usercrash
Goto Top

Bitlocker-Lw auf Win2012R2 beim Booten automatisch einbinden, System C: unverschlüsselt

Hallo,
habe hier ein recht spezielles Problem mit einem W2012R2-Server ohne TPM:

Der Server wird fernadministriert via RDP, deshalb blockiert beim Remote-Reboot eine Bitlocker-Passwort-Eingabe für C:/System den Neustart, RDP funktioniert ja erst nach dem Systemstart...

Insbesondere die Datenlaufwerke D:/ E:/ F: dieses Servers sollen Bitlocker-verschlüsselt werden.

Idee:
Das zum Booten essentielle Systemlaufwerk C: wird nicht verschlüsselt, die Datenlaufwerke D:/ E:/ F: mit den schützenswerten Dateien werden Bitlocker-verschlüsselt. Damit kann man den Server remote rebooten, ohne dass das Bitlocker-Passwort beim Systemstart abgefragt wird.

Nicht-Systemlaufwerke lassen sich bei Bitlocker meines Wissens aber nur automatisch einbinden, falls auch das Systemlaufwerk Bitlocker-verschlüsselt ist. Da dies hier nicht der Fall wäre, suche ich eine Lösung, diese Datenlaufwerke möglichst zeitnah nach dem Systemstart einzubinden.
Prinzipiell gelingt das Einbinden ja auch per Batch via:
manage-bde -unlock D: -Password

Diesen Batch könnte man verschlüsselt ablegen, nur wie bekomme ich die zugehörigen Laufwerke automatisch und früh eingebunden?
'Autostart' ist wohl zu spät, da von den Laufwerken D:/ E:/ F: Daten für Programmstarts benötigt werden.

Danke und viele Grüße, UC

Bitlocker:
BitLocker Laufwerkverschlüsselung ohne TPM-Chip
https://docs.microsoft.com/de-de/windows/security/information-protection ...

Content-ID: 529189

Url: https://administrator.de/forum/bitlocker-lw-auf-win2012r2-beim-booten-automatisch-einbinden-system-c-unverschluesselt-529189.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

DerWoWusste
DerWoWusste 22.12.2019 um 10:36:35 Uhr
Goto Top
Hi.

Wenn die Hardware nicht gerade uralt ist, wird ein ftpm vorhanden sein. Welches Mainboard?
usercrash
usercrash 22.12.2019 aktualisiert um 11:46:18 Uhr
Goto Top
Hallo,
Motherboard:
CPU Typ HexaCore Intel Xeon E5-2620 v2, 2100 MHz (21 x 100)
Motherboard Name Intel Canoe Pass S2600CP (5 PCI-E x8, 1 PCI-E x16, 16 DDR3 DIMM, Video, Dual Gigabit LAN)
Motherboard Chipsatz Intel Patsburg C600, Intel Ivy Bridge-EP
Arbeitsspeicher 32689 MB (DDR3 SDRAM)

Es gibt wohl einen (unbestückten) Steckplatz für ein TPM-Modul.
Was ist ftpm und wie boote ich damit remote?

Danke + viele Grüße, UC
DerWoWusste
DerWoWusste 22.12.2019 um 11:29:55 Uhr
Goto Top
Kauf das tpm. Beste Lösung mit Abstand.
usercrash
usercrash 22.12.2019 aktualisiert um 11:47:34 Uhr
Goto Top
Jain...
Der Server ist aus dem Support raus, die Unterstützung dementsprechend mau, der soll noch ca. 6 Monate durchhalten.

Wie sähe eine denkbare 'zweitbeste' Lösung aus, mit der ich remote booten kann?

Danke + viele Grüße, UC
DerWoWusste
Lösung DerWoWusste 22.12.2019 aktualisiert um 14:30:47 Uhr
Goto Top
Wir haben das selbe Board mal mit tpm bestückt. Ca. 60€ kostet dich das.

Zweitbeste Lösung ist unsicher, siehe mein von dir verlinkter Artikel. Nicht ratsam.

Du würdest dabei Skripte auf Netzwerkfreigaben nutzen, die von geplanten Tasks gestartet werden nach dem Hochfahren.
Manage-bde -unlock -rp Recoverypasswort

Die Dienste, welche ggf. die Laufwerke benötigen müssen dann nachgestartet werden. Geht alles, hab ich auch Mal so gemacht.
AbstrackterSystemimperator
Lösung AbstrackterSystemimperator 22.12.2019 um 14:34:25 Uhr
Goto Top
Zitat von @usercrash:

Wie sähe eine denkbare 'zweitbeste' Lösung aus, mit der ich remote booten kann?

Moin,

wenn der Server tatsächlich nur noch 6 Monate durchhalten soll;

Erkundige dich mal, ob die Kiste "BMC" unterstützt. Bei anderen Herstellern auch als IRMC bekannt.

BMC

Als M$-Doofs per Update die ganzen Bitlocker bzw. das TPM zerschossen hatte, konnte ich über das IRMC zugriff zum Server erhalten und innerhalb des BMCs über Video In, die Aufforderung des Bitlockerskey sehen und remote eintragen.

Vorrausgesetzt ist natürlich neben der Einrichtung, dass das auch lizensiert ist.

Gruß
AS