1 2 Previous Next 17 Replies Latest reply on Mar 30, 2018 4:16 AM by georg.leitner

    Bitlocker im DSM Umfeld inkl. Speicherung und Verwaltung der .bek Files + Recovery Keys

    adgean18 Rookie

      Hallo zusammen,

       

      wir haben aktuell die Anforderung unsere HW Clients die von DSM verwaltet werden mit Bitlocker auszustatten.

       

      MBAM etc wollen wir aufgrund des Aufwands eigentlich vermeiden,

      Jetzt war die Idee das Ganze über DSM zu steuern. Leider fehlt mir aktuell noch das KnowHow welche Möglichkeiten es gibt und wie man das Ganze umsetzen kann.

       

      Deswegen wollte ich eine neue Diskussion starten zu diesen Thema..

       

      Wie kann ich DSM dazu bringen das auf dem Client die Verschlüsselung angestoßen wird?

      -> Mit einen Script - gibt es hierzu irgendwie schon Anwendungsbeispiele die man adaptieren kann?

       

      Kann man DSM dazu bringen die .bek Dateien und die Recoveryschlüssel verschlüsselt zu Speichern oder auf einen Share ( oder anderen Server) schreiben zu lassen?

       

      Ich freue mich auf eure Antworten.

       

      Viele Grüße,

      Andreas

        • 1. Re: Bitlocker im DSM Umfeld inkl. Speicherung und Verwaltung der .bek Files + Recovery Keys
          Rookie

          Hallo,

           

          stehe derzeit vor der gleichen herausforderung. Wir möchten die Bitlocker Verschlüsselung auch gerne z.B. über ein Custom Tool im DSM Starten. Das Custom tool soll den Bitlocker auf den Endgerät starten und anschließend den Wiederherstellungsschlüssel in einen Feld in der DSM Console speichern.

           

          Das Auslesen und Speichern von WiederherstellungsKeys findet derzeit bei uns über einen Job statt, der wiederrrum ein Powershell Script aussführt. Vorher wird mit "manage-bde.exe -status -protectionaserrorlevel" der Verschlüsselungsstatus des Gerätes abgefragt.  Anschließend wird der Key mit ModifyObjectProperty in ein Feld am DSM Objekt geschrieben

          • 3. Re: Bitlocker im DSM Umfeld inkl. Speicherung und Verwaltung der .bek Files + Recovery Keys
            adgean18 Rookie

            Guten Morgen,

             

            AD ist für uns keine Möglichkeit da wir nur Berechtigungen auf deiner "Unter"-OU haben.. Wir bekommen vom AD-Betreiber keine Berechtigung diese dort zu speichern und später auszulösen.

             

            Deswegen müssen wir Sie verschlüsselt in DSM Speichern oder auf einen entsprechenden Server.

            • 4. Re: Bitlocker im DSM Umfeld inkl. Speicherung und Verwaltung der .bek Files + Recovery Keys
              XN04113 Specialist

              das kann man aber alles im AD über Rechte steuern, wer was wo darf

              ich würde da nochmals mit dem "AD Betreiber" in Diskussion gehen

              • 5. Re: Bitlocker im DSM Umfeld inkl. Speicherung und Verwaltung der .bek Files + Recovery Keys
                adgean18 Rookie

                Laut AD Betreiber kann das Recht die Keys auszulesen nicht für eine einzelne Unter OU gegeben werden.

                Wenn dieses Recht gegeben wird, so würde man dieses Recht für das ganze AD bekommen. Das ist aus AD-Betreibersicht ein NoGo

                 

                Ist das wirklich so ?

                • 6. Re: Bitlocker im DSM Umfeld inkl. Speicherung und Verwaltung der .bek Files + Recovery Keys
                  SitzRieSe Expert

                  Hier eine simple Lösung ohne AD

                   

                  Dabei wird der Recovery Schlüssel auf eine beliebige CIFS Freigabe gelegt. Wenn man das entsprechend mit NTFS Berechtigungen schützt, sollte das eigtl klar gehen. Der Kunde wo wir das einsetzen ist auf jeden Fall sehr zufrieden mit der Lösung.

                   

                  Das Skript kann zusätzlich noch auf die Verschlüsselung warten, falls gewünscht, dabei wird der Fortschritt der Verschlüsselung dann am Monitor angezeigt.

                   

                  Folgende Installations Parameter müssen angelegt werden:

                   

                  %InstallationParameters.CheckProgress% als Optionsliste = Ja/nein

                  %InstallationParameters.NetworkPath%

                   

                  Ins Paketverzeichnis dann noch einen Placeholder "bitlocker.1" anlegen.

                   

                  !==============================================

                  !Package Information

                  !- Name: Cfg - Enable BitLocker

                  !- Type: Configuration Package

                  !- Created by: apelz

                  !- Created on: 28.09.2016 at 16:59:57

                  !==============================================

                  !- Changed by:

                  !- Changed on: <dd.mm.yyyy at hh:mm>

                  !- Kind of Changes:

                  !==============================================

                  !Check if TPM is available

                  Set('Tries','0')

                  Set('Count','0')

                  WMIGetInstanceCount('\\.\root\cimv2\Security\MicrosoftTpm','Win32_Tpm','Count')/TS

                  If %Count%='-1'

                  MsgBoxEx('Please enable TPM and TPM State in BIOS!','return','',mbOK,'600','0')

                  ExitProcEx(Undone,'TPM is not enabled!')

                  Else

                  If not %Count%='0'

                    WMIGetIndexData('\\.\root\cimv2\Security\MicrosoftTpm','Win32_Tpm','0','WMI_')

                     IsEnabled_InitialValue

                    EndProc/TS

                    goto StartEncryption

                  Else

                    MsgBoxEx('Please enable TPM and TPM State in BIOS!<cr><cr>TPM: IsEnabled_InitialValue= %WMI_IsEnabled_InitialValue%','return','',mbOK,'600','0')

                    ExitProcEx(Undone,'TPM is not enabled!')

                  !

                  !Prepare systemparition if bitlocker failed with incorrect parameter

                  : PrepareDisk

                  If %Tries%='1'

                  ExitProcEx(Failed,'BitLocker failed with %exitcode%')

                  !

                  ExecuteEx('bdehdcfg.exe -target %systemdrive% shrink -quiet','exitcode','120')/?/x64/TS

                  If not %exitcode%='0'

                  If not %exitcode%='3010'

                    IncrementVar('Tries','1')

                    ExitProcEx(Failed,'Prepare disk failed with %exitcode%')

                  !

                  : StartEncryption

                  !If not %CurrentComputer.BasicInventory.SystemArchitecture%='UEFI x64' or not %CurrentComputer.BasicInventory.SystemArchitecture%='UEFI x86'

                  ! MsgBoxEx('The current system is not running in UEFI Mode! Please activate UEFI for using BitLocker.','return','',mbOK,'300','0')

                  ! ExitProcEx(Failed,'UEFI Mode is not enabled!')

                  !

                  !Create system date variable

                  Set('systemdate','%[~string.left(2):%[date]%~]%%[~string.mid(3,2):%[date]%~]%%[~string.right(4):%[date]%~]%')

                  !

                  !Prepare fileshare

                  MakeDir('%InstallationParameters.NetworkPath%\%computername%\%systemdate%\')/TS

                  !

                  !Start disk encryption

                  ExecuteEx('cmd.exe /c "manage-bde.exe -on %systemdrive% -SkipHardwareTest -EncryptionMethod aes256 -recoverykey "%InstallationParameters.NetworkPath%\%computername%\%systemdate%" -RecoveryPassword > "%InstallationParameters.NetworkPath%\%computername%\%systemdate%\RecoveryPassword.txt""','exitcode','')/?/x64/TS

                  If %exitcode%='-2147024809'

                  goto PrepareDisk

                  If not %exitcode%='0'

                  If not %exitcode%='3010'

                    ExitProcEx(Failed,'BitLocker failed with %exitcode%')

                  !

                  !

                  !Waiting for finishing the disk encryption?

                  If %InstallationParameters.CheckProgress%='Nein'

                  ExitProc(Done)

                  !

                  !Check disk encryption progress

                  : cryptstate

                  RunAsEx('cmd.exe','/c manage-bde.exe -status %systemdrive% & cmd /c timeout /T 60','','','10','',raUseSisAccount+WaitForExecution+UndoneContinueParentScript)/x64/TW

                  RunAsEx('cmd.exe','/c manage-bde.exe -status %systemdrive% -protectionaserrorlevel','','','10','CRYPT',raUseSisAccount+WaitForExecution+UndoneContinueParentScript)/x64/TS

                  If not %CRYPT%='0'

                  ! encryption still running

                  goto cryptstate

                  !

                  : $BeginUninstallScript

                  1 of 1 people found this helpful
                  • 7. Re: Bitlocker im DSM Umfeld inkl. Speicherung und Verwaltung der .bek Files + Recovery Keys
                    adgean18 Rookie

                    Moin,

                     

                    erstmal Danke für deine Hilfe.

                     

                    Ich könnte jetzt sagen sieht gut aus. Das weiß ich aber erst, wenn ich weiß wie ich das jetzt verpacken undausführen muss.

                     

                    Ich habe erst vor kurzen angefangen mit DSM zu arbeiten und somit auch bei der Paketerstellung noch komplett am Anfang.

                    • 8. Re: Bitlocker im DSM Umfeld inkl. Speicherung und Verwaltung der .bek Files + Recovery Keys
                      adgean18 Rookie

                      Ok das Package habe ich soweit nun angelegt.

                       

                      Auch das habe ich angelegt ->"%InstallationParameters.CheckProgress% als Optionsliste = Ja/nein

                       

                      Hier ist jetzt noch die Frage wie (welchen Parameter Type) ich diese hinterlegen muss.

                      %InstallationParameters.NetworkPath%"

                       

                       

                       

                      Und mir ist noch nicht klar für was ich diese Zeile brauche?

                       

                      "Ins Paketverzeichnis dann noch einen Placeholder "bitlocker.1" anlegen."

                       

                      Das bitlocker.1 finde ich so im Script an keiner weiteren Stelle mehr.

                      • 9. Re: Bitlocker im DSM Umfeld inkl. Speicherung und Verwaltung der .bek Files + Recovery Keys
                        SitzRieSe Expert

                        Das kannst du hier einstellen:

                         

                        Das bitlocker.1 ist tatsächlich überflüssig... Das hatte ich wohl iwann mal gebraucht und wieder rausgebaut.

                        • 10. Re: Bitlocker im DSM Umfeld inkl. Speicherung und Verwaltung der .bek Files + Recovery Keys
                          adgean18 Rookie

                          Danke. Ok dann habe ich das nun auch so gemacht. Dachte nur ich muss hier schon irgendwie den Ordner zum Speicher angeben?!

                           

                          Dh. nun ist die Frage wo verknüpfte ich nun den Share bzw den Ordner wo es gespeichert werden soll.

                           

                          Habe da gerade irgendwie noch einen Denkfehler im ganzen System

                          • 11. Re: Bitlocker im DSM Umfeld inkl. Speicherung und Verwaltung der .bek Files + Recovery Keys
                            SitzRieSe Expert

                            Dafür sind die Installationsparameter da. Wenn du das Paket einer Gruppe zuweist, wirst du bei der Zuweisung nach dem Netzwerkpfad gefragt. Dort trägst du dann ganz normal \\<server>\freigabe ein. Da werden dann die Wiederherstellungsschlüssel mit \<Computername>\<Datum>\RecoveryPassword.txt abgelegt.

                            • 12. Re: Bitlocker im DSM Umfeld inkl. Speicherung und Verwaltung der .bek Files + Recovery Keys
                              adgean18 Rookie

                              check!

                               

                              ich werde es testen und mich wieder! Danke!

                              • 13. Re: Bitlocker im DSM Umfeld inkl. Speicherung und Verwaltung der .bek Files + Recovery Keys
                                adgean18 Rookie

                                Also ja ich bin ein gutes Stück weiter.. Habe es nun zum Testen einen Client zugewiesen.

                                 

                                Leider stoppt es nun bei der Meldung "Please enable TPM and TPM State in BIOS"

                                 

                                Die Einstellungen sind im Bios richtig gesetzt. Habe auch TPM zurück gesetzt und dann nochmal getestet.

                                 

                                Nun ist die Frage... Kann es an verschiedenen TPM Chip Versionen liegen?

                                • 14. Re: Bitlocker im DSM Umfeld inkl. Speicherung und Verwaltung der .bek Files + Recovery Keys
                                  SitzRieSe Expert

                                  Schwer zu sagen vllt schlägt auch die WMI Abfrage fehl. sonst vllt mal die Abfrage auskommentieren und nochmal laufen lassen. Im Logfile müsstest du sonst mehr Details dazu finden.

                                  1 2 Previous Next