locked
BitLocker Win8.1 für user ohne Adminrechte starten. RRS feed

  • Frage

  • Moin Moin, 

    ich versuche gerade BitLocker nachträglich für einige Clients zu aktiveren. 
    Leider komme ich da nicht vorran. Ich möchte eigentlich BL über ein Skript starten. 

    ähnlich diesem hier.

    http://social.technet.microsoft.com/Forums/windows/en-US/6adc5f3f-39f3-44df-b175-b8f8f9748868/windows-8-enablebitlocker-not-working?forum=w8itprosecurity

    weil ich TPM-Only nicht erlaube. Auch möchte ich nicht schon vorne weg eine PIN setzen, dies soll erst der User. 

    Ich schaffe es nicht, BL  ohne Adminrechte zu starten und das er gleichzeitig die GPO´s die Ihm Vorgegeben werden nutzt. Und das alles per Befehl ein zurichten macht ja auch wenig Sinn, dann benötige ich ja die Richtlinien nicht.

    Über ein paar Tipps oder Empfehlungen bin ich dankbar. 

    Ach ja, das EnableBitLocker.vbs script funktioniert auch nicht richtig bei Win 8.1 :/

    mfg

    Montag, 24. März 2014 09:19

Antworten

  • Ups, sorry,

    Am 24.03.2014 11:01, schrieb diddi85:

    Ja das verstehe ich. Ich Verlange über die GPO TPM + PIN.

    .. Ich habe das "only" übersehen.

    Und da ist mein Problem. Ich will das BL startet und gleich die
    Einstellungen der GPO nutzt und ich das nicht noch in einer Batch
    nochmal definieren muss. Mit Adminrechten ist das easy, aber als
    "normaler" user eben nicht oder übersehe ich da was?

    Das anschubsen -> "manage-bde c: -on" ist immer eine Commandline.
    Die GPO alleine kann nur die Werte/Konfiguration übergeben, leider nicht den Start/Initialbefehl. Jedenfalls habe ich das nie geschafft :-)

    Mittlerweile habe ich Bitlocker immer zum Zeitpunkt des Deployments aktiviert, da ist es soweiso ein Script ..

    Das wird wohl ein Computer Startup Script werden. Hm ...
    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort vorgeschlagen Alex Pitulice Freitag, 28. März 2014 11:25
    • Als Antwort markiert Alex Pitulice Montag, 31. März 2014 11:27
    Montag, 24. März 2014 11:03

Alle Antworten

  • Hi,

    Am 24.03.2014 10:19, schrieb diddi85:

    [...] weil ich TPM-Only nicht erlaube.

    Warum nicht?
    Damit ist die Hrdware eindeutig miteinander verheiratet und die Platte wird beim Um-/Ausbau in eine andere Hardware nach dem RecoveryKEy fragen.

    Stichtwort "Schutz der Systemintegrität", findet auch das BSI prima
    https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04337.html

    Ohne TPM musst du USB Stick und PIN kombinieren, PIN alleine geht nicht. Das wäre zB mit Truecrypt möglich, das erlaubt ein Kennwort, was auch eine PIN sein kann.

    Am Ende wird es dazu führen, daß die Leute den USB Stick immer eingesteckt lassen oder inderselben Tasche wie das Notebook haben.
    Der TPM ist natürlich auch immer "onboard", aber den kann ich nicht in ein anderes System stecken.

    Besser: TPM und Sicherung der Keys im AD. Oder wenn ihr SA Kunden seit, weitere Absicherung der Schlüssel mit MBAM.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 24. März 2014 09:53
  • Hy Mark

    Ja das verstehe ich. Ich Verlange über die GPO TPM + PIN.  

    Außerdem darf BL nur starten wenn es die Wiederherstellungsschlüssel in das Computerkonto schreiben kann. 

    Und da ist mein Problem. Ich will das BL startet und gleich die Einstellungen der GPO nutzt und ich das nicht noch in einer Batch nochmal definieren muss. Mit Adminrechten ist das easy, aber als "normaler" user eben nicht oder übersehe ich da was?

    Montag, 24. März 2014 10:01
  • Ups, sorry,

    Am 24.03.2014 11:01, schrieb diddi85:

    Ja das verstehe ich. Ich Verlange über die GPO TPM + PIN.

    .. Ich habe das "only" übersehen.

    Und da ist mein Problem. Ich will das BL startet und gleich die
    Einstellungen der GPO nutzt und ich das nicht noch in einer Batch
    nochmal definieren muss. Mit Adminrechten ist das easy, aber als
    "normaler" user eben nicht oder übersehe ich da was?

    Das anschubsen -> "manage-bde c: -on" ist immer eine Commandline.
    Die GPO alleine kann nur die Werte/Konfiguration übergeben, leider nicht den Start/Initialbefehl. Jedenfalls habe ich das nie geschafft :-)

    Mittlerweile habe ich Bitlocker immer zum Zeitpunkt des Deployments aktiviert, da ist es soweiso ein Script ..

    Das wird wohl ein Computer Startup Script werden. Hm ...
    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort vorgeschlagen Alex Pitulice Freitag, 28. März 2014 11:25
    • Als Antwort markiert Alex Pitulice Montag, 31. März 2014 11:27
    Montag, 24. März 2014 11:03
  • ja genau. für das Deployment wird ein script. 

    Für "bestehende" clients werd ich mir ein skript machen das den  befehl 

    C:\Windows\System32\BitLockerWizardElev.exe \ t

    ausführt. Damit startet die BL GUI.

    Ich dank dir. schöne woche noch

    Montag, 24. März 2014 11:52