Bitlocker-Verschlüsselung und -Monitoring ohne MBAM

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

11.11.2018, aktualisiert 09.10.2020, 8587 Aufrufe, 3 Kommentare, 4 Danke

Der Folgende Tipp beschreibt, wie man ohne MBAM die Verschlüsselung erzwingt und monitort.
MBAM ist ein Enterprise-Benefit und somit nicht für jedermann verfügbar.
MBAM sollten die von Euch, die Enterpriseverträge (SA) haben, zumindest einmal ansehen, bevor sie das Folgende umsetzen.

Ich setze als bekannt voraus, dass man für alle Aktionen inklusive der Statusanzeige der Verschlüsselung Adminrechte (oder Systemrechte) benötigt. Ich benutze sowohl Batch als auch Powershellbefehle. Wer eine PIN mit Batch setzen möchte und nicht in Powershell, muss schauen, wie er denn die PIN vergibt – in Batch geht das mit %random% nicht so schön wie mit get-random in Powershell, da %random% unter dem Minimum von 6 Zeichen liegt.
Weitere Voraussetzung sind aktivierte und einsatzbereite TPMs.
->Man sollte immer per GPO erzwingen, dass die Verschlüsselung nicht starten darf, bevor der Recoverykey im AD gespeichert wurde.
->Für die Powershellskripte muss per GPO die Powershell Executionpolicy auf remote-signed gesetzt werden. Ob man nach den Vorkommnissen der letzten Woche Hardwareverschlüsselung zuvor per GPO verbietet, sei jedem selbst überlassen.
->will man PBA PINs setzen, muss dies zuvor per GPO erlaubt werden:
Computer Configuration > Administrative Templates > Windows Komponenten > BitLocker-Laufwerksverschlüsselung > Betriebssystemlaufwerke >Zusätzliche Authentifizierung beim Start anfordern (Achtung, diese Policy gibt es 2x. Nehmt die für "mindestens Windows Server 2008 R2 oder Windows 7")
->auf aktiviert setzen. Man sollte, wenn man keine Kennwörter zulassen möchte, den ersten Haken entfernen bei "Bitlocker ohne kompatibles TPM zulassen...")

Aktivieren der Verschlüsselung mit TPM (ohne PIN) und used-space-only und XTS_AES256 (man kann den Encryption mode und used-space-Verwendung natürlich auch per GPO erzwingen)
Dieses Kommando kann silent ablaufen.

Aktivieren der Verschlüsselung mit TPM (mit Beispiel-PIN 471123) und used-space-only und XTS_AES256
Abfragen, ob komplett verschlüsselt wurde
–> Erstelle eine nach dem Rechner benannte Textdatei mit Status, wenn nicht komplett auf allen Laufwerken wie folgt:
Achtung: diese Syntax passt auf englischen Systemen – bitte anpassen für Eure Sprachen (auf deutsch heißt es nicht "percentage" sondern Prozent!) Man kann diesen Check täglich machen (Startskript oder zu festen Zeiten getriggerter geplanter Task)

Zuordnen einer PIN zu einem Rechner
Man kann einen geplanten Task deployen, der mit Systemrechten läuft.

Ausführendes Konto: system
Taskname (hier im Beispiel): BL (bei anderem Namen bitte Zeile mit schtasks /delete dementsprechend anpassen)
Trigger: bei Logon irgendeines Nutzer („any user“)
Aktion: powershell.exe mit dem Argument \\server\share\BL.ps1 (der Skriptinhalt folgt in 2 Varianten)
Task selbst nur einmal erzeugen („apply once and do not reapply“).
Freigabe \\server\share sollte für Rechnerkonten nicht lesbar, sondern nur exklusiv beschreibbar sein - lesbar nur für Admins! *

Variante 1. Nutzen einer Liste pcs_pins.txt mit Rechnernamen und zugeordneten, zufälligen PINs im Format
PC1 PIN1
PC2 PIN2
...

oder Variante 2: PIN setzen und danach erst Textdatei befüllen:

Achtung: in beiden Varianten wird der Inhalt des Popups und somit auch die PIN mitgeloggt ins Systemeventlog! Wer das nicht will, sollte das Log danach leeren mittels Clear-EventLog system
Will man das Log jedoch nicht löschen, sondern gar nicht erst die PIN dort auftauchen lassen, kann man statt der msg-Zeile (5) folgende Codezeilen einfügen:
Diese braucht ein unter \\server\appshare plaziertes psexec.exe (von Microsoft runterladbar) und referenziert eine \\server\appshare\message.ps1, die da lauten würde

Variante 2 ist in dem Fall zu bevorzugen, wenn man den Rechnerkonten keine Leserechte auf die Datei mit allen PINs einräumen möchte. Die PIN ist jeweils 6-stellig.
Der Task löscht sich nach Ausführung selbst. Ob ihr da noch Errorhandling einbauen wollt, sei Euch überlassen - es funktioniert normalerweise problemlos.
Der Nutzer erhält nach Logon ein Popup mit der PIN.

Hat man weitere Partitionen und will man auch noch d:, e: usw. verschlüsseln, kann man so vorgehen:
Um abzufragen, ob Bitlocker irgendwo suspendiert ist
->man kann dafür einen geplanten Task deployen, der getriggert ist an:
Logname Microsoft-Windows-BitLocker-API/Management
Event 773,
Source: Bitlocker-Api

und dann Alarm schlägt (Mails senden, Logdateien erstellen). Suspendieren können jedoch nur lokale Admins und Inplace-Upgradeprozesse.
* zur ACL:
Dies ist ein weiterer Zusatz zum Hauptartikel Meine Wissenssammlung zu Bitlocker
Mitglied: kgborn
11.05.2019, aktualisiert um 04:57 Uhr
FYI: Ich habe mir aus aktuellem Anlass erlaubt, im Heise-Beitrag Microsoft erweitert BitLocker-Verwaltungsoptionen für Unternehmen auf deinen Ansatz hier hinzuweisen und zu verlinken.
Bitte warten ..
Mitglied: DerWoWusste
08.10.2020 um 11:10 Uhr
Edit1, 08.10.2020: Hinweis hinzugefügt, dass die PIN ins Systemlog kommt und man dieses leeren sollte über "Clear-EventLog system".
Bitte warten ..
Mitglied: DerWoWusste
09.10.2020 um 15:19 Uhr
Edit2: 09.10.2020: Code hinzugefügt, der die PIN auf andere Weise mitteilt, so dass diese nicht in einem Log aufläuft.
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Lizenzrecht Microsoft Hilfe
gelöst tAmtAm44Vor 1 TagFrageWindows Server31 Kommentare

Guten Abend liebe Community, ich bin vor kurzen bei uns in der Firma für den Vertrieb unsere MS Lizenzen auserwählt worden. Leider habe ich ...

Off Topic
Wohin mit alter (Server)Hardware?
insidERRVor 8 StundenFrageOff Topic31 Kommentare

Hallo zusammen. Nachdem unser Leasing nach 5 Jahren ausgelaufen ist, haben wir auf der Arbeit neue Server bekommen. Wieder sind es zwei Hosts für ...

LAN, WAN, Wireless
WLAN Netz über LAN verstärken
PeterM200Vor 1 TagFrageLAN, WAN, Wireless18 Kommentare

Hallo zusammen! Ich bin neu hier, suche schon seit Stunden im Netz nach einer Lösung für mein Problem und habe mich nun entschlossen, hier ...

Server-Hardware
RPI4 nicht zugreifbar
gelöst winlinVor 1 TagFrageServer-Hardware27 Kommentare

Hallo Zusammen, hoffe jemand kann mir helfen. Ich habe eine RPI4 gekauft. Habe mir zwei SD Karten genommen und auf einer LibreELEC und auf ...

Windows 10
PDF unterschreiben
ahussainVor 1 TagFrageWindows 1012 Kommentare

Hallo allerseits, ich suche (für einen Kunden) nach einem Weg, PDFs zu unterschreiben und dann per Mail zu verschicken. Ich sehe zwei Möglichkeiten: PDF ...

Router & Routing
LTE oder 5G im Wohnmobil
IT-ProfVor 1 TagFrageRouter & Routing14 Kommentare

Hallo Gemeinde, meine Frau hat ein Wohnmobil gekauft. Ganz viel Technik drin im LKW, aber kein Internet über die Hotspot Funktion des Smartphones hinaus. ...

SAN, NAS, DAS
Privater NAS Server für günstig Geld
gelöst pavelruVor 1 TagFrageSAN, NAS, DAS9 Kommentare

Hallo Zusammen, Wir möchte für privat uns einen Speicher für Daten anlegen. Jetzt ist die Frage, welcher empfohlen wird? Wir möchten folgendes beinhalten: - ...

Soziale Netzwerke
Kein Zugriff auf Facebook-Seite
micsonVor 1 TagFrageSoziale Netzwerke8 Kommentare

Hallo, wir betreiben schon recht lange eine Facebook-Seite. So lange, dass damals für die Erstellung der Seite noch kein Facebook-Profil erforderlich war. Die Seite ...