Hallo,
wir möchten BitLocker in unserem Unternehmen einführen. Wir haben die Pakete „BitLocker Enable“ und „BitLocker Audit“ zu diesem Zweck gefunden.
Nach mehreren Versuchen konnten wir „BitLocker Enable“ auf einer Workstation zum Laufen bringen, jedoch nicht auf den drei anderen, obwohl dort die gleiche Installation vorhanden ist. Bei „BitLocker Audit“ können wir die Schlüssel weder in Active Directory noch in WAPT abrufen. Wir wissen, dass eine Zertifikatsliste erforderlich ist; könnten Sie uns bitte weitere Informationen dazu geben?
Wo finden wir eine ausführlichere Dokumentation zur Verschlüsselung und zum Speichern von BitLocker-Schlüsseln über WAPT?
Mit freundlichen Grüßen,
Paul
[GELÖST] BitLocker-Verschlüsselung der IT-Infrastruktur
Forumregeln
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
Hallo Paul,
ich verwende das tis-audit-bitlocker-Paket. Um die Schlüssel in der WAPT-Konsole anzuzeigen, müssen Sie das Paket bearbeiten und die Namen der Zertifikate der Benutzer hinzufügen, die zum Lesen der Audit-Daten berechtigt sind.
ich verwende das tis-audit-bitlocker-Paket. Um die Schlüssel in der WAPT-Konsole anzuzeigen, müssen Sie das Paket bearbeiten und die Namen der Zertifikate der Benutzer hinzufügen, die zum Lesen der Audit-Daten berechtigt sind.
WAPT Enterprise 2.5.5.15697
Server = Debian 11 Bullseye
Console = Windows Server 2019
--------------------------------------------------------------------------
Johan
Server = Debian 11 Bullseye
Console = Windows Server 2019
--------------------------------------------------------------------------
Johan
Vielen Dank für Ihre Antwort.
Ich bin mir nicht sicher, was Sie mit „Benutzerzertifikatsnamen“ meinen. Wird das nicht direkt über die WAPT-Konsole verwaltet? Ähnlich wie die LAPS-Passwortverschlüsselung in WAPT?
Mit freundlichen Grüßen
Ich bin mir nicht sicher, was Sie mit „Benutzerzertifikatsnamen“ meinen. Wird das nicht direkt über die WAPT-Konsole verwaltet? Ähnlich wie die LAPS-Passwortverschlüsselung in WAPT?
Mit freundlichen Grüßen
Hallo Paul,
dies sind die Zertifikate (verknüpft mit Ihren WAPT-Administratoren), mit denen Sie WAPT-Pakete signieren können.
dies sind die Zertifikate (verknüpft mit Ihren WAPT-Administratoren), mit denen Sie WAPT-Pakete signieren können.
WAPT Enterprise 2.5.5.15697
Server = Debian 11 Bullseye
Console = Windows Server 2019
--------------------------------------------------------------------------
Johan
Server = Debian 11 Bullseye
Console = Windows Server 2019
--------------------------------------------------------------------------
Johan
-
dcardon
- WAPT-Experte
- Nachrichten: 1953
- Anmeldung: 18. Juni 2014 - 09:58 Uhr
- Ort: Saint Sébastien sur Loire
- Kontakt:
Hallo
@PaulSLA, bezüglich LAPS by WAPT: Es werden die im Agenten definierten Zertifikate verwendet, daher müssen keine zusätzlichen hinzugefügt werden. Das BitLocker-Paket hingegen fordert Zertifikate explizit an. Es stimmt, dass wir auch die bereits bereitgestellten Zertifikate wiederverwenden könnten.
Viele Grüße,
Denis
@PaulSLA, bezüglich LAPS by WAPT: Es werden die im Agenten definierten Zertifikate verwendet, daher müssen keine zusätzlichen hinzugefügt werden. Das BitLocker-Paket hingegen fordert Zertifikate explizit an. Es stimmt, dass wir auch die bereits bereitgestellten Zertifikate wiederverwenden könnten.
Viele Grüße,
Denis
Denis Cardon – Tranquil IT
Teilen Sie Ihre Erfahrungen auf WAPT! Senden Sie uns Ihre Blog- und Artikel-URLs im „Ihre Meinung des Forums, und wir werden sie auf der WAPT-
Teilen Sie Ihre Erfahrungen auf WAPT! Senden Sie uns Ihre Blog- und Artikel-URLs im „Ihre Meinung des Forums, und wir werden sie auf der WAPT-
Guten Morgen,
Wenn ich Ihre Erklärungen und den Paketcode richtig verstanden habe, muss ich lediglich den Namen des Zertifikats eingeben, das die Prüfergebnisse einsehen kann:
Wenn sich mein Zertifikat unter wapt-crt.crt in C:\wapt\ssl befindet, muss ich Folgendes tun:
Wird das Skript das benötigte Zertifikat automatisch abrufen? Falls ich mehrere Zertifikate habe, muss ich Kommas oder Semikolons verwenden?
Beim Aktivieren von BitLocker erhalte ich eine Fehlermeldung bezüglich BitLocker Key Protector. Muss ich die Installation des Pakets auf allen betroffenen Rechnern erzwingen, um BitLocker Key Protector zu entfernen, und anschließend eine Standardinstallation durchführen? Sollte das funktionieren?
Gibt es keine Möglichkeit, dies zu automatisieren?
Aufrichtig,
Wenn ich Ihre Erklärungen und den Paketcode richtig verstanden habe, muss ich lediglich den Namen des Zertifikats eingeben, das die Prüfergebnisse einsehen kann:
Wenn sich mein Zertifikat unter wapt-crt.crt in C:\wapt\ssl befindet, muss ich Folgendes tun:
Code: Alle auswählen
target_encryption_method = 7
allow_swap_encryption_method = False # Not implemented yet
decrypt_cert_list = wapt-crt
def install():
# Adding certificates allowed to decrypt in WAPT
for cert in decrypt_cert_list:
cert_path = makepath(WAPT.wapt_base_dir, "ssl", cert)
if not isfile(cert_path):
print("Copying: %s" % cert_path)
filecopyto(cert, cert_path)
Beim Aktivieren von BitLocker erhalte ich eine Fehlermeldung bezüglich BitLocker Key Protector. Muss ich die Installation des Pakets auf allen betroffenen Rechnern erzwingen, um BitLocker Key Protector zu entfernen, und anschließend eine Standardinstallation durchführen? Sollte das funktionieren?
Gibt es keine Möglichkeit, dies zu automatisieren?
Aufrichtig,
Guten Morgen,
Nach mehreren Versuchen meinerseits erhalte ich nun eine Fehlermeldung bei der Paketinstallation:
Hier sind die Protokolle:
Ich habe einfach den Zertifikatsnamen nach "decrypt_cert_list" in der Form decrypt_cert_list = certificate_name hinzugefügt
Hat irgendjemand eine Idee, woran der Fehler liegen könnte, es sei denn, das Paket wird nicht mehr unterstützt?
Dank im Voraus,
Aufrichtig,
Paul
Nach mehreren Versuchen meinerseits erhalte ich nun eine Fehlermeldung bei der Paketinstallation:
Hier sind die Protokolle:
Code: Alle auswählen
"
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4010, in install_wapt
setup = import_setup(setup_filename)
File "C:\Program Files (x86)\wapt\waptutils.py", line 1525, in import_setup
py_mod = imp.load_source(modulename, setupfilename)
File "imp.py", line 171, in load_source
File "<frozen importlib._bootstrap>", line 702, in _load
File "<frozen importlib._bootstrap>", line 671, in _load_unlocked
File "<frozen importlib._bootstrap_external>", line 843, in exec_module
File "<frozen importlib._bootstrap>", line 219, in _call_with_frames_removed
File "C:\WINDOWS\TEMP\wapt_3l1xqgx\setup.py", line 73, in <module>
NameError: name 'wapt' is not defined
NameError: name 'wapt' is not defined
"Ich habe einfach den Zertifikatsnamen nach "decrypt_cert_list" in der Form decrypt_cert_list = certificate_name hinzugefügt
Hat irgendjemand eine Idee, woran der Fehler liegen könnte, es sei denn, das Paket wird nicht mehr unterstützt?
Dank im Voraus,
Aufrichtig,
Paul
-
dcardon
- WAPT-Experte
- Nachrichten: 1953
- Anmeldung: 18. Juni 2014 - 09:58 Uhr
- Ort: Saint Sébastien sur Loire
- Kontakt:
Hallo Paul,
in Python wird der Bindestrich "-" als Subtraktionsoperator interpretiert. Daher wird `wapt-crt` als `wapt - crt` (die Variable `wapt` minus die Variable `crt`) geparst, daher die Meldung, dass die Variable `wapt` nicht existiert.
Da fehlen wohl irgendwo Anführungszeichen,
Denis.
in Python wird der Bindestrich "-" als Subtraktionsoperator interpretiert. Daher wird `wapt-crt` als `wapt - crt` (die Variable `wapt` minus die Variable `crt`) geparst, daher die Meldung, dass die Variable `wapt` nicht existiert.
Da fehlen wohl irgendwo Anführungszeichen,
Denis.
Denis Cardon – Tranquil IT
Teilen Sie Ihre Erfahrungen auf WAPT! Senden Sie uns Ihre Blog- und Artikel-URLs im „Ihre Meinung des Forums, und wir werden sie auf der WAPT-
Teilen Sie Ihre Erfahrungen auf WAPT! Senden Sie uns Ihre Blog- und Artikel-URLs im „Ihre Meinung des Forums, und wir werden sie auf der WAPT-
Guten Morgen,
Danke, das war's, ich habe es gestern gefunden. Ich habe Anführungszeichen um das Zertifikat gesetzt, und jetzt ist alles in Ordnung mit der Prüfung.
Jetzt fehlt nur noch die BitLocker-Aktivierung. Wir haben versucht, das Paket aus dem Store zu verwenden, aber es funktioniert einfach nicht. Es ist immer dasselbe:
Erste Installation:
Ich habe es also mit der Option „Erzwingen“ installiert, und das Ergebnis war:
Das scheint in Ordnung zu sein. Also habe ich es ein zweites Mal ohne die Option „Erzwingen“ neu installiert, und das Ergebnis war:
Das Problem wiederholt sich ständig; wir haben das Paket nicht verändert. Die Erstellung eines eigenen Pakets mithilfe eines PowerShell-Skripts funktioniert zwar, aber jedes Mal, wenn wir das Paket aktualisieren, werden alle PCs neu verschlüsselt und ein neuer Wiederherstellungsschlüssel generiert. Das führt schnell zu Problemen.
Irgendwelche Ideen? Oder habe ich vielleicht einen Konfigurationsschritt übersehen, beispielsweise beim Audit-Paket?
Aufrichtig,
Paul
Danke, das war's, ich habe es gestern gefunden. Ich habe Anführungszeichen um das Zertifikat gesetzt, und jetzt ist alles in Ordnung mit der Prüfung.
Jetzt fehlt nur noch die BitLocker-Aktivierung. Wir haben versucht, das Paket aus dem Store zu verwenden, aber es funktioniert einfach nicht. Es ist immer dasselbe:
Erste Installation:
Code: Alle auswählen
OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
exitstatus = setup.install()
File "C:\WINDOWS\TEMP\waptzpc2fp1z\setup.py", line 118, in install
File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.
EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.Code: Alle auswählen
OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Remove-BitlockerKeyProtector -MountPoint C: -KeyProtectorId "{92D79314-13A0-475E-B8FC-4195EAEDF1E0}"
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
exitstatus = setup.install()
File "C:\WINDOWS\TEMP\wapt_03ore3e\setup.py", line 116, in install
File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : BitlockerKeyProtector have been removed on C: please reinstall this package.
EWaptSetupException: Fatal error : BitlockerKeyProtector have been removed on C: please reinstall this package.Code: Alle auswählen
OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
exitstatus = setup.install()
File "C:\WINDOWS\TEMP\waptraxa1eek\setup.py", line 118, in install
File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.
EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.Das Problem wiederholt sich ständig; wir haben das Paket nicht verändert. Die Erstellung eines eigenen Pakets mithilfe eines PowerShell-Skripts funktioniert zwar, aber jedes Mal, wenn wir das Paket aktualisieren, werden alle PCs neu verschlüsselt und ein neuer Wiederherstellungsschlüssel generiert. Das führt schnell zu Problemen.
Irgendwelche Ideen? Oder habe ich vielleicht einen Konfigurationsschritt übersehen, beispielsweise beim Audit-Paket?
Aufrichtig,
Paul
Guten Morgen,
Könnten Sie bitte den angegebenen PowerShell-Befehl auf einem betroffenen Rechner eingeben?
Sie sollten mehr über den Knackpunkt wissen.
Es besteht eine gute Chance, dass es durch eine Gruppenrichtlinie blockiert wird.
Aufrichtig,
Jimmy
Könnten Sie bitte den angegebenen PowerShell-Befehl auf einem betroffenen Rechner eingeben?
Code: Alle auswählen
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtectorEs besteht eine gute Chance, dass es durch eine Gruppenrichtlinie blockiert wird.
Aufrichtig,
Jimmy
