1
SCCM BitLocker Reporting
Mahlzeit.
Da MS ja MBAM abgekündigt hat, habe ich nach einer anderen Möglichkeit für ein zentrales Reporting für BitLocker gesucht - und das hier gefunden:
http://www.scconfigmgr.com/2017/11/14/bitlocker-compliance-reporting-wi ...
Wobei ich gar kein PowerBI machen will - geht nur um die Ablage der Infos in der SCCM-DB, um daraus einen Report definieren zu können per SSRS.
Bin der Anleitung gefolgt, soweit hat das auch geklappt. Um den Conversion Status sehen zu können, wird OSEncryptionType0 ausgewertet - genau dieser Wert fehlt aber bei all meinen bereits vollständig verschlüsselten Maschinen in der Registry, entsprechend ist er auch in der SQL-Query NULL.
Jemand ne Idee dazu?
Sind alles Windows 10 Maschinen, von 2016 LTSB bis 1803 bunt gemischt. Wenn ich auf den Maschinen manage-bde -status ausführe, wird mir korrekt angezeigt Fully Encrypted oder Used Space only. Genau diese Info möchte (muss?) ich aber im Report drin haben, sonst ist der für mich relativ nutzlos.
Wir verschlüsseln nur Windows 10 Maschinen, daher wird XTS-AES 256 als Encryption Method eingesetzt.
Bin für alle Hinweise dankbar!
Cheers,
jsysde
Da MS ja MBAM abgekündigt hat, habe ich nach einer anderen Möglichkeit für ein zentrales Reporting für BitLocker gesucht - und das hier gefunden:
http://www.scconfigmgr.com/2017/11/14/bitlocker-compliance-reporting-wi ...
Wobei ich gar kein PowerBI machen will - geht nur um die Ablage der Infos in der SCCM-DB, um daraus einen Report definieren zu können per SSRS.
Bin der Anleitung gefolgt, soweit hat das auch geklappt. Um den Conversion Status sehen zu können, wird OSEncryptionType0 ausgewertet - genau dieser Wert fehlt aber bei all meinen bereits vollständig verschlüsselten Maschinen in der Registry, entsprechend ist er auch in der SQL-Query NULL.
Jemand ne Idee dazu?
Sind alles Windows 10 Maschinen, von 2016 LTSB bis 1803 bunt gemischt. Wenn ich auf den Maschinen manage-bde -status ausführe, wird mir korrekt angezeigt Fully Encrypted oder Used Space only. Genau diese Info möchte (muss?) ich aber im Report drin haben, sonst ist der für mich relativ nutzlos.
Wir verschlüsseln nur Windows 10 Maschinen, daher wird XTS-AES 256 als Encryption Method eingesetzt.
Bin für alle Hinweise dankbar!
Cheers,
jsysde
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 394268
Url: https://administrator.de/contentid/394268
Ausgedruckt am: 23.11.2024 um 13:11 Uhr
1 Kommentar
*grummel*
Die Lösung hat einen Haken - sie wertet Registry-Einträge aus, nicht den aktuellen Status.
BitLocker wird beim OSD innerhalb einer Task Sequence mit "Full Device Encryption" ausgeführt, schreibt dabei aber den Registry-Key OSEncryptionType _nicht!_ - nachträglich verschlüsselt wird ebenfalls durch eine Task Sequence, die dann ebenfalls nichts in die Registry einträgt.
Setze ich jetzt den Registry Key per GPO, zeigt der Report "Full Disk Encryption", während manage-bde -status Used Space only ausgibt <= letztlich spiegelt aber manage-bde -status ja die aktuellen Einstellungen wieder, ergo ist diese Lösung hinfällig und ich markiere das hier mal als gelöst, auch wenn es ja de facto nicht gelöst ist....
Muss ich wohl doch über CI und Baseline die Clients direkt abfragen und daraus nen Report bauen. Großes Tennis....
Cheers,
jsysde
Die Lösung hat einen Haken - sie wertet Registry-Einträge aus, nicht den aktuellen Status.
BitLocker wird beim OSD innerhalb einer Task Sequence mit "Full Device Encryption" ausgeführt, schreibt dabei aber den Registry-Key OSEncryptionType _nicht!_ - nachträglich verschlüsselt wird ebenfalls durch eine Task Sequence, die dann ebenfalls nichts in die Registry einträgt.
Setze ich jetzt den Registry Key per GPO, zeigt der Report "Full Disk Encryption", während manage-bde -status Used Space only ausgibt <= letztlich spiegelt aber manage-bde -status ja die aktuellen Einstellungen wieder, ergo ist diese Lösung hinfällig und ich markiere das hier mal als gelöst, auch wenn es ja de facto nicht gelöst ist....
Muss ich wohl doch über CI und Baseline die Clients direkt abfragen und daraus nen Report bauen. Großes Tennis....
Cheers,
jsysde
