Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Bitlocker-Verschlüsselung und -Monitoring ohne MBAM

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

11.11.2018, aktualisiert 17.12.2018, 3570 Aufrufe, 1 Kommentar, 4 Danke

Der Folgende Tipp beschreibt, wie man ohne MBAM die Verschlüsselung erzwingt und monitort.
MBAM ist ein Enterprise-Benefit und somit nicht für jedermann verfügbar.
MBAM sollten die von Euch, die Enterpriseverträge (SA) haben, zumindest einmal ansehen, bevor sie das Folgende umsetzen.

Ich setze als bekannt voraus, dass man für alle Aktionen inklusive der Statusanzeige der Verschlüsselung Adminrechte (oder Systemrechte) benötigt. Ich benutze sowohl Batch als auch Powershellbefehle. Wer eine PIN mit Batch setzen möchte und nicht in Powershell, muss schauen, wie er denn die PIN vergibt – in Batch geht das mit %random% nicht so schön wie mit get-random in Powershell, da %random% unter dem Minimum von 6 Zeichen liegt.
Weitere Voraussetzung sind aktivierte und einsatzbereite TPMs.
->Man sollte immer per GPO erzwingen, dass die Verschlüsselung nicht starten darf, bevor der Recoverykey im AD gespeichert wurde.
->Für die Powershellskripte muss per GPO die Powershell Executionpolicy auf remote-signed gesetzt werden. Ob man nach den Vorkommnissen der letzten Woche Hardwareverschlüsselung zuvor per GPO verbietet, sei jedem selbst überlassen.
->will man PBA PINs setzen, muss dies zuvor per GPO erlaubt werden.

Aktivieren der Verschlüsselung mit TPM (ohne PIN) und used-space-only und XTS_AES256 (man kann den Encryption mode und used-space-Verwendung natürlich auch per GPO erzwingen)
01.
manage-bde -on c: -s -used -rp -em XTS_AES256
Dieses Kommando kann silent ablaufen.

Aktivieren der Verschlüsselung mit TPM (mit Beispiel-PIN 471123) und used-space-only und XTS_AES256
01.
Add-BitLockerKeyProtector -MountPoint "c:" -pin ("471123" | ConvertTo-SecureString -AsPlainText -Force) -TpmAndPinProtector
02.
manage-bde -on c: -s -used -rp -em XTS_AES256
Abfragen, ob komplett verschlüsselt wurde
–> Erstelle eine nach dem Rechner benannte Textdatei mit Status, wenn nicht komplett auf allen Laufwerken wie folgt:
01.
manage-bde -status | findstr /c:"Percentage Encrypted" | findstr /v 100 && manage-bde -status>\\server\share\%computername%.txt
Achtung: diese Syntax passt auf englischen Systemen – bitte anpassen für Eure Sprachen (auf deutsch heißt es nicht "percentage" sondern Prozent!) Man kann diesen Check täglich machen (Startskript oder zu festen Zeiten getriggerter geplanter Task)

Zuordnen einer PIN zu einem Rechner
Man kann einen geplanten Task deployen, der mit Systemrechten läuft.

Ausführendes Konto: system
Taskname (hier im Beispiel): BL (bei anderem Namen bitte Zeile mit schtasks /delete dementsprechend anpassen)
Trigger: bei Logon irgendeines Nutzer („any user“)
Aktion: powershell.exe mit dem Argument \\server\share\BL.ps1 (der Skriptinhalt folgt in 2 Varianten)
Task selbst nur einmal erzeugen („apply once and do not reapply“).
Freigabe \\server\share sollte für Rechnerkonten nicht lesbar, sondern nur exklusiv beschreibbar sein - lesbar nur für Admins! *

Variante 1. Nutzen einer Liste pcs_pins.txt mit Rechnernamen und zugeordneten, zufälligen PINs im Format
PC1 PIN1
PC2 PIN2
...

01.
$array = @(gc \\server\share\pcs_pins.txt | sls $env:COMPUTERNAME ) -split " "
02.
$pin = $array[1]
03.
$SecureString = ConvertTo-SecureString "$pin" -AsPlainText -Force
04.
Add-BitLockerKeyProtector -MountPoint "C:" -Pin $SecureString -TPMandPinProtector 
05.
msg /time:0 * Ihre Festplatte wird nun verschluesselt. Ihre Bitlocker-PIN zum Starten des Rechners ist $pin
06.
manage-bde -on c: -s -used -rp -em XTS_AES256
07.
schtasks /delete /tn BL /f 
oder Variante 2: PIN setzen und danach erst Textdatei befüllen:

01.
$pin=(Get-Random -Minimum 0 -Maximum 999999).ToString('000000')
02.
echo "$pin" | out-file \\server\share\$env:COMPUTERNAME.txt
03.
$SecureString = ConvertTo-SecureString "$pin" -AsPlainText -Force
04.
Add-BitLockerKeyProtector -MountPoint "C:" -Pin $SecureString -TPMandPinProtector 
05.
msg /time:0 * Ihre Festplatte wird nun verschluesselt. Ihre Bitlocker-PIN zum Starten des Rechners ist $pin
06.
manage-bde -on c: -s -used -rp -em XTS_AES256
07.
schtasks /delete /tn BL /f 

Variante 2 ist in dem Fall zu bevorzugen, wenn man den Rechnerkonten keine Leserechte auf die Datei mit allen PINs einräumen möchte. Die PIN ist jeweils 6-stellig.
Der Task löscht sich nach Ausführung selbst. Ob ihr da noch Errorhandling einbauen wollt, sei Euch überlassen - es funktioniert normalerweise problemlos.
Der Nutzer erhält nach Logon ein Popup mit der PIN.

Hat man weitere Partitionen und will man auch noch d:, e: usw. verschlüsseln, kann man so vorgehen:
01.
manage-bde -on d: -used -rp -em XTS_AES256 & manage-bde -autounlock -enable d:
Um abzufragen, ob Bitlocker irgendwo suspendiert ist
->man kann dafür einen geplanten Task deployen, der getriggert ist an:
Logname Microsoft-Windows-BitLocker-API/Management
Event 773,
Source: Bitlocker-Api

und dann Alarm schlägt (Mails senden, Logdateien erstellen). Suspendieren können jedoch nur lokale Admins und Inplace-Upgradeprozesse.
* zur ACL:
01.
icacls \\server\share\
02.
\\server\share\ yourdom\domain computers:(OI)(CI)(W)
03.
                   NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
04.
                   BUILTIN\Administrators:(I)(OI)(CI)(F)
Dies ist ein weiterer Zusatz zum Hauptartikel Meine Wissenssammlung zu Bitlocker
Mitglied: kgborn
11.05.2019, aktualisiert um 04:57 Uhr
FYI: Ich habe mir aus aktuellem Anlass erlaubt, im Heise-Beitrag Microsoft erweitert BitLocker-Verwaltungsoptionen für Unternehmen auf deinen Ansatz hier hinzuweisen und zu verlinken.
Bitte warten ..
Ähnliche Inhalte
Windows Server

Microsoft BitLocker Administration and Monitoring (MBAM v2.5) Tips

Information von DaniWindows Server

Moin, neues aus der Reihe "Ask Premier Field Engineering (PFE) Platforms" Gruß, Dani

Sicherheit

Störung bei Ebay- und Paypal-Authentifizierung

Information von DerWoWussteSicherheit9 Kommentare

Paypal ist, nach Aussage des Supportes mir gegenüber, seit Tagen dabei, eine Störung zu beheben, die Konten betrifft, die ...

Humor (lol)

Winsim Datenroaming in Kanada - Wucher hoch zehn

Information von DerWoWussteHumor (lol)6 Kommentare

Nur mal so kurz notiert: Bei der Ankunft in Kanada wird man von einer netten SMS informiert, dass Daten ...

PHP

PHP RFC: Mcrypt Extension wird ab PHP 7.2 entfernt

Information von FrankPHP

Ein RFC ist grob eine Abstimmung unter den PHP-Entwicklern, um neue, bestehende oder alte Feature hinzuzufügen, zu ändern, oder ...

Neue Wissensbeiträge
Microsoft
PowerShell script für LAPS
Information von kgborn vor 23 StundenMicrosoft4 Kommentare

Kurzer Hinweis für Admins im AD-Umfeld. Ich bin die Tage auf das PowerShell Script der Woche “Local Administrator Password ...

Windows 10
Windows 10 bis Version 1803 und das Zwangs-Upgrade
Information von kgborn vor 23 StundenWindows 10

Ich denke, die meisten Admins hier werden Systeme mit Windows 10 Enterprise einsetzen und Updates per WSUS/SCCM oder ähnlichem ...

Microsoft Office
BSI-Empfehlungen für die Office-Konfiguration
Information von kgborn vor 23 StundenMicrosoft Office

Kurze Information für Admins, die Office verwalten. Das BSI hat einige Regeln für die Absicherung von Office-Konfigurationen veröffentlicht. Ich ...

Windows 10

Sandy-Bridge plus Nvidia plus Win10 1903 braucht Hotfix

Information von DerWoWusste vor 5 TagenWindows 101 Kommentar

Es gibt ein Problem in der seltenen Konstellation Nvidia-Grafikkarte/Sandy-Bridge-CPU/Win10v1903: die von Nvidia vorgeschlagenen Treiber lassen sich nicht installieren. verlinkt ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 Logonskript greift nicht
Frage von xbast1xWindows 1019 Kommentare

Hallo zusammen, da sich die per GPO gemappten Laufwerke bei allen Usern schließen und das Problem sich nicht lösen ...

SAN, NAS, DAS
SFP+ 10GB Module kompatibel?
Frage von get--4SAN, NAS, DAS18 Kommentare

Grüße euch alle, ich bin in mehreren Schulen für die EDV verantwortlich. In einer Schule haben wir eine SAN ...

Entwicklung
Welche Programmiersprache ist das?
Frage von DschingisEntwicklung17 Kommentare

Hallo zusammen, unser ERP-System ermöglicht es, eigene Ansichten zu bearbeiten. Ich würde mich hier gerne weiterbilden. Kann mir jamand ...

Batch & Shell
Powershell Skript für Reg Datei ändern
gelöst Frage von SoccerdeluxBatch & Shell16 Kommentare

Hallo zusammen, ich muss auf einem Windows 10 Pc ein Skript ausführen lassen was sich alle 5 Minuten wiederholt. ...