12
BitLocker mit Smartcard??
Hallo,
ist folgendes unter Windows 10 mit BitLocker möglich?
ist folgendes unter Windows 10 mit BitLocker möglich?
- Entsperren einer BitLocker Systemlaufwerksverschlüsselung mit SmartCard
- Wenn SmartCard drin, soll einfach starten
- Wenn keine SmartCard > PIN-Abfrage
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 310394
Url: https://administrator.de/contentid/310394
Ausgedruckt am: 19.11.2024 um 13:11 Uhr
12 Kommentare
Neuester Kommentar
Hi.
Ja, BL funktioniert mit Smartcards als Schlüssel. Wenn Du aber eh einen USB-Smartcardreader bräuchtest und auch eine Smartcard anschaffen müsstest, warum legst Du den Schlüssel nicht auf einen USB-Stick?
Und ja, es funktioniert wie erhofft: Schlüssel nicht angeschlossen bringt die PIN-Abfrage.
Natürlich nur mit win10 Pro.
Ja, BL funktioniert mit Smartcards als Schlüssel. Wenn Du aber eh einen USB-Smartcardreader bräuchtest und auch eine Smartcard anschaffen müsstest, warum legst Du den Schlüssel nicht auf einen USB-Stick?
Und ja, es funktioniert wie erhofft: Schlüssel nicht angeschlossen bringt die PIN-Abfrage.
Natürlich nur mit win10 Pro.
Zitat von @DerWoWusste:
Hi.
Ja, BL funktioniert mit Smartcards als Schlüssel. Wenn Du aber eh einen USB-Smartcardreader bräuchtest und auch eine Smartcard anschaffen müsstest, warum legst Du den Schlüssel nicht auf einen USB-Stick?
Und ja, es funktioniert wie erhofft: Schlüssel nicht angeschlossen bringt die PIN-Abfrage.
Natürlich nur mit win10 Pro.
das funktioniert wohl. Nur wie bekomme ich hin, dass wenn kein Schlüssel da, die PIN abgefragt wird. Da wird mir in diesem Fall nur der Wiederherstellungsschlüssel angeboten. Muss da noch was in den Gruppenrichtlinienkonfiguriert werden?? TPM ist vorhandenHi.
Ja, BL funktioniert mit Smartcards als Schlüssel. Wenn Du aber eh einen USB-Smartcardreader bräuchtest und auch eine Smartcard anschaffen müsstest, warum legst Du den Schlüssel nicht auf einen USB-Stick?
Und ja, es funktioniert wie erhofft: Schlüssel nicht angeschlossen bringt die PIN-Abfrage.
Natürlich nur mit win10 Pro.
Zeig mal bitte die Ausgabe von
manage-bde -protectors -get c:
das geht natürlich nur als Administrator und die Ausgabe hab ich mal etwas gekürzt:
BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.10011
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.
Volume "C:"
Alle Schlüsselschutzvorrichtungen
Numerisches Kennwort:
ID: {abcd}
Kennwort:
000000-000000-000000-000000-000000-000000-000000-000000
TPM und Startschlüssel:
ID: {defg}
PCR-Validierungsprofil:
0, 2, 4, 8, 9, 10, 11
Name der externen Schlüsseldatei:
defg.BEK
Du hast also gar keinen PIN-Protektor eingerichtet. So kann er natürlich nicht kommen.
Führe folgende Befehle aus:
Danach:
Führe folgende Befehle aus:
manage-bde -protectors -delete C: -Type TPMAndStartupKeymanage-bde -protectors -add c: -TPMAndPIN
richtig. Nun ist wohl Recovery Key und TPM + PIN konfiguriert. Wie geht nun TPM+PIN+USB?
Volume "C:"
Alle Schlüsselschutzvorrichtungen
Numerisches Kennwort:
ID: {abcd}
Kennwort:
000000-000000-000000-000000-000000-000000-000000-000000
TPM und PIN:
ID: {defg}
PCR-Validierungsprofil:
0, 2, 4, 8, 9, 10, 11
Ok, Du musst nun noch einen Schritt machen:
(x: ist Dein USB-Laufwerk)
Danach läuft es wie gewünscht.
manage-bde -protectors -add c: -sk x:\Danach läuft es wie gewünscht.
Danke, das funktioniert so sehr gut.
Mich würde nur noch interessieren, wie man es hin bekommt, dass wenn man den Stick abzieht, der Rechner gesperrt wird und auch solange der nicht dran ist nach 5 Minuten Inaktivität gesperrt wird. Die Anmeldung sollte natürlich noch über das Benutzerpasswort erfolgen können.
Folgendes ist bisher eingestellt und sollte so auch mit vorhandenem USB-Stick so bleiben:
Vermutlich brauch ich ein Zusatzprogramm zum definieren der Regeln? Welches kann so etwas?
Mich würde nur noch interessieren, wie man es hin bekommt, dass wenn man den Stick abzieht, der Rechner gesperrt wird und auch solange der nicht dran ist nach 5 Minuten Inaktivität gesperrt wird. Die Anmeldung sollte natürlich noch über das Benutzerpasswort erfolgen können.
Folgendes ist bisher eingestellt und sollte so auch mit vorhandenem USB-Stick so bleiben:
- Automatische Anmeldung des Nutzers, trotz Passwort (über netplwiz)
- kein Sperren bei Inaktivität, kein Standby nach x Minuten, kein Bildschirm"schoner"
Vermutlich brauch ich ein Zusatzprogramm zum definieren der Regeln? Welches kann so etwas?
Du kannst mit dem Taskplaner arbeiten, der kennt Auslöser (so genannte Trigger), die auf Sperrung oder auf Inaktivität reagieren können. Ebenso könnte man einen Trigger erstellen, der an ein Event gebunden ist. Device Removal (Stick abziehen) wird ja in der Ereignisanzeige vermerkt.
Der Task würde dann den Befehl rundll... absetzen, welcher den Rechner sperrt. Die Laufwerke würde ich nicht sperren, wozu? Oder können sich noch andere an dem PC anmelden?
Wenn ja, dann sperre mit
manage-bde -lock d:
zum Beispiel. Ausführendes Konto: system.
Der Task würde dann den Befehl rundll... absetzen, welcher den Rechner sperrt. Die Laufwerke würde ich nicht sperren, wozu? Oder können sich noch andere an dem PC anmelden?
Wenn ja, dann sperre mit
manage-bde -lock d:
zum Beispiel. Ausführendes Konto: system.
das scheint der richtige Weg zu sein. Aber irgendwie harkt das gerade. Device Removal oder Connected wird wohl in DriverFrameworks-Usermod protokolliert. Beim Anschluss des Sticks bspw. über die Ereignis-ID 2003 und
Jetzt könnte ich einen Trigger mit dieser Quelle und Ereignis-ID 2003 hinterlegen, dass dann was passiert. Das hilft mir ja nicht weiter, wenn ich irgendeinen anderen Stick anschließe. Dann passiert ja das selbe. Kann man das irgendwie über die Identifikation XYZ weiter spezifizieren?
Die IDs basieren auf http://dfstream.blogspot.de/2014/01/the-windows-7-event-log-and-usb-dev ...
Der UMDF-Hostprozess ({xxxx}) wurde zum Laden von Treibern für Gerät "SWD\WPDBUSENUM\_??_USBSTOR...{XYZ}" aufgefordert. Jetzt könnte ich einen Trigger mit dieser Quelle und Ereignis-ID 2003 hinterlegen, dass dann was passiert. Das hilft mir ja nicht weiter, wenn ich irgendeinen anderen Stick anschließe. Dann passiert ja das selbe. Kann man das irgendwie über die Identifikation XYZ weiter spezifizieren?
Die IDs basieren auf http://dfstream.blogspot.de/2014/01/the-windows-7-event-log-and-usb-dev ...
Ich kann Dir mal meinen Artikel zu Bad-USB verlinken, da arbeite ich mit Aktionen, die in Abhängigkeit von der Device-ID gestartet werden: Bad-USB geskriptet abwehren (ab Windows 8)
hab mich nun gegen das Wuseln entschieden und einfach USBLogon genommen: http://quadsoft.org/downloads
