20.04.2022, aktualisiert am 21.04.2022

7067

Bitlocker Status prüfen

Moin zusammen,

ich habe per GPO ausgerollt, dass bei allen Clients auf dem OS Laufwerk das Bitlocker aktiviert werden soll.

Bei 50% aller Rechner funktioniert es auch. Bei der anderen Hälfte passiert jedoch nichts.

Mit

manage-bde -status

Sieht man nur, dass Bitlocker nicht aktiviert ist, jedoch sieht man nicht warum.

BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.

Datenträgervolumes, die mit BitLocker-Laufwerkverschlüsselung
geschützt werden können:
Volume "C:" [Windows-SSD]  
[Betriebssystemvolume]

    Größe:                        237,23 GB
    BitLocker-Version:            Kein
    Konvertierungsstatus:         Vollständig entschlüsselt
    Verschlüsselt (Prozent):      0,0 %
    Verschlüsselungsmethode:      Kein
    Schutzstatus:                 Der Schutz ist deaktiviert.
    Sperrungsstatus:              Entsperrt
    ID-Feld:                      Kein
    Schlüsselschutzvorrichtungen: Keine gefunden

Auch die Ereignisanzeige gibt nichts her. Die GPO wurde gezogen, WMI-Filter sind keine gesetzt.
TMP 2.0 Modul wäre vorhanden, wobei ich nichts mit TPM in den GPOs aktiviert habe.

Was kann ich noch prüfen?

Danke Euch in Voraus and keep rockin'

Der Mike

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 2545795699

Url: https://administrator.de/contentid/2545795699

Ausgedruckt am: 22.11.2024 um 12:11 Uhr

24 Kommentare

Neuester Kommentar

Ich lese überall, dass es mit einem Script gestartet werden muss, aber warum funktioniert es dann bereits ohne Script bei der Hälfte aller Geräte?

Wenn BL von Hand aktiviert wurde, oder aber ein MS Konto Hybridkrempel in Benutzung ist, kann es sein, dass es sich automatisch aktiviert (Key in der Cloud).
Richtig, du brauchst ein Skript, ich habe dazu ja einen Artikel hier: Bitlocker-Verschlüsselung und -Monitoring ohne MBAM

Danke erstmal.

Es wurde jedoch nicht manuel aktiviert und auch kein MS Konto angemeldet. Ich habe gerade eine neue Kiste in die Domäne gehoben und diese hat sich von selbst verschlüsselt, ohne, dass ich ein Script ausgeführt habe.

Irgendwo gibt es noch einen Unterschied.

Ich kann dir garantieren, dass ohne MBAM und ohne MS Account nichts Dergleichen passieren wird.
Entweder existiert schon so ein Skript (was aus irgendeinem Grund nicht bei allen funktioniert), oder es läuft MBAM.
Edit: wie man sich irren kann...

Servus @all,
das Verhalten das sich Maschinen selbsttätig verschlüsseln habe ich in den vergangenen Monaten auch schon einige male beobachtet. Das liegt liegt wohl daran das wenn die Hardware-Voraussetzungen für die Verschlüsselung wie TPM&Co. von Windows erkannt werden und die GPOs es zulassen. Des weiteren muss man sich nicht zwingend mit einem MS Account an Windows selbst anmelden, es reicht schon wenn man Office365 installiert und dazu einen MS Account benutzt um es zu aktivieren, oder auch wenn man sich nur mit MS Account in der Store-App angemeldet hat triggert das die automatische Bitlocker-Verschlüsselung.
Gibt dazu ja einen langen Thread im Dell Forum
https://www.dell.com/community/Windows-10/BitLocker-need-a-key-but-I-nev ...
https://www.tenforums.com/antivirus-firewalls-system-security/156929-bit ...
In allen Fällen war aber immer ein MS Account irgendwo schon mal im System registriert, wie gesagt nicht zwingend als Windows-Account selbst. Da gleiche passiert auch wenn man explizit ein Azure-AD nutzt und das nicht abgestellt hat.

Grüße Uwe

Das würde es erklären, einige davon benutzen Teams.

Zitat von @NordicMike:

Das würde es erklären, einige davon benutzen Teams.

Da kommt der Verschlüsselungstrojaner gleich ungefragt vom Hersteller ins Haus...

@NordicMike
Du schriebst ja

Ich habe gerade eine neue Kiste in die Domäne gehoben und diese hat sich von selbst verschlüsselt, ohne, dass ich ein Script ausgeführt habe.

War denn auf der Kiste auch schon Teams benutzt worden?

Es wäre wichtig, das zu klären. Wenn Windows nämlich ohne MS Account verschlüsselt, nur mit der Sicherheit, den Key ins AD geschrieben zu haben, wäre das neu für mich.

War denn auf der Kiste auch schon Teams benutzt worden?

Whoops, du hast Recht, das war ein frisch installiertes Notebook, das hat noch kein Teams oder anderes Microsoft Konto gesehen, nur die GPO. Ich werde noch ein paar neue Laptops in den nächsten Tagen in der Hand halten, da schaue ich nochmal.

Zitat von @colinardo:

Servus @all,
das Verhalten das sich Maschinen selbsttätig verschlüsseln habe ich in den vergangenen Monaten auch schon einige male beobachtet. Das liegt liegt wohl daran das wenn die Hardware-Voraussetzungen für die Verschlüsselung wie TPM&Co. von Windows erkannt werden und die GPOs es zulassen. Des weiteren muss man sich nicht zwingend mit einem MS Account an Windows selbst anmelden, es reicht schon wenn man Office365 installiert und dazu einen MS Account benutzt um es zu aktivieren, oder auch wenn man sich nur mit MS Account in der Store-App angemeldet hat triggert das die automatische Bitlocker-Verschlüsselung.
Gibt dazu ja einen langen Thread im Dell Forum
https://www.dell.com/community/Windows-10/BitLocker-need-a-key-but-I-nev ...
https://www.tenforums.com/antivirus-firewalls-system-security/156929-bit ...
In allen Fällen war aber immer ein MS Account irgendwo schon mal im System registriert, wie gesagt nicht zwingend als Windows-Account selbst. Da gleiche passiert auch wenn man explizit ein Azure-AD nutzt und das nicht abgestellt hat.

Grüße Uwe

Hallo Uwe,
besten Dank für die Info.

Ich frage ganz einfach: Wie kann man dies verhindern? Wir nutzen Office365, warum sind alle anderen Geräte (auch Surfaces) nicht davon betroffen? Idee?

Danke

Ich frage ganz einfach: Wie kann man dies verhindern? Wir nutzen Office365

Also bei der Installation von Teams kommt doch irgendwann mal die Frage, ob die (Azure Domain-)Richtlinien das Gerät verändern dürfen. Das wäre die einzige Stelle, wo ich es mir vorstellen könnte.

Zitat von @scar71:
Ich frage ganz einfach: Wie kann man dies verhindern?

Bitlocker erst mal per Policy nicht erlauben.
https://www.techsupportall.com/how-to-disable-bitlocker-in-windows-10/#m ...
TPM per WMI deaktivieren, oder eben MBAM/SCCM/Intune nutzen und Policies für die Geräte definieren.

Wir nutzen Office365, warum sind alle anderen Geräte (auch Surfaces) nicht davon betroffen? Idee?

Vermutlich weil sie MS Anforderungen für eine solche Auto-Verschlüsselung nicht vollständig erfüllen (welche das vollständigerweise alle sind, musst du MS fragen).

Zitat von @DerWoWusste:

@NordicMike
Du schriebst ja

Ich habe gerade eine neue Kiste in die Domäne gehoben und diese hat sich von selbst verschlüsselt, ohne, dass ich ein Script ausgeführt habe.

Zur Info:
Ich habe gerade ein Laptop mit einem Windows 10 USB Stick neu installiert. In die Domain gehoben und bähm! Laufwerk ist verschlüsselt und ein Wiederherstellungskey ins AD eingetragen. Noch keine Software installiert, er nur die GPOs gezogen.

Zitat von @NordicMike:
Noch keine Software installiert, er nur die GPOs gezogen.

Welche wären das genau bei dir? Welche Eventlog-Einträge gibt es zu dem Zeitpunkt dazu auf dem Client?

Zitat von @NordicMike:

Zitat von @DerWoWusste:

@NordicMike
Du schriebst ja

Ich habe gerade eine neue Kiste in die Domäne gehoben und diese hat sich von selbst verschlüsselt, ohne, dass ich ein Script ausgeführt habe.

Kannst du die relevanten GPOs mal probieren?
Was für ein Laptopmodell? vohrer komplett platt gemacht, richtig?

Ok, dann lass uns bitte Folgendes kontrollieren, um Klarheit zu gewinnen:
öffne msinfo32 elevated und gib folgende Zeile bei Dir wieder

Ein Lenovo ThinkBook 14s Yoga ITL
Ich habe ihn nur neu partitioniert, das sollte hoffentlich reichen um die alte Verschlüsselung zu löschen. Zumindest hat er mich nicht nach dem alten Wiederherstellungs Key gefragt um auf die Platte zugreifen zu können.

@DerWoWusste

Bei diesem Laptop, wo er jetzt sofort verschlüsselt hat, sieht es so aus:

Ich werde dann mal auf ein Gerät warten, bei dem es nicht klappt.

Schau dir dann auch mal die TPM-Einstellungen/Status des Gerätes in der Systemsteuerung an. (tpm.msc)

Gerade gelesen ... und damit ist das Verhalten nun klar

Übersicht über die BitLocker-Geräteverschlüsselung in Windows (11.03.2022)

Ab Windows 8.1 aktiviert Windows automatisch die BitLocker-Geräteverschlüsselung auf Geräten, die modernen Standbymodus unterstützen. Mit Windows 11 und Windows 10 bietet Microsoft BitLocker-Geräteverschlüsselung auf einer viel größeren Palette von Geräten, einschließlich modernen Standbygeräten und Geräten, die Windows 10 Home Edition oder Windows 11 ausgeführt werden. What is Modern Standby

Wenn eine Neuinstallation von Windows 11 oder Windows 10 abgeschlossen ist und die Sofortumgebung abgeschlossen ist, wird der Computer für die erste Verwendung vorbereitet. Im Rahmen dieser Vorbereitung wird die BitLocker-Geräteverschlüsselung auf dem Betriebssystemlaufwerk und den Festplattenlaufwerken auf dem Computer mit einem unverschlüsselten Schlüssel initialisiert (dies entspricht dem Standardmäßigen BitLocker-Angehalten-Zustand). In diesem Zustand wird das Laufwerk mit einem Warnsymbol in Windows Explorer angezeigt. Das gelbe Warnsymbol wird entfernt, nachdem die TPM-Schutzkomponente erstellt wurde und der Wiederherstellungsschlüssel gesichert wird, wie in den folgenden Aufzählungspunkten erläutert.
Wenn das Gerät keiner Domäne angehört, ist ein Microsoft-Konto erforderlich, das über Administratorrechte auf dem Gerät verfügt. Wenn der Administrator ein Microsoft-Konto zur Anmeldung verwendet, wird der unverschlüsselte Schlüssel entfernt, ein Wiederherstellungsschlüssel wird in das Microsoft-Onlinekonto hochgeladen, und eine TPM-Schutzvorrichtung wird erstellt. Sollte ein Gerät einen Wiederherstellungsschlüssel benötigen, wird der Benutzer zunächst zur Nutzung eines anderen Geräts aufgefordert und navigiert dann zu einer Zugriffs-URL, von der er mithilfe seiner Anmeldeinformationen für das Microsoft-Konto den Wiederherstellungsschlüssel abrufen kann.
Wenn der Benutzer sich mit einem Domänenkonto anmeldet, wird der unverschlüsselte Schlüssel erst dann entfernt, wenn der Benutzer das Gerät einer Domäne hinzufügt und der Wiederherstellungsschlüssel erfolgreich in den Active Directory-Domänendiensten (AD DS) gesichert ist. Die Gruppenrichtlinieneinstellung Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke muss aktiviert sein, und die Option "BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS gespeichert wurden" muss ausgewählt sein. Mit dieser Konfiguration wird das Wiederherstellungskennwort automatisch erstellt, wenn der Computer der Domäne beitritt, und anschließend wird der Wiederherstellungsschlüssel in ADDS gesichert, die TPM-Schutzvorrichtung wird erstellt, und der unverschlüsselte Schlüssel wird entfernt.
Ähnlich wie bei der Anmeldung mit einem Domänenkonto wird der unverschlüsselte Schlüssel entfernt, wenn sich der Benutzer auf dem Gerät bei einem Azure AD-Konto anmeldet. Wie im vorhergehenden Punkt beschrieben, wird das Wiederherstellungskennwort automatisch erstellt, wenn der Benutzer sich bei Azure AD authentifiziert. Anschließend wird der Wiederherstellungsschlüssel in Azure AD gesichert, die TPM-Schutzvorrichtung wird erstellt, und der unverschlüsselte Schlüssel wird entfernt.

Der automatische BitLocker-Geräteverschlüsselungsprozess kann jedoch verhindert werden, indem die folgende Registrierungseinstellung geändert wird:

Unterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
Wert: PreventDeviceEncryption equal to True (1)
Typ: REG_DWORD

Die Ausgabe von msinfo32 reicht so nicht, wie dein Screenshot aussagt, hast Du es nicht elevated gestartet.
Also: Winkey+r, dort msinfo32 eingeben und STRG-Shift-Enter

oooochhhh... Hier, mit Admin Rechten :c)

Danke Dir...

Ich warte dann mal auf ein Gerät, bei dem es noch nicht funktioniert.

Na siehste. Dann wird die Theorie so stimmen.
Meine Schäfchen hier haben nur in den seltensten Fällen die Voraussetzungen erfüllt und gerade diese Geräte, welche es erfüllen, werden mit Baremetal-Hypervisor betrieben.

Gut, wieder was gelernt: wenn Hardwarevoraussetzungen UND AD-Backup oder Cloudbackup des Keys gegeben ist, dann legt BL/BL Device encryption automatisch los.