per Update die ganzen Bitlocker bzw. das TPM zerschossen hatte, konnte ich über das IRMC zugriff zum Server erhalten und innerhalb des BMCs über Video In, die Aufforderung des Bitlockerskey sehen und remote eintragen.
Vorrausgesetzt ist natürlich neben der Einrichtung, dass das auch lizensiert ist.
Gruß
AS
