none
BitLocker, автоматизация в AD

    Вопрос

  • Коллеги, добрый день!

    Есть задача зашифровать порядка 500+ ноутов.

    Создал GPO, все четко... Вот только одно но - у пользователя не должно быть ключа восстановления. И как я понимаю, что в любом случае нужно выгрузить\распечатать этот ключ.

    Можно ли упустить этот момент ибо он и так сохраняется в AD?

    Думал обойти это ограничение создав VHDX на шаре, замаунтил этот диск, но записать на него ключ не удалось.

    Каким образом можно полностью автоматизировать процесс шифрования, ибо это огромные трудозатраты..

    Спасибо!

    23 ноября 2018 г. 6:56

Все ответы

  • Здравствуйте,

    Просто настройте сохранение на виртуалке с помощью базы данных, ну скажeм можно и express.

    А затем уже можете ограничить доступ только для админа, ключ можете брат из места сохранения ключен в AD, опять таки только админом либо задачей с правами админа, и наконец можно создать задачу процессом от 0 сессии чтоб невидно было для потребителей с GUI. 

    Автоматизировать мочно, накидать все выше упомянутое в PoSH.


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение" Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    23 ноября 2018 г. 7:39
    Модератор
  • Прощу прощения, но я так и не понял каким образом автоматизировать процесс развертывания BitLocker

    Можно поподробнее - как сохранить ключ восстановления в MSSQL?

    PS. Мастер предлагает сохранить ключ на внешнем носителе либо распечатать на принтере.

    23 ноября 2018 г. 7:51
  • Вот это имеется как инструкция, можете посмотреть логику и команды и настроить все на виртуалке.

    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение" Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.


    23 ноября 2018 г. 7:57
    Модератор
  • https://4sysops.com/archives/hacking-bitlocker-and-how-to-prevent-unauthorized-access-to-protected-drives/

    посмотрите, вроде по теме расписано.

    Да, оно. Немного подправил GPO и теперь можно шифровать без смозранения\распечатки ключа восстановления.

    Остался последний пункт - заскриптовать все это добро и вот что-то не выходит.

    23 ноября 2018 г. 9:58
  • Здравствуйте,

    Я перевел ваш вопрос в более подходящий раздел форума.


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение" Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    23 ноября 2018 г. 10:00
    Модератор
  • заскриптовать что?

    не оно?

    manage-bde /?

    • Изменено Svolotch 23 ноября 2018 г. 10:10
    23 ноября 2018 г. 10:08
  • заскриптовать что?

    не оно?

    manage-bde /?

    C:\>manage-bde -on C: -pw
    Шифрование дисков BitLocker: версия средства настройки: 10.0.17134
    (C) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.
    
    Том C: [System]
    [Том с операционной системой]
    Введите пароль, используемый для защиты данного тома:
    

    И все... Просит ввести пароль.

    Так не работает:

    manage-bde -on C: -pw "password"


    23 ноября 2018 г. 11:48
  • man enable-bitlocker -full
    23 ноября 2018 г. 12:53
  • PS C:\Windows\system32> manage-bde -status G:
    BitLocker Drive Encryption: Configuration Tool version 10.0.16299
    Copyright (C) 2013 Microsoft Corporation. All rights reserved.

    Volume G: [Новый том]
    [Data Volume]

        Size:                 5.00 GB
        BitLocker Version:    None
        Conversion Status:    Fully Decrypted
        Percentage Encrypted: 0.0%
        Encryption Method:    None
        Protection Status:    Protection Off
        Lock Status:          Unlocked
        Identification Field: None
        Automatic Unlock:     Disabled
        Key Protectors:       None Found

    PS C:\Windows\system32> Enable-BitLocker G: -PasswordProtector -UsedSpaceOnly -Password $SecureString


       ComputerName: kjhkjhkjhkjh

    VolumeType      Mount CapacityGB VolumeStatus           Encryption KeyProtector              AutoUnlock Protection
                    Point                                   Percentage                           Enabled    Status
    ----------      ----- ---------- ------------           ---------- ------------              ---------- ----------
    Data            G:          5.00 EncryptionInProgress   3          {Password}                False      Off


    PS C:\Windows\system32> manage-bde -status G:
    BitLocker Drive Encryption: Configuration Tool version 10.0.16299
    Copyright (C) 2013 Microsoft Corporation. All rights reserved.

    Volume G: [Новый том]
    [Data Volume]

        Size:                 5.00 GB
        BitLocker Version:    2.0
        Conversion Status:    Encryption in Progress
        Percentage Encrypted: 9.1%
        Encryption Method:    XTS-AES 128
        Protection Status:    Protection Off
        Lock Status:          Unlocked
        Identification Field: Unknown
        Automatic Unlock:     Disabled
        Key Protectors:
            Password
    23 ноября 2018 г. 13:10
  • PS C:\Windows\system32> manage-bde -status G:
    BitLocker Drive Encryption: Configuration Tool version 10.0.16299
    Copyright (C) 2013 Microsoft Corporation. All rights reserved.

    Volume G: [Новый том]
    [Data Volume]

        Size:                 5.00 GB
        BitLocker Version:    2.0
        Conversion Status:    Used Space Only Encrypted
        Percentage Encrypted: 100.0%
        Encryption Method:    XTS-AES 128
        Protection Status:    Protection On
        Lock Status:          Unlocked
        Identification Field: Unknown
        Automatic Unlock:     Disabled
        Key Protectors:
            Password

    PS C:\Windows\system32> Lock-BitLocker -MountPoint G: -ForceDismount


       ComputerName: орпорпаопо

    VolumeType      Mount CapacityGB VolumeStatus           Encryption KeyProtector              AutoUnlock Protection
                    Point                                   Percentage                           Enabled    Status
    ----------      ----- ---------- ------------           ---------- ------------              ---------- ----------
    Data            G:          0.00                                   {Password}                False      Unknown


    PS C:\Windows\system32> manage-bde -status G:
    BitLocker Drive Encryption: Configuration Tool version 10.0.16299
    Copyright (C) 2013 Microsoft Corporation. All rights reserved.

    Volume G: [Label Unknown]
    [Data Volume]

        Size:                 Unknown GB
        BitLocker Version:    2.0
        Conversion Status:    Unknown
        Percentage Encrypted: Unknown%
        Encryption Method:    XTS-AES 128
        Protection Status:    Unknown
        Lock Status:          Locked
        Identification Field: Unknown
        Automatic Unlock:     Disabled
        Key Protectors:
            Password

    PS C:\Windows\system32> g:
    Set-Location : Cannot find path 'G:\' because it does not exist.
    At line:1 char:1
    + Set-Location $MyInvocation.MyCommand.Name
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : ObjectNotFound: (G:\:String) [Set-Location], ItemNotFoundException
        + FullyQualifiedErrorId : PathNotFound,Microsoft.PowerShell.Commands.SetLocationCommand

    PS C:\Windows\system32> Unlock-BitLocker -MountPoint G: -Password $SecureString


       ComputerName: dfgdfsgdsgf

    VolumeType      Mount CapacityGB VolumeStatus           Encryption KeyProtector              AutoUnlock Protection
                    Point                                   Percentage                           Enabled    Status
    ----------      ----- ---------- ------------           ---------- ------------              ---------- ----------
    Data            G:          5.00 FullyEncrypted         100        {Password}                False      On


    PS C:\Windows\system32> manage-bde -status G:
    BitLocker Drive Encryption: Configuration Tool version 10.0.16299
    Copyright (C) 2013 Microsoft Corporation. All rights reserved.

    Volume G: [Новый том]
    [Data Volume]

        Size:                 5.00 GB
        BitLocker Version:    2.0
        Conversion Status:    Used Space Only Encrypted
        Percentage Encrypted: 100.0%
        Encryption Method:    XTS-AES 128
        Protection Status:    Protection On
        Lock Status:          Unlocked
        Identification Field: Unknown
        Automatic Unlock:     Disabled
        Key Protectors:
            Password

    PS C:\Windows\system32> g:
    PS G:\>

    • Изменено Svolotch 23 ноября 2018 г. 13:38
    23 ноября 2018 г. 13:18
  • а вам точно пасворд протектед нужно?
    23 ноября 2018 г. 13:20
  • Powershell это первое что я попробовал )

    PS C:\> Import-Module BitLocker
    
    $password = ConvertTo-SecureString "password" -AsPlainText -Force
    Enable-BitLocker C: -PasswordProtector -UsedSpaceOnly -Password $password
    ПРЕДУПРЕЖДЕНИЕ: Имена некоторых команд, импортированных из модуля BitLocker, не утверждены, что может усложнить их поиск. Чтобы просмотреть список неутвержденных команд, выполните команду Imp
    ort-Module с параметром Verbose. Чтобы просмотреть список утвержденных команд, введите "Get-Verb".
    Add-PasswordProtectorInternal : Не удается добавить предохранитель ключа. Для данного диска разрешен только один предохранитель ключа этого типа. (Исключение из HRESULT: 0x80310031)
    C:\Windows\system32\WindowsPowerShell\v1.0\Modules\BitLocker\BitLocker.psm1:2091 знак:31
    + ...   $Result = Add-PasswordProtectorInternal $BitLockerVolumeInternal.Mo ...
    +                 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : NotSpecified: (:) [Write-Error], COMException
        + FullyQualifiedErrorId : System.Runtime.InteropServices.COMException,Add-PasswordProtectorInternal


    • Изменено Sergey Ya 23 ноября 2018 г. 13:51
    23 ноября 2018 г. 13:50
  • а вам точно пасворд протектед нужно?
    Не уверен. Мне нужно чтобы зашифровался диск С
    23 ноября 2018 г. 13:50
  • Выполни эту команду 

    $BLV = Get-BitLockerVolume -MountPoint "C:"
    Remove-BitlockerKeyProtector -MountPoint "C:" -KeyProtectorId $BLV.KeyProtector[0].KeyProtectorId

    Ситуация немного поменялась

    PS C:\> Enable-BitLocker C: -PasswordProtector -UsedSpaceOnly -Password $password
    Set-BitLockerVolumeInternal : Значение не попадает в ожидаемый диапазон.
    C:\Windows\system32\WindowsPowerShell\v1.0\Modules\BitLocker\BitLocker.psm1:3593 знак:52
    + ... eInternal = Set-BitLockerVolumeInternal -MountPoint $MountPoint[$i] - ...
    +                 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : NotSpecified: (:) [Write-Error], ArgumentException
        + FullyQualifiedErrorId : System.ArgumentException,Set-BitLockerVolumeInternal

    23 ноября 2018 г. 14:00
  • если ЮзедСпейсОнли убрать?

    вообще покажите вывод  manage-bde -status C:


    • Изменено Svolotch 23 ноября 2018 г. 14:19
    23 ноября 2018 г. 14:19
  • о блин, чот я последний ваш пост пропустил... ога, у вас там другие кейпротекторы болтались скорее всего. а удалите все например, тогда таки вроде мой пример должен заработать(я тестил на виртуальном диске, создайте свой и по идее оно должно и без этого заработать)...

    давайте вместе разберемся, что у вас есть, что настроено и что вы хотите получить... у вас ноуты с тпм?

    24 ноября 2018 г. 7:00
  • Svolotch, благодарю за помощь!

    Увы, раньше чем в понедельник не выйдет. Выходные )

    24 ноября 2018 г. 11:13
  • C:\>manage-bde -status C:
    Шифрование дисков BitLocker: версия средства настройки: 10.0.17134
    (C) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.
    
    Том C: [System]
    [Том с операционной системой]
    
        Размер:                           49,45 ГБ
        Версия BitLocker:                 Нет
        Состояние преобразования:         Полностью расшифровано
        Зашифровано (процентов):          0,0%
        Метод шифрования:                 Нет
        Состояние защиты:                 Защита отключена
        Состояние блокировки:             Разблокировка
        Поле идентификации:               Нет
        Предохранители ключа:              не обнаружены
    Как-то так... 
    • Изменено Sergey Ya 26 ноября 2018 г. 7:36
    26 ноября 2018 г. 7:28

  • Ситуация немного поменялась

    PS C:\> Enable-BitLocker C: -PasswordProtector -UsedSpaceOnly -Password $password
    Set-BitLockerVolumeInternal : Значение не попадает в ожидаемый диапазон.
    C:\Windows\system32\WindowsPowerShell\v1.0\Modules\BitLocker\BitLocker.psm1:3593 знак:52
    + ... eInternal = Set-BitLockerVolumeInternal -MountPoint $MountPoint[$i] - ...
    +                 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : NotSpecified: (:) [Write-Error], ArgumentException
        + FullyQualifiedErrorId : System.ArgumentException,Set-BitLockerVolumeInternal

    Есть мысли как победить эту ошибку? 
    3 декабря 2018 г. 7:45
  • версия винды какая? ноуты я так понимаю без тпм модуля?
    3 декабря 2018 г. 7:49