14
Bitlocker-Management
Hallo zusammen,
da unsere aktuelle Bitlocker-Management-Software EoL geht, wollte ich euch mal fragen was ihr so einsetzt.
Wir haben eine relativ große und verteilte Umgebung >10.000 Clients.
Über einen kurzen Input womit ihr gute Erfahrung gemacht habt, würde ich mich freuen.
Grüße
Jörg
da unsere aktuelle Bitlocker-Management-Software EoL geht, wollte ich euch mal fragen was ihr so einsetzt.
Wir haben eine relativ große und verteilte Umgebung >10.000 Clients.
Über einen kurzen Input womit ihr gute Erfahrung gemacht habt, würde ich mich freuen.
Grüße
Jörg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2432905429
Url: https://administrator.de/contentid/2432905429
Printed on: April 23, 2024 at 17:04 o'clock
14 Comments
Latest comment
Wozu benötigt man da ein Management? Bitlocker per GPO verteilen / aktivieren, Key ins AD schreiben lassen. Fertig.Was hast du sonst an Anforderungen an dieses Management?
Moin,
in unserer Softwareverteilung lassen sich benutzerdefinierte Datenbankfelder anlegen, beschreiben und auslesen.
Beim Rollout von Bitlocker und periodisch wird dort alles Wesentliche automatisch hinterlegt (Key, letzter Status, letztes Prüfdatum).
VG
in unserer Softwareverteilung lassen sich benutzerdefinierte Datenbankfelder anlegen, beschreiben und auslesen.
Beim Rollout von Bitlocker und periodisch wird dort alles Wesentliche automatisch hinterlegt (Key, letzter Status, letztes Prüfdatum).
VG
Zitat von @joerg:
Über einen kurzen Input womit ihr gute Erfahrung gemacht habt, würde ich mich freuen.
Eine ausgereifte Endpoindprotection bietet dies (modular) an (Full Disk Encryption), sodass die zentrale Verwaltung dessen nicht mehr extra ins Gewicht fällt.Über einen kurzen Input womit ihr gute Erfahrung gemacht habt, würde ich mich freuen.
Zitat von @NordicMike:
Wozu benötigt man da ein Management? Bitlocker per GPO verteilen / aktivieren, Key ins AD schreiben lassen. Fertig. Was hast du sonst an Anforderungen an dieses Management?
Wozu benötigt man da ein Management? Bitlocker per GPO verteilen / aktivieren, Key ins AD schreiben lassen. Fertig. Was hast du sonst an Anforderungen an dieses Management?
Naja, wir wollen zum einen sehen welche Clients noch nicht die Verschlüsselung durchgeführt haben (also Delta Soll zu IST) und zum anderen auch eine Art Kontrolle ob es Probleme an einzelnen Clients gibt oder nicht.
Nur weil eine GPO aktiv ist, heißt das ja nicht zwingend, dass sie auch greift.
Zitat von @nachgefragt:
Zitat von @joerg:
Über einen kurzen Input womit ihr gute Erfahrung gemacht habt, würde ich mich freuen.
Eine ausgereifte Endpoindprotection bietet dies (modular) an (Full Disk Encryption), sodass die zentrale Verwaltung dessen nicht mehr extra ins Gewicht fällt.Über einen kurzen Input womit ihr gute Erfahrung gemacht habt, würde ich mich freuen.
Ich würde mal sagen, wir haben eine (Trend Micro) aber die Lösung von TM wird nicht mehr weiter entwickelt. Der Fokus liegt bei TM in anderen Bereichen, ob dies dann die Lösung schlechter macht, wäre ein anderes Thema.
Nur weil eine GPO aktiv ist, heißt das ja nicht zwingend, dass sie auch greift.
Richtig. Mit Powershell könnte ich mir dann die passende Liste filtern was ich sehen will: Die installierten, die nicht installierten, in einer bestimmten OU usw...Hat mir nur insteressiert...
https://www.experts-exchange.com/articles/33771/We-have-bitlocker-so-we- ... hab ich mal verfasst.
Lies es in Ruhe durch, schau mal, ob Dir das reicht
Lies es in Ruhe durch, schau mal, ob Dir das reicht
Zitat von @joerg:
Naja, wir wollen zum einen sehen welche Clients noch nicht die Verschlüsselung durchgeführt haben (also Delta Soll zu IST) und zum anderen auch eine Art Kontrolle ob es Probleme an einzelnen Clients gibt oder nicht.
Nur weil eine GPO aktiv ist, heißt das ja nicht zwingend, dass sie auch greift.
Naja, wir wollen zum einen sehen welche Clients noch nicht die Verschlüsselung durchgeführt haben (also Delta Soll zu IST) und zum anderen auch eine Art Kontrolle ob es Probleme an einzelnen Clients gibt oder nicht.
Nur weil eine GPO aktiv ist, heißt das ja nicht zwingend, dass sie auch greift.
Es ist ja kein großes Ding, das nach den eigenen Bedürfnissen zu skripten. Habe ich mal infrastrukturbedingt für eine Fileshare gemacht (Creator-Owner-Rechtestruktur für die erstellenden Maschinen), da konnte man dann Recovery-Keys rausziehen oder auch den letzten Partitions- und Verschlüsselungsstatus mit Zeitstempel sehen. Genauso oder besser kann man natürlich das AD für die Recovery-Keys nutzen und Reporting an ein Log-Management senden bzw. lokal mit NXlog, Splunk Forwarder etc. einsammeln. Dateibasiert ginge es auch anstelle der Fileshare mit einem Blob-Storage/SAS für mobiles Arbeiten ohne VPN.
Grüße
Richard
Witzig, habe vorhin glatt vergessen, dass ich das ja auch hier mal als Wissensbeitrag auf deutsch eingestellt hatte:
Bitlocker-Verschlüsselung und -Monitoring ohne MBAM
Bitlocker-Verschlüsselung und -Monitoring ohne MBAM
Die Verschlüsselung bei mir war für die administrative Einrichtung im Hintergrund gedacht, also der Nutzer musste die TPM-Pin bei Übergabe ändern bzw. erhielt vom Admin einen Datashur mit dem Startup-Key (Macs). Na ja, geht auch schöner:
# Path configuration
$MonitoringPath = "\\file.share\SystemData\BitlockerMonitoring\"
$RecoveryPath = "\\file.share\SystemData\BitlockerRecovery\"
# Functions
function Get-TimeStamp{
return "[{0:dd/MM/yyyy} {0:HH:mm:ss}]" -f (Get-Date)
}
function EncryptDrive{
# Collect TPM information
$CheckTPM = Get-Tpm
# Set up Bitlocker on a machine with TPM
if ($CheckTPM.TpmPresent -eq $true){
# Enable Bitlocker with the default protector settings and initiate encryption
manage-bde C: -on -SkipHardwareTest -UsedSpaceOnly -EncryptionMethod XTS_AES256 -ForceEncryptionType Software -TPMAndPIN 12345678
# Add numeric and key file recovery protectors and save them to the server
Write-Output "$(Get-TimeStamp) New Recovery Password has been created:" | Out-file $RecoveryPath$env:computername\$env:computername-NumericRecoveryKeys.txt -append
manage-bde C: -protectors -add -RecoveryPassword | Out-file $RecoveryPath$env:computername\$env:computername-NumericRecoveryKeys.txt -append
manage-bde C: -protectors -add -RecoveryKey $RecoveryPath$env:computername
# Retrieve protector status and save summary log file to the server
Write-Output "$(Get-TimeStamp) The current Bitlocker protectors are:" | Out-file $RecoveryPath$env:computername\$env:computername-BitlockerSummary.txt -append
manage-bde C: -protectors -get | Out-file $RecoveryPath$env:computername\$env:computername-BitlockerSummary.txt -append
}
# Set up Bitlocker on a machine without TPM
else{
# Create Startup Key destination
New-Item -ItemType Directory -Force -Path $RecoveryPath$env:computername\StartupKeys
# Enable Bitlocker with the default protector settings and initiate encryption
manage-bde C: -on -SkipHardwareTest -UsedSpaceOnly -EncryptionMethod XTS_AES256 -ForceEncryptionType Software -StartupKey $RecoveryPath$env:computername\StartupKeys
# Add numeric and key file recovery protectors and save them to the server
Write-Output "$(Get-TimeStamp) New Recovery Password has been created:" | Out-file $RecoveryPath$env:computername\$env:computername-NumericRecoveryKeys.txt -append
manage-bde C: -protectors -add -RecoveryPassword | Out-file $RecoveryPath$env:computername\$env:computername-NumericRecoveryKeys.txt -append
manage-bde C: -protectors -add -RecoveryKey $RecoveryPath$env:computername
# Retrieve protector status and save summary log file to the server
Write-Output "$(Get-TimeStamp) The current Bitlocker protectors are:" | Out-file $RecoveryPath$env:computername\$env:computername-BitlockerSummary.txt -append
manage-bde C: -protectors -get | Out-file $RecoveryPath$env:computername\$env:computername-BitlockerSummary.txt -append
}
# Unhide key files
$HiddenKeys = Get-ChildItem -Recurse -path $RecoveryPath$env:computername -Force | where { $_.Attributes -match "Hidden"}
foreach ($KeyFile in $HiddenKeys){
$KeyFile.Attributes = $KeyFile.Attributes -bxor [System.IO.FileAttributes]::Hidden
}
}
# Check Bitlocker state
$CheckBitlocker = Get-BitLockerVolume C:
# Prepare computer files destination
New-Item -ItemType Directory -Force -Path $RecoveryPath$env:computername
# Write log
if ($CheckBitlocker.ProtectionStatus -eq 'On' -AND $CheckBitlocker.EncryptionPercentage -eq 100){
Write-Output "$(Get-TimeStamp) Bitlocker is active." | Out-file $MonitoringPath$env:computername-BLlog.txt -append
}
elseif ($CheckBitlocker.ProtectionStatus -eq 'Off' -AND $CheckBitlocker.EncryptionPercentage -eq 100){
Write-Output "$(Get-TimeStamp) Bitlocker is suspended." | Out-file $MonitoringPath$env:computername-BLlog.txt -append
}
elseif ($CheckBitlocker.ProtectionStatus -eq 'On' -AND $CheckBitlocker.EncryptionPercentage -ne 100){
Write-Output "$(Get-TimeStamp) Bitlocker encryption is in progress." | Out-file $MonitoringPath$env:computername-BLlog.txt -append
}
elseif ($CheckBitlocker.ProtectionStatus -eq 'Off' -AND $CheckBitlocker.EncryptionPercentage -eq 0){
EncryptDrive
Write-Output "$(Get-TimeStamp) Bitlocker is turned off. Encryption has been initiated." | Out-file $MonitoringPath$env:computername-BLlog.txt -append
}
Suchprogramme mit Filtern können Ihnen dabei helfen. Ich arbeite in einer Agentur für digitales Marketing und Internetlösungen, Campai. Ich könnte fragen und sehen, ob ich helfen kann. Ich komme mit dem Code immer durcheinander. Wenn das stimmt, wäre es manchmal, aber nur manchmal, schön, wenn es für einige Aspekte Programme gäbe, wie sie in Windows enthalten sind. Programme, die dir zusätzliche Informationen direkt liefern. Wie auch immer, jedes Betriebssystem hat seine Vor- und Nachteile. Aber Ich hasse Windows, ich suche immer nach Alternativen zu Microsoft-Programmen. Das ist klar.
Hallo zusammen,
vielen Dank schon mal für eure Beiträge.
Wir haben nun eine GPO erstellt mit allen nötigen Einstellungen
- Algorithmus
- Key in AD
- Powershell-Skripte RemoteSigned
Rest alles Standard.
Jetzt sind wir an dem Punkt, dass bei AKTIVEM Bitlocker alles sauber funktioniert wie es sollte.
Aber bei noch deaktiviertem Bitlocker geht es nicht, was logisch ist.
Bitlocker versuchen wir nun per Script (PS) zu aktivieren
Das scheitert aber sobald das Script auf einem Share im Netzwerk liegt.
Führen wir das Script lokal aus, geht es und Bitlocker wird aktiviert und die GPO-Einstellungen werden übernommen.
Komisch ist, wenn ich das Script (bin als Admin am PC angemeldet) ausführe, bekomme ich ne Fehlermeldung, dass ich keine Rechte habe. Starte ich die PS als Admin kann ich das Script ausführen, bekomm dann aber die Meldung, dass das Script respektive der Herausgeber nicht vertrauenswürdig sei.
Gleiche Meldung bekomm ich auch, wenn wir Code-Signed ausschalten.
Jemand eine Idee woran das liegen könnte?
P.S.: Das Script ist signiert über die Root-CA in der AD und hat einen Timestamp bekommen.
vielen Dank schon mal für eure Beiträge.
Wir haben nun eine GPO erstellt mit allen nötigen Einstellungen
- Algorithmus
- Key in AD
- Powershell-Skripte RemoteSigned
Rest alles Standard.
Jetzt sind wir an dem Punkt, dass bei AKTIVEM Bitlocker alles sauber funktioniert wie es sollte.
Aber bei noch deaktiviertem Bitlocker geht es nicht, was logisch ist.
Bitlocker versuchen wir nun per Script (PS) zu aktivieren
manage-bde -on c: -s -rpDas scheitert aber sobald das Script auf einem Share im Netzwerk liegt.
Führen wir das Script lokal aus, geht es und Bitlocker wird aktiviert und die GPO-Einstellungen werden übernommen.
Komisch ist, wenn ich das Script (bin als Admin am PC angemeldet) ausführe, bekomme ich ne Fehlermeldung, dass ich keine Rechte habe. Starte ich die PS als Admin kann ich das Script ausführen, bekomm dann aber die Meldung, dass das Script respektive der Herausgeber nicht vertrauenswürdig sei.
Gleiche Meldung bekomm ich auch, wenn wir Code-Signed ausschalten.
Jemand eine Idee woran das liegen könnte?
P.S.: Das Script ist signiert über die Root-CA in der AD und hat einen Timestamp bekommen.
Zitat von @joerg:
P.S.: Das Script ist signiert über die Root-CA in der AD und hat einen Timestamp bekommen.
P.S.: Das Script ist signiert über die Root-CA in der AD und hat einen Timestamp bekommen.
Ist das Herausgeber-Zertifikat verteilt? Siehe: Nutzung von CodeSigning-Zertifikaten
danke ich glaub das wars...
wir hatten hier ein falsches Verständnis.
Wir sind davon ausgegangen, dass das Herausgeberzertifikat nicht mehr mitgeliefert werden muss, dass das Scrip ein Timestamp bekommen hat und wir waren der Meinung, dass das "genügt" und aussagt, dass es zu diesem Zeitpunkt validiert und gültig ist...
wir hatten hier ein falsches Verständnis.
Wir sind davon ausgegangen, dass das Herausgeberzertifikat nicht mehr mitgeliefert werden muss, dass das Scrip ein Timestamp bekommen hat und wir waren der Meinung, dass das "genügt" und aussagt, dass es zu diesem Zeitpunkt validiert und gültig ist...
