none
BitLocker via Powershell aktivieren Win10 RRS feed

  • Frage

  • Ich hoffe mir kann hier wer helfen aktuell versuche ich Bitlocker via Powershell zu aktivieren.  Auf dem NB ist kein TPM Modul verbaut, die GPO zur aktivierung ohne TPM wurde auch gesetzt.

    Aktuell schaut mein Script wie folgt aus.

    $hostname = hostname
    $secureString = ConvertTo-SecureString $hostname -AsPlainText -Force
    Add-BitLockerKeyProtector -MountPoint "C:" -Pin $SecureString -TPMandPinProtector
    $blv = Get-BitLockerVolume -MountPoint "C:"
    Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $blv.KeyProtector[1].KeyProtectorId

    Add-BitLockerKeyProtector läuft noch erfolgreich durch, aber nach einem Neustart bekomme ich die Meldung, dass kein TPM-Modul verbaut ist und BitLocker wurde auch nicht aktiviert. 

    Den Schlüssel wegsichern mit Backup-BitLockerKeyProtector ins AD funktioniert gar nicht, bekomme dann folgende Fehlermeldung hatte bereits auf mehreren Seiten geschaut, jedoch war es überall so geschrieben. Ein anschließender Befehl Bitlocker-Enable funktioniert auch nicht, da er dann sagt eine Verschlüsselungsart wurde bereits ausgewählt.

    Hatte es auch bereits mit der CMD versucht über manage-bde -on c: -tpmandpin was auch funktioniert hatte jedoch muss dies in einem Script gesehen und bei dem Befehl muss der Pin danach zwei mal bestätigt werden was leider nicht direkt in einem Script geht. 

    Vielleicht hat jemand eine Idee bin für jede dankbar. 

    Dienstag, 7. August 2018 13:49

Antworten

  • bei uns geht's damit problemlos?

    changepk /ProductKey NPPR9-FWDCX-xxxxx-H872K-xxxx (wechselt Win10Pro auf Enterprise)
    regedit /s Settings.reg
    manage-bde -protectors -add C: -recoverypassword
    manage-bde -on C:
    manage-bde -protectors -get C: >\\server\share\Bitlockerkeys\%COMPUTERNAME%.txt

    Settings.reg

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE]
    "IdentificationField"=dword:00000001
    "IdentificationFieldString"="Firma"
    "OSEncryptionType"=dword:00000002


    Chris

    Freitag, 17. August 2018 17:37
  • Guck mal hier vorbei:

    https://docs.microsoft.com/en-us/powershell/module/bitlocker/enable-bitlocker?view=win10-ps

    Dienstag, 21. August 2018 13:30

Alle Antworten

  • nimm das integrierte und mitgelieferte manage-bde /? damit geht's mit einen Ein- Zweizeiler 

    Chris

    Donnerstag, 9. August 2018 16:58
  • Hatte ich auch schon versucht, leider muss ich den Pin nach einer Abfrage zwei mal eingeben, was ich natürlich vermeiden möchte und als Pin soll eine abgeänderter Computername verwendet werden. Leider noch keine  Möglichkeit gefunden wie es funktioniert :(
    Freitag, 17. August 2018 12:04
  • bei uns geht's damit problemlos?

    changepk /ProductKey NPPR9-FWDCX-xxxxx-H872K-xxxx (wechselt Win10Pro auf Enterprise)
    regedit /s Settings.reg
    manage-bde -protectors -add C: -recoverypassword
    manage-bde -on C:
    manage-bde -protectors -get C: >\\server\share\Bitlockerkeys\%COMPUTERNAME%.txt

    Settings.reg

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE]
    "IdentificationField"=dword:00000001
    "IdentificationFieldString"="Firma"
    "OSEncryptionType"=dword:00000002


    Chris

    Freitag, 17. August 2018 17:37
  • Guck mal hier vorbei:

    https://docs.microsoft.com/en-us/powershell/module/bitlocker/enable-bitlocker?view=win10-ps

    Dienstag, 21. August 2018 13:30