Bitlocker-Management
Hallo zusammen,
da unsere aktuelle Bitlocker-Management-Software EoL geht, wollte ich euch mal fragen was ihr so einsetzt.
Wir haben eine relativ große und verteilte Umgebung >10.000 Clients.
Über einen kurzen Input womit ihr gute Erfahrung gemacht habt, würde ich mich freuen.
Grüße
Jörg
da unsere aktuelle Bitlocker-Management-Software EoL geht, wollte ich euch mal fragen was ihr so einsetzt.
Wir haben eine relativ große und verteilte Umgebung >10.000 Clients.
Über einen kurzen Input womit ihr gute Erfahrung gemacht habt, würde ich mich freuen.
Grüße
Jörg
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2432905429
Url: https://administrator.de/contentid/2432905429
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
14 Kommentare
Neuester Kommentar
Zitat von @joerg:
Über einen kurzen Input womit ihr gute Erfahrung gemacht habt, würde ich mich freuen.
Eine ausgereifte Endpoindprotection bietet dies (modular) an (Full Disk Encryption), sodass die zentrale Verwaltung dessen nicht mehr extra ins Gewicht fällt.Über einen kurzen Input womit ihr gute Erfahrung gemacht habt, würde ich mich freuen.
https://www.experts-exchange.com/articles/33771/We-have-bitlocker-so-we- ... hab ich mal verfasst.
Lies es in Ruhe durch, schau mal, ob Dir das reicht
Lies es in Ruhe durch, schau mal, ob Dir das reicht
Zitat von @joerg:
Naja, wir wollen zum einen sehen welche Clients noch nicht die Verschlüsselung durchgeführt haben (also Delta Soll zu IST) und zum anderen auch eine Art Kontrolle ob es Probleme an einzelnen Clients gibt oder nicht.
Nur weil eine GPO aktiv ist, heißt das ja nicht zwingend, dass sie auch greift.
Naja, wir wollen zum einen sehen welche Clients noch nicht die Verschlüsselung durchgeführt haben (also Delta Soll zu IST) und zum anderen auch eine Art Kontrolle ob es Probleme an einzelnen Clients gibt oder nicht.
Nur weil eine GPO aktiv ist, heißt das ja nicht zwingend, dass sie auch greift.
Es ist ja kein großes Ding, das nach den eigenen Bedürfnissen zu skripten. Habe ich mal infrastrukturbedingt für eine Fileshare gemacht (Creator-Owner-Rechtestruktur für die erstellenden Maschinen), da konnte man dann Recovery-Keys rausziehen oder auch den letzten Partitions- und Verschlüsselungsstatus mit Zeitstempel sehen. Genauso oder besser kann man natürlich das AD für die Recovery-Keys nutzen und Reporting an ein Log-Management senden bzw. lokal mit NXlog, Splunk Forwarder etc. einsammeln. Dateibasiert ginge es auch anstelle der Fileshare mit einem Blob-Storage/SAS für mobiles Arbeiten ohne VPN.
Grüße
Richard
Witzig, habe vorhin glatt vergessen, dass ich das ja auch hier mal als Wissensbeitrag auf deutsch eingestellt hatte:
Bitlocker-Verschlüsselung und -Monitoring ohne MBAM
Bitlocker-Verschlüsselung und -Monitoring ohne MBAM
Die Verschlüsselung bei mir war für die administrative Einrichtung im Hintergrund gedacht, also der Nutzer musste die TPM-Pin bei Übergabe ändern bzw. erhielt vom Admin einen Datashur mit dem Startup-Key (Macs). Na ja, geht auch schöner:
# Path configuration
$MonitoringPath = "\\file.share\SystemData\BitlockerMonitoring\"
$RecoveryPath = "\\file.share\SystemData\BitlockerRecovery\"
# Functions
function Get-TimeStamp{
return "[{0:dd/MM/yyyy} {0:HH:mm:ss}]" -f (Get-Date)
}
function EncryptDrive{
# Collect TPM information
$CheckTPM = Get-Tpm
# Set up Bitlocker on a machine with TPM
if ($CheckTPM.TpmPresent -eq $true){
# Enable Bitlocker with the default protector settings and initiate encryption
manage-bde C: -on -SkipHardwareTest -UsedSpaceOnly -EncryptionMethod XTS_AES256 -ForceEncryptionType Software -TPMAndPIN 12345678
# Add numeric and key file recovery protectors and save them to the server
Write-Output "$(Get-TimeStamp) New Recovery Password has been created:" | Out-file $RecoveryPath$env:computername\$env:computername-NumericRecoveryKeys.txt -append
manage-bde C: -protectors -add -RecoveryPassword | Out-file $RecoveryPath$env:computername\$env:computername-NumericRecoveryKeys.txt -append
manage-bde C: -protectors -add -RecoveryKey $RecoveryPath$env:computername
# Retrieve protector status and save summary log file to the server
Write-Output "$(Get-TimeStamp) The current Bitlocker protectors are:" | Out-file $RecoveryPath$env:computername\$env:computername-BitlockerSummary.txt -append
manage-bde C: -protectors -get | Out-file $RecoveryPath$env:computername\$env:computername-BitlockerSummary.txt -append
}
# Set up Bitlocker on a machine without TPM
else{
# Create Startup Key destination
New-Item -ItemType Directory -Force -Path $RecoveryPath$env:computername\StartupKeys
# Enable Bitlocker with the default protector settings and initiate encryption
manage-bde C: -on -SkipHardwareTest -UsedSpaceOnly -EncryptionMethod XTS_AES256 -ForceEncryptionType Software -StartupKey $RecoveryPath$env:computername\StartupKeys
# Add numeric and key file recovery protectors and save them to the server
Write-Output "$(Get-TimeStamp) New Recovery Password has been created:" | Out-file $RecoveryPath$env:computername\$env:computername-NumericRecoveryKeys.txt -append
manage-bde C: -protectors -add -RecoveryPassword | Out-file $RecoveryPath$env:computername\$env:computername-NumericRecoveryKeys.txt -append
manage-bde C: -protectors -add -RecoveryKey $RecoveryPath$env:computername
# Retrieve protector status and save summary log file to the server
Write-Output "$(Get-TimeStamp) The current Bitlocker protectors are:" | Out-file $RecoveryPath$env:computername\$env:computername-BitlockerSummary.txt -append
manage-bde C: -protectors -get | Out-file $RecoveryPath$env:computername\$env:computername-BitlockerSummary.txt -append
}
# Unhide key files
$HiddenKeys = Get-ChildItem -Recurse -path $RecoveryPath$env:computername -Force | where { $_.Attributes -match "Hidden"}
foreach ($KeyFile in $HiddenKeys){
$KeyFile.Attributes = $KeyFile.Attributes -bxor [System.IO.FileAttributes]::Hidden
}
}
# Check Bitlocker state
$CheckBitlocker = Get-BitLockerVolume C:
# Prepare computer files destination
New-Item -ItemType Directory -Force -Path $RecoveryPath$env:computername
# Write log
if ($CheckBitlocker.ProtectionStatus -eq 'On' -AND $CheckBitlocker.EncryptionPercentage -eq 100){
Write-Output "$(Get-TimeStamp) Bitlocker is active." | Out-file $MonitoringPath$env:computername-BLlog.txt -append
}
elseif ($CheckBitlocker.ProtectionStatus -eq 'Off' -AND $CheckBitlocker.EncryptionPercentage -eq 100){
Write-Output "$(Get-TimeStamp) Bitlocker is suspended." | Out-file $MonitoringPath$env:computername-BLlog.txt -append
}
elseif ($CheckBitlocker.ProtectionStatus -eq 'On' -AND $CheckBitlocker.EncryptionPercentage -ne 100){
Write-Output "$(Get-TimeStamp) Bitlocker encryption is in progress." | Out-file $MonitoringPath$env:computername-BLlog.txt -append
}
elseif ($CheckBitlocker.ProtectionStatus -eq 'Off' -AND $CheckBitlocker.EncryptionPercentage -eq 0){
EncryptDrive
Write-Output "$(Get-TimeStamp) Bitlocker is turned off. Encryption has been initiated." | Out-file $MonitoringPath$env:computername-BLlog.txt -append
}
Suchprogramme mit Filtern können Ihnen dabei helfen. Ich arbeite in einer Agentur für digitales Marketing und Internetlösungen, Campai. Ich könnte fragen und sehen, ob ich helfen kann. Ich komme mit dem Code immer durcheinander. Wenn das stimmt, wäre es manchmal, aber nur manchmal, schön, wenn es für einige Aspekte Programme gäbe, wie sie in Windows enthalten sind. Programme, die dir zusätzliche Informationen direkt liefern. Wie auch immer, jedes Betriebssystem hat seine Vor- und Nachteile. Aber Ich hasse Windows, ich suche immer nach Alternativen zu Microsoft-Programmen. Das ist klar.
Zitat von @joerg:
P.S.: Das Script ist signiert über die Root-CA in der AD und hat einen Timestamp bekommen.
P.S.: Das Script ist signiert über die Root-CA in der AD und hat einen Timestamp bekommen.
Ist das Herausgeber-Zertifikat verteilt? Siehe: Nutzung von CodeSigning-Zertifikaten