8
Bitlocker automatisch installieren auf dem Systemlaufwerk
Hallo und guten Abend,
ich benötige Hilfe bei der Umsetzung einer automatischen Bitlockerinstallation.
Ich habe in Virtualbox ein Golden Image ( Windows 10) mit Sysprep erstellt.
Das daraus erstellte Image bootet nach der Installation in Windows mit dem integrierten Adminkonto.
Jetzt möchte ich erreichen, das zwingend Laufwerk C mit Bitlocker verschlüsselt wird
und dies automatisch geschieht. Leider bekomme ich das nicht hin.
Ich hoffe auf Hilfe von euch bei der Umsetzung.
LG Frank
ich benötige Hilfe bei der Umsetzung einer automatischen Bitlockerinstallation.
Ich habe in Virtualbox ein Golden Image ( Windows 10) mit Sysprep erstellt.
Das daraus erstellte Image bootet nach der Installation in Windows mit dem integrierten Adminkonto.
Jetzt möchte ich erreichen, das zwingend Laufwerk C mit Bitlocker verschlüsselt wird
und dies automatisch geschieht. Leider bekomme ich das nicht hin.
Ich hoffe auf Hilfe von euch bei der Umsetzung.
LG Frank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 42615243301
Url: https://administrator.de/contentid/42615243301
Printed on: April 28, 2024 at 14:04 o'clock
8 Comments
Latest comment
Nabend.
Wie hast du es denn schon probiert?
Ich habe bei uns im AD das mittels der Hinweise aus folgendem Artikel auf die Beine gestellt:
https://www.windowspro.de/wolfgang-sommergut/bitlocker-aktivieren-manage ...
Allerdings musst du schauen, wie du dann den Wiederherstellungsschlüssel speichers, da ja wahrscheinlich kein AD gegeben ist.
Eventuell mit einer Netzwerkfreigabe auf ein NAS mit Schreibrechten, welche du im Skript verbindest und anschließend wieder trennst.
Gruß
Marc
Wie hast du es denn schon probiert?
Ich habe bei uns im AD das mittels der Hinweise aus folgendem Artikel auf die Beine gestellt:
https://www.windowspro.de/wolfgang-sommergut/bitlocker-aktivieren-manage ...
Allerdings musst du schauen, wie du dann den Wiederherstellungsschlüssel speichers, da ja wahrscheinlich kein AD gegeben ist.
Eventuell mit einer Netzwerkfreigabe auf ein NAS mit Schreibrechten, welche du im Skript verbindest und anschließend wieder trennst.
Gruß
Marc
Hallo,
Da gibt es verschiedene Ansätze…
Per GPO, per Intune…
Da gibt es verschiedene Ansätze…
Per GPO, per Intune…
Hi,
zuallererst die Frage, wie installierst du dein "Golden Image"? Wenn du sowas wie MDT/SCCM/Matrix42 verwendest kannst du SYSPREP getrost vergessen. Du bindest ausschließlich das WIM-File ein und steuerst den Rest über Sequenzen (Unter SCCM/MDT nennt sich das Task-Sequence)
sie auch:
administrator.de | windows-abbild
administrator.de | sysprep-heute-wirklich-noch-zwingend-nötig?
Wenn das alles nicht der Fall ist, kannst du dich daran halten als Einstieg:
https://www.dell.com/support/kbdoc/en-us/000125409/how-to-enable-or-disa ...
https://superuser.com/questions/882047/using-batch-to-automate-manage-bd ...
https://gist.github.com/jesseloudon/7f7482916c2c4c993948c2157a537045
https://answers.microsoft.com/en-us/windows/forum/all/enable-bitlocker-b ...
Noch etwas Know How dazu:
Micorosft.learn | manage-bde Übersicht
Micorosft.learn | manage-bde
Grüße!
zuallererst die Frage, wie installierst du dein "Golden Image"? Wenn du sowas wie MDT/SCCM/Matrix42 verwendest kannst du SYSPREP getrost vergessen. Du bindest ausschließlich das WIM-File ein und steuerst den Rest über Sequenzen (Unter SCCM/MDT nennt sich das Task-Sequence)
sie auch:
administrator.de | windows-abbild
administrator.de | sysprep-heute-wirklich-noch-zwingend-nötig?
Wenn das alles nicht der Fall ist, kannst du dich daran halten als Einstieg:
https://www.dell.com/support/kbdoc/en-us/000125409/how-to-enable-or-disa ...
https://superuser.com/questions/882047/using-batch-to-automate-manage-bd ...
https://gist.github.com/jesseloudon/7f7482916c2c4c993948c2157a537045
https://answers.microsoft.com/en-us/windows/forum/all/enable-bitlocker-b ...
Noch etwas Know How dazu:
Micorosft.learn | manage-bde Übersicht
Micorosft.learn | manage-bde
Grüße!
Moin.
Ich schätze, du hast vor, die Rechner in der Domäne zu betreiben?
Dann wäre es unsinnig, das BL-Deployment vor den Domänenjoin zu legen, da das Keybackup ins AD gehen sollte und der lokale Admin da nicht hinschreiben kann.
Also Domänenjoin und dann automatisieren. Meine Methode habe ich hier als Artikel hinterlegt zusammen mit allem anderen, was man braucht, um MBAM zu vermeiden:
https://www.experts-exchange.com/articles/33771/We-have-bitlocker-so-we- ...
Da ist dann auch ein Skript drin, was verschlüsselt und eine Zufalls-BL-PIN setzt.
Ich schätze, du hast vor, die Rechner in der Domäne zu betreiben?
Dann wäre es unsinnig, das BL-Deployment vor den Domänenjoin zu legen, da das Keybackup ins AD gehen sollte und der lokale Admin da nicht hinschreiben kann.
Also Domänenjoin und dann automatisieren. Meine Methode habe ich hier als Artikel hinterlegt zusammen mit allem anderen, was man braucht, um MBAM zu vermeiden:
https://www.experts-exchange.com/articles/33771/We-have-bitlocker-so-we- ...
Da ist dann auch ein Skript drin, was verschlüsselt und eine Zufalls-BL-PIN setzt.
Hallo zusammen,
erst mal vielen Dank für die Antworten, hat mich wirklich gefreut.
Das Image soll ausschließlich für Notebooks genutzt werden, die nicht in die
Domäne gefahren werden
( bekommen die Mitarbeiter zb fürs die Nutzung von Teams unterwegs mit).
Die Installation der NBs erfolgt dann von Powerusern in verschiedenen Standorten per USB Stick und
soll denen keinen Spielraum geben Bitlocker abzuwählen.
Obwohl mir hier Bedenken aufgekommen sind, das die Kollegen wirklich den BuildIn Administrator
Umbenennen wie ich es gefordert wird.
Ich wollte Bitlocker über die lokalen Richtlinien automatisch starten, habe aber nicht wirklich einen
Punkt gefunden, um dies umzusetzen. Was möglich war, externe Datenträger automatisch zu
verschlüsseln, das funktioniert tadellos.
Kann es sein das MS verschiedene lokalen Richtlinien einfach ignoriert, wie auch diverse andere
Einstellungen die einfach wieder gesetzt werden ? Kann ich MS da aussperren, das meine gesetzten
Einstellungen erhalten bleiben? Zb wird Mail und People im wieder aktiviert…
Kann ich mir eigentlich sysprep sparen ?
Eigentlich ist es ja egal ob die Clients die selbe ID haben ?
LG ans die Wissenden da draußen
erst mal vielen Dank für die Antworten, hat mich wirklich gefreut.
Das Image soll ausschließlich für Notebooks genutzt werden, die nicht in die
Domäne gefahren werden
( bekommen die Mitarbeiter zb fürs die Nutzung von Teams unterwegs mit).
Die Installation der NBs erfolgt dann von Powerusern in verschiedenen Standorten per USB Stick und
soll denen keinen Spielraum geben Bitlocker abzuwählen.
Obwohl mir hier Bedenken aufgekommen sind, das die Kollegen wirklich den BuildIn Administrator
Umbenennen wie ich es gefordert wird.
Ich wollte Bitlocker über die lokalen Richtlinien automatisch starten, habe aber nicht wirklich einen
Punkt gefunden, um dies umzusetzen. Was möglich war, externe Datenträger automatisch zu
verschlüsseln, das funktioniert tadellos.
Kann es sein das MS verschiedene lokalen Richtlinien einfach ignoriert, wie auch diverse andere
Einstellungen die einfach wieder gesetzt werden ? Kann ich MS da aussperren, das meine gesetzten
Einstellungen erhalten bleiben? Zb wird Mail und People im wieder aktiviert…
Kann ich mir eigentlich sysprep sparen ?
Eigentlich ist es ja egal ob die Clients die selbe ID haben ?
LG ans die Wissenden da draußen
@ radiogugu, Hallo Marc…
Manage bde scheint ja eine gangbare Methode für ein lokales System zu sein,
sorry aber ich kenne mich als Techniker leider nicht mit Scripten aus, wie muss das denn aussehen
und vor allem wie binde ich das ein das es bei der Installation automatisch aufgerufen wird ?
LG Frank
Manage bde scheint ja eine gangbare Methode für ein lokales System zu sein,
sorry aber ich kenne mich als Techniker leider nicht mit Scripten aus, wie muss das denn aussehen
und vor allem wie binde ich das ein das es bei der Installation automatisch aufgerufen wird ?
LG Frank
Zitat von @fnetzwerk:
Manage bde scheint ja eine gangbare Methode für ein lokales System zu sein,
sorry aber ich kenne mich als Techniker leider nicht mit Scripten aus, wie muss das denn aussehen
und vor allem wie binde ich das ein das es bei der Installation automatisch aufgerufen wird ?
Manage bde scheint ja eine gangbare Methode für ein lokales System zu sein,
sorry aber ich kenne mich als Techniker leider nicht mit Scripten aus, wie muss das denn aussehen
und vor allem wie binde ich das ein das es bei der Installation automatisch aufgerufen wird ?
Hier kann man sich inspirieren lassen:
https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/a ...
Allerdings finde ich die Vorgehensweise etwas umständlich.
Wenn das weiterhin so bleiben soll, würde ich die Geräte in die Domäne heben, mittels GPO Teams installieren, alle Menüs ausblenden / abschalten und Bitlocker aktivieren und den Schlüssel im AD speichern.
Generell finde ich Laptops nur für Teams bereitzustellen auch etwas sehr teuer. Oder wie werden die Geräte sonst noch verwendet (Outlook, VPN Einwahl, etc.)?
Daher würde ich in eurem Fall eher günstige Tablets kaufen, diese in einem MDM auf Teams und Surfen beschränken, ein paar Apps erlauben und alle Anderen verbieten.
Gruß
Marc
Hallo,
ja das ist teuer, leider gibt es diese vorgaben und ich kann das nicht ändern.
Das mit den Tabletts würde ich auch gut finden.
LG Frank
ja das ist teuer, leider gibt es diese vorgaben und ich kann das nicht ändern.
Das mit den Tabletts würde ich auch gut finden.
LG Frank
