joerg
Goto Top

Bitlocker-Management

Hallo zusammen,

da unsere aktuelle Bitlocker-Management-Software EoL geht, wollte ich euch mal fragen was ihr so einsetzt.
Wir haben eine relativ große und verteilte Umgebung >10.000 Clients.
Über einen kurzen Input womit ihr gute Erfahrung gemacht habt, würde ich mich freuen.

Grüße

Jörg

Content-ID: 2432905429

Url: https://administrator.de/contentid/2432905429

Ausgedruckt am: 05.11.2024 um 18:11 Uhr

NordicMike
NordicMike 07.04.2022 um 09:01:25 Uhr
Goto Top
Wozu benötigt man da ein Management? Bitlocker per GPO verteilen / aktivieren, Key ins AD schreiben lassen. Fertig.Was hast du sonst an Anforderungen an dieses Management?
Tezzla
Tezzla 07.04.2022 aktualisiert um 09:18:57 Uhr
Goto Top
Moin,

in unserer Softwareverteilung lassen sich benutzerdefinierte Datenbankfelder anlegen, beschreiben und auslesen.
Beim Rollout von Bitlocker und periodisch wird dort alles Wesentliche automatisch hinterlegt (Key, letzter Status, letztes Prüfdatum).

VG
nachgefragt
nachgefragt 07.04.2022 um 09:12:43 Uhr
Goto Top
Zitat von @joerg:
Über einen kurzen Input womit ihr gute Erfahrung gemacht habt, würde ich mich freuen.
Eine ausgereifte Endpoindprotection bietet dies (modular) an (Full Disk Encryption), sodass die zentrale Verwaltung dessen nicht mehr extra ins Gewicht fällt.
joerg
joerg 07.04.2022 um 09:16:56 Uhr
Goto Top
Zitat von @NordicMike:

Wozu benötigt man da ein Management? Bitlocker per GPO verteilen / aktivieren, Key ins AD schreiben lassen. Fertig. Was hast du sonst an Anforderungen an dieses Management?

Naja, wir wollen zum einen sehen welche Clients noch nicht die Verschlüsselung durchgeführt haben (also Delta Soll zu IST) und zum anderen auch eine Art Kontrolle ob es Probleme an einzelnen Clients gibt oder nicht.
Nur weil eine GPO aktiv ist, heißt das ja nicht zwingend, dass sie auch greift.
joerg
joerg 07.04.2022 um 09:18:46 Uhr
Goto Top
Zitat von @nachgefragt:

Zitat von @joerg:
Über einen kurzen Input womit ihr gute Erfahrung gemacht habt, würde ich mich freuen.
Eine ausgereifte Endpoindprotection bietet dies (modular) an (Full Disk Encryption), sodass die zentrale Verwaltung dessen nicht mehr extra ins Gewicht fällt.

Ich würde mal sagen, wir haben eine (Trend Micro) aber die Lösung von TM wird nicht mehr weiter entwickelt. Der Fokus liegt bei TM in anderen Bereichen, ob dies dann die Lösung schlechter macht, wäre ein anderes Thema.
NordicMike
NordicMike 07.04.2022 um 09:20:24 Uhr
Goto Top
Nur weil eine GPO aktiv ist, heißt das ja nicht zwingend, dass sie auch greift.
Richtig. Mit Powershell könnte ich mir dann die passende Liste filtern was ich sehen will: Die installierten, die nicht installierten, in einer bestimmten OU usw...

Hat mir nur insteressiert...
DerWoWusste
DerWoWusste 07.04.2022 um 10:03:54 Uhr
Goto Top
https://www.experts-exchange.com/articles/33771/We-have-bitlocker-so-we- ... hab ich mal verfasst.
Lies es in Ruhe durch, schau mal, ob Dir das reicht
C.R.S.
C.R.S. 07.04.2022 um 11:22:39 Uhr
Goto Top
Zitat von @joerg:

Naja, wir wollen zum einen sehen welche Clients noch nicht die Verschlüsselung durchgeführt haben (also Delta Soll zu IST) und zum anderen auch eine Art Kontrolle ob es Probleme an einzelnen Clients gibt oder nicht.
Nur weil eine GPO aktiv ist, heißt das ja nicht zwingend, dass sie auch greift.

Es ist ja kein großes Ding, das nach den eigenen Bedürfnissen zu skripten. Habe ich mal infrastrukturbedingt für eine Fileshare gemacht (Creator-Owner-Rechtestruktur für die erstellenden Maschinen), da konnte man dann Recovery-Keys rausziehen oder auch den letzten Partitions- und Verschlüsselungsstatus mit Zeitstempel sehen. Genauso oder besser kann man natürlich das AD für die Recovery-Keys nutzen und Reporting an ein Log-Management senden bzw. lokal mit NXlog, Splunk Forwarder etc. einsammeln. Dateibasiert ginge es auch anstelle der Fileshare mit einem Blob-Storage/SAS für mobiles Arbeiten ohne VPN.

Grüße
Richard
DerWoWusste
DerWoWusste 07.04.2022 um 13:24:12 Uhr
Goto Top
Witzig, habe vorhin glatt vergessen, dass ich das ja auch hier mal als Wissensbeitrag auf deutsch eingestellt hatte:
Bitlocker-Verschlüsselung und -Monitoring ohne MBAM
C.R.S.
C.R.S. 07.04.2022 um 14:02:13 Uhr
Goto Top
Die Verschlüsselung bei mir war für die administrative Einrichtung im Hintergrund gedacht, also der Nutzer musste die TPM-Pin bei Übergabe ändern bzw. erhielt vom Admin einen Datashur mit dem Startup-Key (Macs). Na ja, geht auch schöner:

# Path configuration
$MonitoringPath = "\\file.share\SystemData\BitlockerMonitoring\"  
$RecoveryPath = "\\file.share\SystemData\BitlockerRecovery\"  

# Functions
function Get-TimeStamp{
	return "[{0:dd/MM/yyyy} {0:HH:mm:ss}]" -f (Get-Date)  
}
function EncryptDrive{
	# Collect TPM information
	$CheckTPM = Get-Tpm
	# Set up Bitlocker on a machine with TPM
	if ($CheckTPM.TpmPresent -eq $true){
		# Enable Bitlocker with the default protector settings and initiate encryption
		manage-bde C: -on -SkipHardwareTest -UsedSpaceOnly -EncryptionMethod XTS_AES256 -ForceEncryptionType Software -TPMAndPIN 12345678
		# Add numeric and key file recovery protectors and save them to the server
		Write-Output "$(Get-TimeStamp) New Recovery Password has been created:" | Out-file $RecoveryPath$env:computername\$env:computername-NumericRecoveryKeys.txt -append  
		manage-bde C: -protectors -add -RecoveryPassword | Out-file $RecoveryPath$env:computername\$env:computername-NumericRecoveryKeys.txt -append
		manage-bde C: -protectors -add -RecoveryKey $RecoveryPath$env:computername 
		# Retrieve protector status and save summary log file to the server
		Write-Output "$(Get-TimeStamp) The current Bitlocker protectors are:" | Out-file $RecoveryPath$env:computername\$env:computername-BitlockerSummary.txt -append  
		manage-bde C: -protectors -get | Out-file $RecoveryPath$env:computername\$env:computername-BitlockerSummary.txt -append
	}
	# Set up Bitlocker on a machine without TPM
	else{
		# Create Startup Key destination
		New-Item -ItemType Directory -Force -Path $RecoveryPath$env:computername\StartupKeys
		# Enable Bitlocker with the default protector settings and initiate encryption
		manage-bde C: -on -SkipHardwareTest -UsedSpaceOnly -EncryptionMethod XTS_AES256 -ForceEncryptionType Software -StartupKey $RecoveryPath$env:computername\StartupKeys
		# Add numeric and key file recovery protectors and save them to the server
		Write-Output "$(Get-TimeStamp) New Recovery Password has been created:" | Out-file $RecoveryPath$env:computername\$env:computername-NumericRecoveryKeys.txt -append  
		manage-bde C: -protectors -add -RecoveryPassword | Out-file $RecoveryPath$env:computername\$env:computername-NumericRecoveryKeys.txt -append
		manage-bde C: -protectors -add -RecoveryKey $RecoveryPath$env:computername 
		# Retrieve protector status and save summary log file to the server
		Write-Output "$(Get-TimeStamp) The current Bitlocker protectors are:" | Out-file $RecoveryPath$env:computername\$env:computername-BitlockerSummary.txt -append  
		manage-bde C: -protectors -get | Out-file $RecoveryPath$env:computername\$env:computername-BitlockerSummary.txt -append
	}
    # Unhide key files
    $HiddenKeys = Get-ChildItem -Recurse -path $RecoveryPath$env:computername -Force | where { $_.Attributes -match "Hidden"}  
    foreach ($KeyFile in $HiddenKeys){
        $KeyFile.Attributes = $KeyFile.Attributes -bxor [System.IO.FileAttributes]::Hidden
    } 
}

# Check Bitlocker state
$CheckBitlocker = Get-BitLockerVolume C:

# Prepare computer files destination
New-Item -ItemType Directory -Force -Path $RecoveryPath$env:computername

# Write log
if ($CheckBitlocker.ProtectionStatus -eq 'On' -AND $CheckBitlocker.EncryptionPercentage -eq 100){  
	Write-Output "$(Get-TimeStamp) Bitlocker is active." | Out-file $MonitoringPath$env:computername-BLlog.txt -append  
}
elseif ($CheckBitlocker.ProtectionStatus -eq 'Off' -AND $CheckBitlocker.EncryptionPercentage -eq 100){  
	Write-Output "$(Get-TimeStamp) Bitlocker is suspended." | Out-file $MonitoringPath$env:computername-BLlog.txt -append  
}
elseif ($CheckBitlocker.ProtectionStatus -eq 'On' -AND $CheckBitlocker.EncryptionPercentage -ne 100){  
	Write-Output "$(Get-TimeStamp) Bitlocker encryption is in progress." | Out-file $MonitoringPath$env:computername-BLlog.txt -append  
}
elseif ($CheckBitlocker.ProtectionStatus -eq 'Off' -AND $CheckBitlocker.EncryptionPercentage -eq 0){  
	EncryptDrive
	Write-Output "$(Get-TimeStamp) Bitlocker is turned off. Encryption has been initiated." | Out-file $MonitoringPath$env:computername-BLlog.txt -append  
}
ShloyCley
ShloyCley 27.05.2022, aktualisiert am 02.06.2022 um 09:30:47 Uhr
Goto Top
Suchprogramme mit Filtern können Ihnen dabei helfen. Ich arbeite in einer Agentur für digitales Marketing und Internetlösungen, Campai. Ich könnte fragen und sehen, ob ich helfen kann. Ich komme mit dem Code immer durcheinander. Wenn das stimmt, wäre es manchmal, aber nur manchmal, schön, wenn es für einige Aspekte Programme gäbe, wie sie in Windows enthalten sind. Programme, die dir zusätzliche Informationen direkt liefern. Wie auch immer, jedes Betriebssystem hat seine Vor- und Nachteile. Aber Ich hasse Windows, ich suche immer nach Alternativen zu Microsoft-Programmen. Das ist klar.
joerg
joerg 01.06.2022 um 16:36:36 Uhr
Goto Top
Hallo zusammen,

vielen Dank schon mal für eure Beiträge.
Wir haben nun eine GPO erstellt mit allen nötigen Einstellungen

- Algorithmus
- Key in AD
- Powershell-Skripte RemoteSigned
Rest alles Standard.

Jetzt sind wir an dem Punkt, dass bei AKTIVEM Bitlocker alles sauber funktioniert wie es sollte.
Aber bei noch deaktiviertem Bitlocker geht es nicht, was logisch ist.
Bitlocker versuchen wir nun per Script (PS) zu aktivieren

manage-bde -on c: -s -rp

Das scheitert aber sobald das Script auf einem Share im Netzwerk liegt.
Führen wir das Script lokal aus, geht es und Bitlocker wird aktiviert und die GPO-Einstellungen werden übernommen.

Komisch ist, wenn ich das Script (bin als Admin am PC angemeldet) ausführe, bekomme ich ne Fehlermeldung, dass ich keine Rechte habe. Starte ich die PS als Admin kann ich das Script ausführen, bekomm dann aber die Meldung, dass das Script respektive der Herausgeber nicht vertrauenswürdig sei.
Gleiche Meldung bekomm ich auch, wenn wir Code-Signed ausschalten.

Jemand eine Idee woran das liegen könnte?

P.S.: Das Script ist signiert über die Root-CA in der AD und hat einen Timestamp bekommen.
C.R.S.
C.R.S. 01.06.2022 um 17:30:56 Uhr
Goto Top
Zitat von @joerg:

P.S.: Das Script ist signiert über die Root-CA in der AD und hat einen Timestamp bekommen.

Ist das Herausgeber-Zertifikat verteilt? Siehe: Nutzung von CodeSigning-Zertifikaten
joerg
joerg 08.06.2022 um 08:51:24 Uhr
Goto Top
danke ich glaub das wars...
wir hatten hier ein falsches Verständnis.
Wir sind davon ausgegangen, dass das Herausgeberzertifikat nicht mehr mitgeliefert werden muss, dass das Scrip ein Timestamp bekommen hat und wir waren der Meinung, dass das "genügt" und aussagt, dass es zu diesem Zeitpunkt validiert und gültig ist...