none
Bitlocker - Partizioni RRS feed

  • Domanda

  • Ciao a tutti,

    in un ambiente enterprise con MBAM 2.5 SP1 e client Windows 10 (1511-1607-1703) ho gestito tutti i client via GPO. Una sola partizione EFI (Healthy EFI -Windows C: Recovery) per un solo disco.
    Il PIN lavora col TPM.  
    Per GPO, obbligo la crittografia anche alle periferiche removable (con password): se la pendrive non è cifrata resta in sola lettura. 

    ora mi trovo delle richieste di pc con due partizioni logiche sullo stesso disco fisico: ho visto che con la macchina già crittografata è possibile fare lo shrink di c:, ma è impossibile formattare la nuova partizione. Nemmeno con manage-bde -protectors -suspend

    Quindi: devo gestire le partizioni precifratura; Creo D: formatto, poi cifro. Imposto il PIN su c:\ e poi mi viene chiesta la password per cifrare D:\
    La partizione senza OS viene vista e gestita dunque come una pendrive.

    La domanda è: via GPO esiste un modo per avere due partizioni sullo stesso disco fisico crittografate entrambe ma con il solo PIN chiesto all'avvio? Vorrei avere dunque C e D crittografate, ma l'unlock di D: vorrei avvenisse in automatico, senza password grazie solo al PIN inserito al boot. E' fattibile?
    Avete consigli o best practice da consigliarmi?

    Grazie a tutti in anticipo


     

    giovedì 23 novembre 2017 09:02

Tutte le risposte

  • Senza GPO posso eseguire, così la password non mi viene mai più chiesta manage-bde -autounlock -enable D: 

    Ma il dubbio mi resta: un PIN legato al TPM con due partizioni sullo stesso disco fisico, è possibile? 

    giovedì 23 novembre 2017 11:02
  • Purtroppo da quello che mi risulta la richiesta password su volumi non di sistema è proprio una caratteristica dell'agente di MBAM, quindi non è fattibile.

    Dovresti utilizzare il classico BitLocker, infatti non appena si prova forzare la GPO per impedire l'utilizzo di password solitamente MBAM non funziona più correttamente.
    Ho eseguito un test solo con Windows 7 ma immagino che sia lo stesso anche con Windows 10.
    sabato 25 novembre 2017 21:29
    Moderatore
  • Grazie mille!
    lunedì 27 novembre 2017 13:52