Embed Size (px)
Citation preview
Bitlocker Deployment
Inhalt
1.) GPO erstellen2.) GPO bearbeiten3.) Ou erstellen4.) GPO verlinken5.) Bitlocker aktivieren6.) RecoveryKey auslesen
Beim Einsatz von Bitlocker wird wahlweise die gesamte Festplatte verschlüsselt. Um diesautomatisiert zu erreichen, sind diverse Einstellungen per GPO nötig.Anforderung: Der RecoveryKey muss zwingend im AD gespeichert werden, damit die Festplattejederzeit Zeit wiederhergestellt werden kann. Das tatsächliche Aktivieren der Verschlüsselung erfolgtmanuell
Voraussetzung: Auf den zu verschlüsselnden PCs sollte für den größtmöglichen Komfort der TPMKey aktiviert werden, falls noch nicht geschehen. Dies ist im BIOS zu bewerkstelligen.
1.) GPO erstellen
2.)GPO bearbeiten
Einstellungen, damit der RecoveryKey im Active Directory gespeichert wird
Zusätzliche Einstellungen
3.) OU erstellen, in dem die Computerobjekte liegen, die später verschlüsselt werdensollen
4.) GPO verlinken
5.) Bitlocker aktivieren
Sind alle obigen Voraussetzungen gegeben, dann lässt sich Bitlocker über das Befehlszeilenprogramm„manage-bde“ aktivierenmanage-bde -on c: -RecoveryPasswordEin fertiges Skript ist im Sysvol hinterlegt. Dies kann auch für eine spätere Automatisierungverwendet werden.
„mange-bde“ kann nur als User mit privelegierten Rechten gestartet werden.
Für die Aktivierung von Bitlocker über die GUI sind folgende Schritte nötig:
Nach dem Neustart erscheint ein Symbol im Tray, über das man sich den Fortschritt derVerschlüsselung anzeigen lassen kann
6.) Recovery Password auslesenVoraussetzung zum Auslesen des RecoveryKeys im Active Directory ist die Installation des WindowsFeatures „Bitlocker Drive Enryption Administration Utilities“ auf einem DC.
