127103
Jun 12, 2017
1879
2
0
Re-Deployment bereits Bitlocker verschlüsselter Tablets
Hallo liebe Admins und Admininnen,
folgender Sachverhalt treibt mich um.
Ich habe mehrere MIIX700 von Lenovo im Einsatz, diese sind mit Win10 Enterprise betankt und Bitlocker verschlüsselt.
Als Entsperrverfahren wird TPM&PIN verwendet.
Für das Deployment von Software und dem initalen Rollout wird ACMP verwendet. OS-Deployment funktioniert quasi über PXE-Boot.
Beim OS-Deployment werden Powershell befehle abgesetz, um Bitlocker einzurichten und zu aktivieren. Das Funktioniert tadellos.
Nun zum Problem.
Wenn ein MIIX bereits verschlüsselt war, funktioniert das Template für das OS-Deployment nicht mehr. (OS wird installiert - Bitlocker läuft nicht - TPM gelockt)
Der Gedanke war klar, vorher TPM-zurücksetzen, Secureboot ausschalten und dann OS-Deployment durchführen. (OS wird installiert -Bitlocker läuft nicht - TPM gelockt)
Beim Versuch Bitlocker nachträglich "händisch" zu aktivieren wurde ich zur Eingabe des TPM-Owner-Auth aufgefordert, welches in der verwendeten Win10 Version 1607 aber nirgendwo mehr gesichert wird! --> https://blogs.technet.microsoft.com/dubaisec/2017/02/28/tpm-owner-passwo ...
Zitat: "starting from Windows 10 1607 we dropped export of TPM Owner password to AD."
"Lösung": nochmal wie wild, händisch TPM zurücksetzen/löschen, Recovery-PW eingeben und das MIIX erneut verschlüsseln.
Frage:
Wie kann ich ein bereits verschlüsseltes Tablet, OS-mäßig Neu-Installieren und BitLocker automatisch aktivieren?
Kann man irgendwie den TPM-Lock verhindern?
Ist es möglich den TPM-Lock automatisch zu entsperren ohne 24h-Wartezeit?
Wie zur Hölle macht ihr das?
Über Lösungen, Anregungen, Hinweise etc. würde ich mich sehr freuen.
Grüße c
folgender Sachverhalt treibt mich um.
Ich habe mehrere MIIX700 von Lenovo im Einsatz, diese sind mit Win10 Enterprise betankt und Bitlocker verschlüsselt.
Als Entsperrverfahren wird TPM&PIN verwendet.
Für das Deployment von Software und dem initalen Rollout wird ACMP verwendet. OS-Deployment funktioniert quasi über PXE-Boot.
Beim OS-Deployment werden Powershell befehle abgesetz, um Bitlocker einzurichten und zu aktivieren. Das Funktioniert tadellos.
Nun zum Problem.
Wenn ein MIIX bereits verschlüsselt war, funktioniert das Template für das OS-Deployment nicht mehr. (OS wird installiert - Bitlocker läuft nicht - TPM gelockt)
Der Gedanke war klar, vorher TPM-zurücksetzen, Secureboot ausschalten und dann OS-Deployment durchführen. (OS wird installiert -Bitlocker läuft nicht - TPM gelockt)
Beim Versuch Bitlocker nachträglich "händisch" zu aktivieren wurde ich zur Eingabe des TPM-Owner-Auth aufgefordert, welches in der verwendeten Win10 Version 1607 aber nirgendwo mehr gesichert wird! --> https://blogs.technet.microsoft.com/dubaisec/2017/02/28/tpm-owner-passwo ...
Zitat: "starting from Windows 10 1607 we dropped export of TPM Owner password to AD."
"Lösung": nochmal wie wild, händisch TPM zurücksetzen/löschen, Recovery-PW eingeben und das MIIX erneut verschlüsseln.
Frage:
Wie kann ich ein bereits verschlüsseltes Tablet, OS-mäßig Neu-Installieren und BitLocker automatisch aktivieren?
Kann man irgendwie den TPM-Lock verhindern?
Ist es möglich den TPM-Lock automatisch zu entsperren ohne 24h-Wartezeit?
Wie zur Hölle macht ihr das?
Über Lösungen, Anregungen, Hinweise etc. würde ich mich sehr freuen.
Grüße c
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 340365
Url: https://administrator.de/contentid/340365
Printed on: April 25, 2024 at 14:04 o'clock
2 Comments
Latest comment
Hi.
Ich kann hier leider nicht aus Erfahrung sprechen, aber: das TPM musst Du mit Sicherheit nicht zurücksetzen. Ich würde tippen, dass ein diskpart clean die Platte in den Urzustand bringt an dann alles funktioniert. Ich weiß aber nicht, ob Du das automatisieren kannst.
Ich kann hier leider nicht aus Erfahrung sprechen, aber: das TPM musst Du mit Sicherheit nicht zurücksetzen. Ich würde tippen, dass ein diskpart clean die Platte in den Urzustand bringt an dann alles funktioniert. Ich weiß aber nicht, ob Du das automatisieren kannst.
Hallo.
Kann ich nicht wirklich nachvollziehen. Das Install legt doch neue Partitionen an, also wird "drüber partitioniert".
Automatisieren könnte ich ggf. ist ja auch ne Antwortdatei vorhanden, in welcher diskpart-Scripte hinterlegt werden könnten.
Kann ich nicht wirklich nachvollziehen. Das Install legt doch neue Partitionen an, also wird "drüber partitioniert".
Automatisieren könnte ich ggf. ist ja auch ne Antwortdatei vorhanden, in welcher diskpart-Scripte hinterlegt werden könnten.
