SCCM - Windows 10 Bitlocker und PXE-Boot
Moin,
ich bin z.Zt. dabei ein neues Win10 Image/SCCM TS für unsere Firma zu erstellen. Eine der neuen Anforderungen ist, dass bei allen Firmen-PC Bitlocker aktiviert wird.
Soweit funktioniert das auch.
- Aktivierung von Bitlocker in der SCCM TS aktiviert
- SSD ist Bitlocker verschlüsselt
- Bitlocker Wiederherstellungsschlüssel liegt im AD
Das Problem kommt aber durch den PXE-Boot. Unsere Rechner sind so konfiguriert, dass die Rechner als 1. Bootdevice von PXE-Booten. Da das PXE-Flag im SCCM nicht zurückgesetzt wurde, bricht der PXE-Boot ab und es wird per Windows Boot-Manager (2. Bootdevice) das OS gestartet. Dabei wird jedoch jedes Mal der Bitlocker Wiederherstellungsschlüssel abgefragt.
Nach etwas Recherche ist das leider kein Bug sondern ein Feature.
https://docs.microsoft.com/en-us/windows/security/information-protection ...
- Failing to boot from a network drive before booting from the hard drive.
Tja,
wie habt Ihr das Problem gelöst, bzw. geht Ihr damit um!?
Gruß
Dirk
ich bin z.Zt. dabei ein neues Win10 Image/SCCM TS für unsere Firma zu erstellen. Eine der neuen Anforderungen ist, dass bei allen Firmen-PC Bitlocker aktiviert wird.
Soweit funktioniert das auch.
- Aktivierung von Bitlocker in der SCCM TS aktiviert
- SSD ist Bitlocker verschlüsselt
- Bitlocker Wiederherstellungsschlüssel liegt im AD
Das Problem kommt aber durch den PXE-Boot. Unsere Rechner sind so konfiguriert, dass die Rechner als 1. Bootdevice von PXE-Booten. Da das PXE-Flag im SCCM nicht zurückgesetzt wurde, bricht der PXE-Boot ab und es wird per Windows Boot-Manager (2. Bootdevice) das OS gestartet. Dabei wird jedoch jedes Mal der Bitlocker Wiederherstellungsschlüssel abgefragt.
Nach etwas Recherche ist das leider kein Bug sondern ein Feature.
https://docs.microsoft.com/en-us/windows/security/information-protection ...
- Failing to boot from a network drive before booting from the hard drive.
Tja,
wie habt Ihr das Problem gelöst, bzw. geht Ihr damit um!?
Gruß
Dirk
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 593749
Url: https://administrator.de/forum/sccm-windows-10-bitlocker-und-pxe-boot-593749.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
6 Kommentare
Neuester Kommentar
Ich würd den PXE von der ersten stelle sowieso entfernen, da es eine SIcherheitslücke ist:
https://www.rapid7.com/db/modules/post/windows/manage/pxeexploit
d.h. man kann recht trivial einfach mal warten bis ein Rechner rebootet und ihn dann kurz mal "patchen"
Edit:
Ein Workaround wäre es den PC zu booten, und dann mit einem "Softwarepaket" Set-PcsvDeviceBootConfiguration auszuführen
https://docs.microsoft.com/en-us/powershell/module/pcsvdevice/set-pcsvde ...
Edit2: Wobei es bei mir auf dem Client nicht geht, da "Set-PcsvDeviceBootConfiguration : Der Vorgang wird auf diesem System nicht unterstützt. Das System hat kein mit Microsoft-IPMI kompatibles Gerät."
Edit3:
Mal ein Random Google Result: https://deployhappiness.com/remotely-pxe-boot-a-computer/
MFG
N-Dude
https://www.rapid7.com/db/modules/post/windows/manage/pxeexploit
d.h. man kann recht trivial einfach mal warten bis ein Rechner rebootet und ihn dann kurz mal "patchen"
Edit:
Ein Workaround wäre es den PC zu booten, und dann mit einem "Softwarepaket" Set-PcsvDeviceBootConfiguration auszuführen
https://docs.microsoft.com/en-us/powershell/module/pcsvdevice/set-pcsvde ...
Edit2: Wobei es bei mir auf dem Client nicht geht, da "Set-PcsvDeviceBootConfiguration : Der Vorgang wird auf diesem System nicht unterstützt. Das System hat kein mit Microsoft-IPMI kompatibles Gerät."
Edit3:
Mal ein Random Google Result: https://deployhappiness.com/remotely-pxe-boot-a-computer/
MFG
N-Dude