6
Gibt es eine Möglichkeit Bitlocker bei PCs oder VMs ohne TPM automatisch anzumelden mit einem Netzwerklaufwerk
Hallo,
wenn man einen PC/eine VM ohne TPM hat die in einem Netzwerk ist.
Gibt es eine Möglichkeit Bitlocker automatisch zu entschlüsseln über ein Netzwerklaufwerk?
Stefan
wenn man einen PC/eine VM ohne TPM hat die in einem Netzwerk ist.
Gibt es eine Möglichkeit Bitlocker automatisch zu entschlüsseln über ein Netzwerklaufwerk?
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3610778659
Url: https://administrator.de/contentid/3610778659
Printed on: April 25, 2024 at 10:04 o'clock
6 Comments
Latest comment
Hi Stefan,
wie meinst du automatisch über ein Netzlaufwerk entschlüsseln?
Du brauchst ja entweder ein gebootetes System oder den Schlüssel.
Beim gebooteten System kannst du das mit manage-bde machen.
Gruß
wie meinst du automatisch über ein Netzlaufwerk entschlüsseln?
Du brauchst ja entweder ein gebootetes System oder den Schlüssel.
Beim gebooteten System kannst du das mit manage-bde machen.
Gruß
Windows VM ohne TPM, USB Stick oder Kennwort Eingabe automatisch entschlüsseln, so dass man per RPD auf das System zugreifen kann.
Aber woher weiß Windows beim Booten mit welchen Zugangsdaten er diese Schlüssel holen kann?
Stefan
Du brauchst ja entweder ein gebootetes System oder den Schlüssel.
Beim gebooteten System kannst du das mit manage-bde machen.
Ich kann man manage-bde einen Netzwerkpfad eingeben.Beim gebooteten System kannst du das mit manage-bde machen.
Aber woher weiß Windows beim Booten mit welchen Zugangsdaten er diese Schlüssel holen kann?
Stefan
Hi Stefan,
nee, manage-bde geht nur bei gebootetem System und dient zum ver / entschlüsseln mit Bitlocker.
Bei mir sind die Schlüssel im AD abgelegt, da funktioniert das recht gut.
Eine VM habe ich damit aktuell nicht laufen.
Wüsste gerade auch noch nicht, wie das funktionieren soll was du vor hast. Evtl. weil ich es aktuell noch nicht geschnallt habe...
Wie willst du denn per RDP auf eine VM kommen, die noch nicht gebootet ist? Oder geht es dir um die Anmeldungen an sich die sicherer zu machen? Wäre hier evtl. eine Smartcard sinnvoll?
Killtec
nee, manage-bde geht nur bei gebootetem System und dient zum ver / entschlüsseln mit Bitlocker.
Bei mir sind die Schlüssel im AD abgelegt, da funktioniert das recht gut.
Eine VM habe ich damit aktuell nicht laufen.
Wüsste gerade auch noch nicht, wie das funktionieren soll was du vor hast. Evtl. weil ich es aktuell noch nicht geschnallt habe...
Wie willst du denn per RDP auf eine VM kommen, die noch nicht gebootet ist? Oder geht es dir um die Anmeldungen an sich die sicherer zu machen? Wäre hier evtl. eine Smartcard sinnvoll?
Killtec
Hallo,
das ist ja die Frage.
Wenn ich einen PC/VM ohne TPM in einem Netzwerk habe, gibt es eine Möglichkeit ein BL-Verschlüsseltes-Systemlaufwerk zu booten ohne TPM, USB Stick oder Kennwort einzugeben?
Irgendwas mit PreBoot mit Netzwerk oder so.
Zusammen mit einem VPN oder SSH wäre technisch eigentlich kein großes Problem.
Stefan
das ist ja die Frage.
Wenn ich einen PC/VM ohne TPM in einem Netzwerk habe, gibt es eine Möglichkeit ein BL-Verschlüsseltes-Systemlaufwerk zu booten ohne TPM, USB Stick oder Kennwort einzugeben?
Irgendwas mit PreBoot mit Netzwerk oder so.
Zusammen mit einem VPN oder SSH wäre technisch eigentlich kein großes Problem.
Stefan
Hallo,
Es gibt zwar tatsächlich ein Entsperrung übers Netzwerk,
https://docs.microsoft.com/de-de/windows/security/information-protection ...
aber das setzt ein TPM voraus. Hier geht es eher darum dass man keine zusätzliche PIN eingeben muss, wenn man im LAN ist.
Ohne TPM gibt es meines Wissens keine offizielle Lösung.
Bei einer VM könnte man man eventuell versuchen über den Hypervisor der VM einen "USB-Stick" zu geben, auf dem der Key gespeichert ist.
Es gibt aber auch Hypervisor die ein vTPM zur Verfügung stellen können. Vielleicht mal in diese Richtung schauen.
Gruß
Schorsch
Es gibt zwar tatsächlich ein Entsperrung übers Netzwerk,
https://docs.microsoft.com/de-de/windows/security/information-protection ...
aber das setzt ein TPM voraus. Hier geht es eher darum dass man keine zusätzliche PIN eingeben muss, wenn man im LAN ist.
Ohne TPM gibt es meines Wissens keine offizielle Lösung.
Bei einer VM könnte man man eventuell versuchen über den Hypervisor der VM einen "USB-Stick" zu geben, auf dem der Key gespeichert ist.
Es gibt aber auch Hypervisor die ein vTPM zur Verfügung stellen können. Vielleicht mal in diese Richtung schauen.
Gruß
Schorsch
Zitat von @DerSchorsch:
Es gibt zwar tatsächlich ein Entsperrung übers Netzwerk,
https://docs.microsoft.com/de-de/windows/security/information-protection ...
aber das setzt ein TPM voraus. Hier geht es eher darum dass man keine zusätzliche PIN eingeben muss, wenn man im LAN ist.
SiEs gibt zwar tatsächlich ein Entsperrung übers Netzwerk,
https://docs.microsoft.com/de-de/windows/security/information-protection ...
aber das setzt ein TPM voraus. Hier geht es eher darum dass man keine zusätzliche PIN eingeben muss, wenn man im LAN ist.
Ohne TPM gibt es meines Wissens keine offizielle Lösung.
Ich wüsste auch keine, mag das aber nicht wirklich glauben weil der Bedarf dafür vermutlich groß ist.Bei einer VM könnte man man eventuell versuchen über den Hypervisor der VM einen "USB-Stick" zu geben, auf dem der Key gespeichert ist.
Dann ist dieser USB Stick aber unsicher gespeichert.Es gibt aber auch Hypervisor die ein vTPM zur Verfügung stellen können. Vielleicht mal in diese Richtung schauen.
Ja, ESX, Hyper-V und Proxmox können das.Aber ohne Hardware-TPM speichern die den Schlüssel auch nur lokal und unsicher.
Die Einzige Möglichkeit wäre ein eine Pre-Boot-Umgebung welche den Schlüssel über eine verschlüsselte Verbindung von einem anderen Host holt.
