Bitlocker Passwort via Powershell ändern
Guten Abend in die Runde!
Ich setze gerade eine Verwaltung von Bitlocker verschlüsselten USB-Sticks per Scripts um und finde gerade keine elegante Lösung in der Powershell onthefly das Passwort eines aktuell entschlüsselten USB-Sticks zu ändern. In der GUI geht es bei freigeschaltetem USB-Stick direkt, somit sollte es doch auch einen Befehl dafür geben.
Hintergrund ist eine Softwareverteilung und Abfrage des gewünschten Passworts über eigene GUI.
Kennt jemand hier einen Weg das Passwort in der Powershell zu ändern, ohne gleich den Stick von Bitlocker zu befreien?
Vielen Dank!
Gruß
Jakob
Ich setze gerade eine Verwaltung von Bitlocker verschlüsselten USB-Sticks per Scripts um und finde gerade keine elegante Lösung in der Powershell onthefly das Passwort eines aktuell entschlüsselten USB-Sticks zu ändern. In der GUI geht es bei freigeschaltetem USB-Stick direkt, somit sollte es doch auch einen Befehl dafür geben.
Hintergrund ist eine Softwareverteilung und Abfrage des gewünschten Passworts über eigene GUI.
Kennt jemand hier einen Weg das Passwort in der Powershell zu ändern, ohne gleich den Stick von Bitlocker zu befreien?
Vielen Dank!
Gruß
Jakob
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 667298
Url: https://administrator.de/forum/bitlocker-passwort-via-powershell-aendern-667298.html
Ausgedruckt am: 27.04.2025 um 09:04 Uhr
8 Kommentare
Neuester Kommentar
Moin,
selbst nicht getestet, aber das hier einmal probiert:
Quelle: https://www.top-password.com/blog/tag/change-bitlocker-password-command- ...
Gruß
em-pie
selbst nicht getestet, aber das hier einmal probiert:
manage-bde -changepassword d:Quelle: https://www.top-password.com/blog/tag/change-bitlocker-password-command- ...
Gruß
em-pie
Das ist nicht weiter kompliziert (Beispiel für LW g: )
Mich interessiert, was Du da gerade machst,
manage-bde -protectors -delete -type password g:
$SecureString = ConvertTo-SecureString "NeuesPa$$wort" -AsPlainText -Force
Add-BitLockerKeyProtector -MountPoint "g:" -Passwordprotector -password $SecureString Mich interessiert, was Du da gerade machst,
Hintergrund ist eine Softwareverteilung und Abfrage des gewünschten Passworts über eigene GUI
verrät mir das nicht wirklich. Warum willst Du die Kennwörter ändern? Ich würde gar keine Kennwörter nutzen, sondern (zumindest bei Betrieb ausschließlich auf Rechnern der eigenen Domain) immer SID-Protektoren nutzen.
Moin ihr beiden!
Oh man, Manage-BDE habe ich ganz vergessen abzuklopfen!
Besten Dank, ich werde mir das gleich mal anschauen.
Hintergrund ist die Ablösung von TrueCrypt für USB-Sticks zum internen Datenaustausch. Mit Externen wird momentan immer mal wieder überhaupt nicht verschlüsselt.
Um den Support in Grenzen zu halten habe ich den Verschlüsselungsvorgang, Passwortwechsel, Gruppenfreischaltung per SID in unserer Softwareverwaltung abgelegt. Ziel ist es, User hat Anliegen bezüglich Stick, dann geht er auf unsere SelfService-Webseite, beauftragt den Softwareauftrag für sein Gerät und bekommt kurz danach entsprechende Fragen vom Script gestellt... Nur das Recovery über Wiederherstellungsschlüssel aus der AD wird dann weiter über uns laufen müssen.
Zum Thema TPM/Pin sind mir die Nachteile bekannt. Nach extern ist die Sache ziemlich sicher und darum geht es. Nichts schlimmer als wenn irgendwo ein USB-Stick mit Daten liegen bleibt und jeder sie lesen kann.
Ich danke euch, melde mich später noch einmal!
Gruß
Jakob
Oh man, Manage-BDE habe ich ganz vergessen abzuklopfen!
Besten Dank, ich werde mir das gleich mal anschauen.
Hintergrund ist die Ablösung von TrueCrypt für USB-Sticks zum internen Datenaustausch. Mit Externen wird momentan immer mal wieder überhaupt nicht verschlüsselt.
Um den Support in Grenzen zu halten habe ich den Verschlüsselungsvorgang, Passwortwechsel, Gruppenfreischaltung per SID in unserer Softwareverwaltung abgelegt. Ziel ist es, User hat Anliegen bezüglich Stick, dann geht er auf unsere SelfService-Webseite, beauftragt den Softwareauftrag für sein Gerät und bekommt kurz danach entsprechende Fragen vom Script gestellt... Nur das Recovery über Wiederherstellungsschlüssel aus der AD wird dann weiter über uns laufen müssen.
Zum Thema TPM/Pin sind mir die Nachteile bekannt. Nach extern ist die Sache ziemlich sicher und darum geht es. Nichts schlimmer als wenn irgendwo ein USB-Stick mit Daten liegen bleibt und jeder sie lesen kann.
Ich danke euch, melde mich später noch einmal!
Gruß
Jakob
USB-Sticks zum internen Datenaustausch
Aha! Dann lass doch bitte das Kennwort weg und nimm den SID-Protektor. Wie das geht, steht hier:USB-Stick-Verschlüsselung im Unternehmen - leicht gemacht
"...Gruppenfreischaltung per SID...."
Wie oben steht benutze ich den SID Protektor, allerdings nebst PW und natürlich RecoveryKey per GPO in AD.
Austausch mit Externen geht nicht mit SID.
Gruß
Jakob
Austausch mit Externen geht nicht mit SID.
Ach nee, was Du nicht sagst 
Gut, es war missverständlich zu schreiben "zum internen Datenaustausch".
Hi em-pie,
jetzt weiß ich auch wieder warum ich die Manage-BDE vermieden habe, du kannst das Passwort auf der Shell nicht mitgeben.
Da ich das Passwort allerdings über eine eigene VBS GUI abfrage und in einer Variable halte, muss ich es mitgeben können.
Vielleicht kennt ja doch jemand einen Weg der Manage-BDE die Eingabe rein zu drücken, ich habe es aufgegeben und bin auf das CMDLet in der Powershell gewechselt...
Danke und Gruß
Jakob
jetzt weiß ich auch wieder warum ich die Manage-BDE vermieden habe, du kannst das Passwort auf der Shell nicht mitgeben.
Da ich das Passwort allerdings über eine eigene VBS GUI abfrage und in einer Variable halte, muss ich es mitgeben können.
Vielleicht kennt ja doch jemand einen Weg der Manage-BDE die Eingabe rein zu drücken, ich habe es aufgegeben und bin auf das CMDLet in der Powershell gewechselt...
Danke und Gruß
Jakob
DerWoWusste hatte den richtigen Ansatz für mein Problem, perfekt!
Ich hatte der Problematik wegen, der Manage-BDE das Passwort nicht mitgeben zu können, mich komplett auf CMDLets eingeschossen und deswegen den Ansatz zum Löschen des Protektors via Manage-BDE überhaupt nicht geprüft.
Lösung ist also das Passwort mit der Manage-BDE zu löschen und danach den Protektor mittels CMDLet wieder zu setzen. Via CMDLet kann ich auch meine Variable auslesen und mitgeben...
Mein Problem ist gelöst!
Besten Dank und ein schönes WE später!
Gruß
Jakob
Ich hatte der Problematik wegen, der Manage-BDE das Passwort nicht mitgeben zu können, mich komplett auf CMDLets eingeschossen und deswegen den Ansatz zum Löschen des Protektors via Manage-BDE überhaupt nicht geprüft.
Lösung ist also das Passwort mit der Manage-BDE zu löschen und danach den Protektor mittels CMDLet wieder zu setzen. Via CMDLet kann ich auch meine Variable auslesen und mitgeben...
manage-bde -protectors -delete -type password g:
$SecureString = ConvertTo-SecureString "NeuesPa$$wort" -AsPlainText -Force
Add-BitLockerKeyProtector -MountPoint "g:" -Passwordprotector -password $SecureString Mein Problem ist gelöst!
Besten Dank und ein schönes WE später!
Gruß
Jakob
