BitLocker-Audit-Schlüsselwiederherstellung

Fragen zu WAPT-Paketen / Anfragen und Hilfe bezüglich WAPT-Paketen.
Forumregeln
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
Antwort
jptw
Nachrichten: 32
Anmeldung: 8. Juli 2020 - 11:08 Uhr

19. November 2024 – 17:04 Uhr

Guten Morgen,

wapt console: 2.3.0.13470
BitLocker aktivieren: 10.5.0
BitLocker-Audit: 10.5.0
Computer mit 2 Festplatten: C: (System) und D: (Daten) (Nur das Systemlaufwerk C: ist verschlüsselt)

Ich habe Probleme, den BitLocker-Schlüssel aus Active Directory abzurufen
Die Installation und Verschlüsselung des C:-Laufwerks stellt kein Problem dar
Der Prüfer seinerseits begeht einen Fehler :( Ich fasse zusammen, was es mir sagt

Code: Alle auswählen

OK : C: est chiffré et la protection bitlocker est ON
IMPORTANT : je n'ai pas spécifié de "decrypt_cert_list" .... ( je ne souhaite pas forcement que la cle soit visible dans wapt )
ERROR : D: Data drive n'est pas chiffré par bitlocker
INFO: D: Data drive bitlocker encryptionmethod is :none
Ich habe den Eindruck, dass es nicht versucht, den Schlüssel an AD zu senden
Und warum erhalte ich eine Fehlermeldung, weil D: nicht verschlüsselt ist?

Ich muss etwas verpasst haben

Ich danke Ihnen für Ihre Hilfe
Hoch
Benutzeravatar
dcardon
WAPT-Experte
Nachrichten: 1953
Anmeldung: 18. Juni 2014 - 09:58 Uhr
Ort: Saint Sébastien sur Loire
Kontakt:
Kontaktieren Sie dcardon

19. November 2024 – 18:04 Uhr

Hallo Jens,

standardmäßig verschlüsselt das Paket nur die Systemfestplatte. Dies verhindert die versehentliche Verschlüsselung externer Laufwerke. Wenn Sie auch das D:-Laufwerk verschlüsseln möchten, müssen Sie das Paket anpassen.

Bezüglich des Hochladens des verschlüsselten Passworts in Active Directory ist meines Wissens ein Gruppenrichtlinienobjekt (GPO) oder etwas Ähnliches zu konfigurieren. Es gibt auch ein Paket namens „laps by wapt“, das das verschlüsselte Passwort in WAPT hochlädt.

Nur zur Info: Mit der heutigen Veröffentlichung von WAPT 2.6 wird WAPT 2.3 nicht mehr unterstützt. Könnten Sie ein Update planen?

Viele Grüße,

Denis
Denis Cardon – Tranquil IT
Teilen Sie Ihre Erfahrungen auf WAPT! Senden Sie uns Ihre Blog- und Artikel-URLs im „Ihre Meinung des Forums, und wir werden sie auf der WAPT-
Hoch
jptw
Nachrichten: 32
Anmeldung: 8. Juli 2020 - 11:08 Uhr

20. November 2024 – 8:32 Uhr

Guten Morgen,
Standardmäßig verschlüsselt das Paket nur die Systemfestplatte
Das ist genau das, was ich möchte, aber das Paket audit-bitlocker gibt einen Fehler für das Datenlaufwerk D: zurück

Was das Abrufen des Passworts aus AD betrifft, so glaube ich, dass dies vom Paket audit-bitlocker übernommen werden sollte (LAPS ist nur für Passwörter lokaler Administratorkonten vorgesehen)

Hier ein Ausschnitt aus dem Paket audit-bitlocker:

Code: Alle auswählen

for keyprotector in keyprotector_list:
                keyprotectorid = keyprotector["KeyProtectorId"]
                if keyprotector["KeyProtectorType"] in [1,2,4]:
                    # WAPT.delete_audit_data(
                    #     "enable-bitlocker", f"RecoveryPassword_{keyprotectorid}"
                    # )  # not possible from package, please delete from WAPT Console
                    # print("INFO: Skipping Backup-BitLockerKeyProtector for KeyProtectorType: Tpm")
                    continue

                try:
                    # Backuping RecoveryPassword to the AD
                    if registry_readstring(HKEY_LOCAL_MACHINE, r'SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName', None):
                        print(f"Backuping: RecoveryPassword {keyprotectorid} to the AD")
                        run_powershell(f'Backup-BitLockerKeyProtector -MountPoint "{mountpoint}" -KeyProtectorId "{keyprotectorid}"')
                except Exception as e:
                    print(e)
                    print(f"WARNING: Failed to backup RecoveryPassword {keyprotectorid} to the AD")
                    audit_status = set_audit_status(audit_status, "WARNING")
Ich habe außerdem eine Gruppenrichtlinie hinzugefügt, die den Wiederherstellungsschlüssel an Active Directory senden soll, aber das hat nichts geändert
Ich habe weder den Wiederherstellungsschlüssel, der in Active Directory angezeigt wird, noch die Warnung „Fehler beim Sichern des Wiederherstellungskennworts“

DANKE
Hoch
jlepiquet
Nachrichten: 69
Anmeldung: 3. September 2024 - 16:09 Uhr

20. November 2024 – 14:40 Uhr

Guten Morgen,

Das Skript durchläuft alle im System vorhandenen physischen Festplatten.

Sie können den folgenden Code ändern oder löschen:

Zeile 207

Code: Alle auswählen

        else:
            print(f"ERROR: {mountpoint} {volumetype} drive is not encrypted with BitLocker")
            audit_status = set_audit_status(audit_status, "ERROR")
Hoch
jptw
Nachrichten: 32
Anmeldung: 8. Juli 2020 - 11:08 Uhr

20. November 2024 – 18:40 Uhr

Guten Morgen,

Okay, ich habe die beiden Fehlermeldungen in Warnmeldungen geändert, sodass die rote Fehlermeldung nicht mehr angezeigt wird (vielen Dank)

Ich habe außerdem ein Zertifikat zur "decrypt_cert_list" hinzugefügt, um die Sicherung des Wiederherstellungsschlüssels in WAPT anzuzeigen (zu Testzwecken)
Im Rahmen der Prüfung hat er mir deutlich gesagt, dass…
Backup: RecoveryPassword{xxxx-xxx-xxx--xxxxx} an die wapt-Konsole senden
Ich weiß allerdings nicht, wo ich den Wiederherstellungsschlüssel finden soll.

Und er hat mir immer noch nichts darüber gesagt, wie man den Wiederherstellungsschlüssel in AD sichert
Zum Testen habe ich den Befehl auf meinem Computer ausgeführt
Backup-BitLockerKeyProtector -MountPoint "{mountpoint}" -KeyProtectorId "{keyprotectorid}
Durch die korrekte Einstellung der Werte ist der Schlüssel tatsächlich in den Eigenschaften des Rechners in Active Directory erschienen

Falls das schon jemand gemacht hat und es funktioniert, wäre ich daran interessiert


DANKE
Hoch
jlepiquet
Nachrichten: 69
Anmeldung: 3. September 2024 - 16:09 Uhr

21. November 2024 – 11:52 Uhr

Guten Morgen,

Das Drehbuch scheint nicht zu passen

Code: Alle auswählen

                    if registry_readstring(HKEY_LOCAL_MACHINE, r'SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName', None):
                        print(f"Backuping: RecoveryPassword {keyprotectorid} to the AD")
                        run_powershell(f'Backup-BitLockerKeyProtector -MountPoint "{mountpoint}" -KeyProtectorId "{keyprotectorid}"')

Ist der Eintrag Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\NetworkName auf dem Computer vollständig leer?
Hoch
jptw
Nachrichten: 32
Anmeldung: 8. Juli 2020 - 11:08 Uhr

21. November 2024 - 12:45 Uhr

Ja, dieser Schlüssel ist tatsächlich leer
Hoch
jptw
Nachrichten: 32
Anmeldung: 8. Juli 2020 - 11:08 Uhr

21. November 2024 – 13:10 Uhr

Ich habe gerade einen Test durchgeführt, indem ich dem Schlüssel „SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History“, „NetworkName“, den Wert „test“ zugewiesen habe
. Das Überwachungsprotokoll zeigt korrekt an, dass der Wiederherstellungsschlüssel in Active Directory gespeichert wird.

Das ist seltsam, nicht wahr?
Oder interpretiere ich die Bedingung falsch:
if registry_readstring(HKEY_LOCAL_MACHINE, r'SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName', None):

Ich bin kein Entwicklerexperte.

Außerdem sehe ich in der Wapt-Konsole nicht, wo der Schlüssel nach dem Speichern in Wapt angezeigt wird.
Hoch
jlepiquet
Nachrichten: 69
Anmeldung: 3. September 2024 - 16:09 Uhr

21. November 2024 – 14:35 Uhr

Funktioniert es besser, wenn Sie „Netzwerkname“ durch „Maschinendomäne“ ersetzen?
Ist der Schlüssel korrekt mit dem zugehörigen Domänennamen vorhanden?
Hoch
jptw
Nachrichten: 32
Anmeldung: 8. Juli 2020 - 11:08 Uhr

21. November 2024 – 15:14 Uhr

Hallo

, ja, es funktioniert, wenn ich es durch MachineDomain ersetze. Der Schlüssel wurde korrekt in AD hochgeladen, danke.

Und wissen Sie, wo ich die Schlüsselsicherung in WAPT finde?
Hoch
Antwort

Zurück zu „WAPT-Pakete“


  • Um mit WAPT weiterzukommen