SCCM - Windows 10 Bitlocker und PXE-Boot

monstermania
Goto Top
Moin,
ich bin z.Zt. dabei ein neues Win10 Image/SCCM TS für unsere Firma zu erstellen. Eine der neuen Anforderungen ist, dass bei allen Firmen-PC Bitlocker aktiviert wird.
Soweit funktioniert das auch.
- Aktivierung von Bitlocker in der SCCM TS aktiviert
- SSD ist Bitlocker verschlüsselt
- Bitlocker Wiederherstellungsschlüssel liegt im AD

Das Problem kommt aber durch den PXE-Boot. Unsere Rechner sind so konfiguriert, dass die Rechner als 1. Bootdevice von PXE-Booten. Da das PXE-Flag im SCCM nicht zurückgesetzt wurde, bricht der PXE-Boot ab und es wird per Windows Boot-Manager (2. Bootdevice) das OS gestartet. Dabei wird jedoch jedes Mal der Bitlocker Wiederherstellungsschlüssel abgefragt.

Nach etwas Recherche ist das leider kein Bug sondern ein Feature. ;-) face-wink
https://docs.microsoft.com/en-us/windows/security/information-protection ...
- Failing to boot from a network drive before booting from the hard drive.

Tja,
wie habt Ihr das Problem gelöst, bzw. geht Ihr damit um!?

Gruß
Dirk

Content-Key: 593749

Url: https://administrator.de/contentid/593749

Ausgedruckt am: 18.05.2022 um 11:05 Uhr

Mitglied: DerWoWusste
DerWoWusste 05.08.2020 um 11:54:58 Uhr
Goto Top
Da sehe ich keinen Weg, außer das PXE an zweite Stelle zu setzen.
Ist es nicht so, dass ein Betanken auch mit PXE an 2. Stelle funktionieren würde, da er bei leerer Platte natürlich nicht von Platte bootet, sondern dann weitergeht zu 2. PXE?
Mitglied: monstermania
monstermania 05.08.2020 um 12:52:25 Uhr
Goto Top
Zitat von @DerWoWusste:
Ist es nicht so, dass ein Betanken auch mit PXE an 2. Stelle funktionieren würde, da er bei leerer Platte natürlich nicht von Platte bootet, sondern dann weitergeht zu 2. PXE?
Ja, aber in dem Fall kann man eben nicht im Problemfall mit dem OS die Neuinstallation eines PC anstossen, ohne das Jemand vor Ort ist (z.B. nachts/Wochenende)
- 1. PXE Flag im SCCM löschen
- 2. PC per WOL wecken

Kommt häufiger vor als man denkt!
Mitglied: DerWoWusste
DerWoWusste 05.08.2020 um 12:56:26 Uhr
Goto Top
Verstehe. Ich fürchte, das ist unlösbar.
Mitglied: NetzwerkDude
Lösung NetzwerkDude 05.08.2020 aktualisiert um 13:06:49 Uhr
Goto Top
Ich würd den PXE von der ersten stelle sowieso entfernen, da es eine SIcherheitslücke ist:
https://www.rapid7.com/db/modules/post/windows/manage/pxeexploit
d.h. man kann recht trivial einfach mal warten bis ein Rechner rebootet und ihn dann kurz mal "patchen"

Edit:
Ein Workaround wäre es den PC zu booten, und dann mit einem "Softwarepaket" Set-PcsvDeviceBootConfiguration auszuführen
https://docs.microsoft.com/en-us/powershell/module/pcsvdevice/set-pcsvde ...

Edit2: Wobei es bei mir auf dem Client nicht geht, da "Set-PcsvDeviceBootConfiguration : Der Vorgang wird auf diesem System nicht unterstützt. Das System hat kein mit Microsoft-IPMI kompatibles Gerät."

Edit3:
Mal ein Random Google Result: https://deployhappiness.com/remotely-pxe-boot-a-computer/

MFG
N-Dude
Mitglied: monstermania
monstermania 05.08.2020 um 13:20:50 Uhr
Goto Top
Zitat von @NetzwerkDude:
Ich würd den PXE von der ersten stelle sowieso entfernen, da es eine SIcherheitslücke ist:
Ja, dafür müßte man dann aber auch erstmal einen zusätzlichen PXE-Server in das entsprechende Netzwerk hängen und sicherstellen, dass der fake PXE-Server dann auch schneller reagiert als der 'echte' PXE-Server. Klar, wäre theoretisch möglich, aber die Gefahr sehe ich bei uns eher nicht.

Ein Workaround wäre es den PC zu booten, und dann mit einem "Softwarepaket" Set-PcsvDeviceBootConfiguration auszuführen
https://docs.microsoft.com/en-us/powershell/module/pcsvdevice/set-pcsvde ...
Kann man auch per BIOS-Utility machen (z.B. cctk.exe)
Aber was machst Du nun, wenn der PC zwar noch bootet, aber nicht mehr sauber läuft -> Keine Pakete mehr installiert werden!?
Dann brauchst Du halt Jemanden vor Ort, der die Boot-Reihenfolge im BIOS anpasst...
Mitglied: monstermania
monstermania 12.11.2020 um 15:27:41 Uhr
Goto Top
Moin,
offenbar hat MS ein einsehen gehabt. :-D face-big-smile
Wir haben Ende Oktober ein Update unserer SCCM Infrastruktur auf V2006 gemacht.
Seither funktioniert auch der PXE-Boot mit aktivierter Bitlocker Verschlüsselung!

Gruß
Dirk