locked
Bitlocker, MDT, MBAM RRS feed

  • Frage

  • hallo zusammen,

    nutzt jemand MDT, MBAM und Bitlocker und kann uns etwas aufklären wie das genau funktioniert?

    wir haben jetzt ein funktionierendes MDT Deployment mit TPM und MBAM im Hintergrund. Wenn der Client aufgesetzt wird wird die Festplatte sofort verschlüsselt aber es dauert ca. 8-10 Stunden für 500GB (erscheint etwas lange). Ist das normal Sollte man das erst später bei Auslieferung des PCs durchführen.

    wann braucht man den Recovery Key? Nur wenn die Platte ausgebaut und in einem anderen Rechner eingebaut wird?


    Chris

    Dienstag, 21. November 2017 15:46

Alle Antworten

  • Hi,
     
    Am 21.11.2017 um 16:46 schrieb -- Chris --:
    > wir haben jetzt ein funktionierendes MDT Deployment mit TPM und MBAM im
    > Hintergrund. Wenn der Client aufgesetzt wird wird die Festplatte sofort
    > verschlüsselt aber es dauert ca. 8-10 Stunden für 500GB (erscheint etwas
    > lange).
     
    Nö, wieso? Wenn es eine Spindle ist und ihr den gesammten Speicherplatz
    verschlüsselt. Reduziere es auf das notwendige Volumen.
     
    > Ist das normal Sollte man das erst später bei Auslieferung des
    > PCs durchführen.
     
    Ja, denn MBAM als Agent bietet ja die Möglichkeit, daß der User eine
    individuelle PIN eingeben muss. Ohne PIN ist es praktisch egal. Aber
    selbst dann sollte die Verschlüsselung später erfolgen, denn der MBAM
    Agent speichert die DAten in die SQL Datenbank. MDT nutzt "nur" das AD.
     
    > wann braucht man den Recovery Key? Nur wenn die Platte ausgebaut und in
    > einem anderen Rechner eingebaut wird?
     
    u.A. das ist abhängig von deinen PCR Definitionen. Einige sind
    Hardware/Hersteller abhängig schon per Default gesetzt, oft 7 und 11
    und sie können durch GPOs definiert werden.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Dienstag, 21. November 2017 16:29
  • danke für die Infos Mark,

    interessanter Weise sehe ich hier im Forum deine Antwort nicht? Aber ich habe ja das E-Mail auch noch.

    zwei kurze Fragen hätte ich noch.

    "... reduziere es auf das notwendige Volume"

    wir haben nur eine Platte mit 500GB da lässt sich dann nicht viel reduzieren.

    Habt ihr kleinere Platten

    wird der User beim Arbeiten nicht sehr behindert wenn die Verschlüsselung im Hintergrund 100% braucht.

    Recovery (da haben wir vermutlich noch einen Denkfehler):

    ich habe gelesen, man benötigt den Key bei Hardware Componenten Tausch oder Betriebssystemtausch. Was passiert wenn man Win10 upgradet? (neues Betriebssystem 1709)

    wir haben die Platte zu einem anderen PC eingesteckt und sehen zwar die verschlüsselte Platte aber man kann auch keinen Key eingeben um auf die Daten zuzugreifen und sie zu sichern falls der org. PC defekt ist?


    Chris

    Mittwoch, 22. November 2017 10:03
  • Am 22.11.2017 um 11:03 schrieb -- Chris --:
    > interessanter Weise sehe ich hier im Forum deine Antwort nicht?
     
    Verwirrend ...
     
    > "... reduziere es auf das notwendige Volume"
    > wir haben nur eine Platte mit 500GB da lässt sich dann nicht viel
    > reduzieren.
     
    Laufwerkverschlüsselungstyp auf Betriebssystemlaufwerken erzwingen
    Computer Configuration\Administrative
    Templates\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke\
    -> Auf belegten Speicher ...
     
    > wird der User beim Arbeiten nicht sehr behindert wenn die
    > Verschlüsselung im Hintergrund 100% braucht.
     
    Der merkt da nichts von. Ab i 3te Generation ist AES im Prozessor enthalten.
     
    > Recovery (da haben wir vermutlich noch einen Denkfehler):
    > ich habe gelesen, man benötigt den Key bei Hardware Componenten Tausch
    > oder Betriebssystemtausch. Was passiert wenn man Win10 upgradet? (neues
    > Betriebssystem 1709)
     
    Da wird die Veschlüsselung automatisch durch das SYSTEM beim Windows
    Update pausiert und anschliessend fortgesetzt.
     > wir haben die Platte zu einem anderen PC eingesteckt und sehen zwar die
    > verschlüsselte Platte aber man kann auch keinen Key eingeben um auf die
    > Daten zuzugreifen und sie zu sichern falls der org. PC defekt ist?
     
    doch, zB per Manage-bde -unlock ...
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Mittwoch, 22. November 2017 15:27
  • Am 22.11.2017 schrieb -- Chris --:

    interessanter Weise sehe ich hier im Forum deine Antwort nicht? Aber ich habe ja das E-Mail auch noch.

    Mark, ich und noch ein paar andere hier posten über die sog.
    NNTP-Bridge und schreiben in einem Newsreader/writer. MSFT hat immer
    wieder Probleme mit der Schnittstelle. In ein oder zwei Tagen sind die
    Antworten dann auch sichtbar. ;)

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Mittwoch, 22. November 2017 17:10
  • Am 22.11.2017 schrieb Mark Heitbrink [MVP]:

    Am 22.11.2017 um 11:03 schrieb -- Chris --:

    interessanter Weise sehe ich hier im Forum deine Antwort nicht?

     
    Verwirrend ...

    Mark, die Jungs in Redmond kriegen unsere Antworten zur Zeit wieder
    nur verspätet angezeigt. :(

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Mittwoch, 22. November 2017 17:11
  • Hallo Mark,

    vielleicht hast du noch einen Tipp (da fehlt uns noch Basis Wissen) für uns. Wir haben einen Test-PC mehrmals neu mit Bitlocker aufsetzt. Der letzte Tipp - nur benutze Bereiche verschlüsseln - war super. Nur läuft es um 10 Std schneller.

    Crosspost: https://social.technet.microsoft.com/Forums/de-DE/8f5c58ed-8998-4c58-8c6a-a2a0d49fe410/mbam-forcerecovery-gpo?forum=windowsdeploymentde

    1. Hätte wir den alten PC löschen müssen? In der Gui gibt es keine löschen.

    2. Warum muss man einen User angeben? Fehlt uns hier eine GPO?

    3. Hast du den Tabellen und DB Aufbau verstanden. Irgendwie komisch, dass es hier in der Tabelle CoreKey keinen ReferenzKey zu den PC gibt. In der PC Tabelle steht bei unserem PCxyz ID = 2. Hier ist aber 3 der aktuelle?

    sorry für die vielen Fragen

    man sieht der Key ist in der DB und mit diesem Key aus der DB funktionierte es auch am Client ohne WEB (Screenshot 2).


    Chris

    Samstag, 25. November 2017 07:59