Seite 1 von 2
[GELÖST] BitLocker-Verschlüsselung der IT-Infrastruktur
Veröffentlicht: 4. Dez. 2023 - 14:15 Uhr
von PaulSLA
Hallo,
wir möchten BitLocker in unserem Unternehmen einführen. Wir haben die Pakete „BitLocker Enable“ und „BitLocker Audit“ zu diesem Zweck gefunden.
Nach mehreren Versuchen konnten wir „BitLocker Enable“ auf einer Workstation zum Laufen bringen, jedoch nicht auf den drei anderen, obwohl dort die gleiche Installation vorhanden ist. Bei „BitLocker Audit“ können wir die Schlüssel weder in Active Directory noch in WAPT abrufen. Wir wissen, dass eine Zertifikatsliste erforderlich ist; könnten Sie uns bitte weitere Informationen dazu geben?
Wo finden wir eine ausführlichere Dokumentation zur Verschlüsselung und zum Speichern von BitLocker-Schlüsseln über WAPT?
Mit freundlichen Grüßen,
Paul
Betreff: BitLocker-IT-Verschlüsselung
Veröffentlicht: 5. Dez. 2023 - 15:33 Uhr
von Jorico
Hallo Paul,
ich verwende das tis-audit-bitlocker-Paket. Um die Schlüssel in der WAPT-Konsole anzuzeigen, müssen Sie das Paket bearbeiten und die Namen der Zertifikate der Benutzer hinzufügen, die zum Lesen der Audit-Daten berechtigt sind.
Betreff: BitLocker-IT-Verschlüsselung
Veröffentlicht: 8. Dez. 2023 - 13:10 Uhr
von PaulSLA
Vielen Dank für Ihre Antwort.
Ich bin mir nicht sicher, was Sie mit „Benutzerzertifikatsnamen“ meinen. Wird das nicht direkt über die WAPT-Konsole verwaltet? Ähnlich wie die LAPS-Passwortverschlüsselung in WAPT?
Mit freundlichen Grüßen
Betreff: BitLocker-IT-Verschlüsselung
Veröffentlicht: 8. Dez. 2023 - 14:08 Uhr
von Jorico
Hallo Paul,
dies sind die Zertifikate (verknüpft mit Ihren WAPT-Administratoren), mit denen Sie WAPT-Pakete signieren können.
Betreff: BitLocker-IT-Verschlüsselung
Veröffentlicht: 8. Dez. 2023 - 15:27 Uhr
von dcardon
Hallo
@PaulSLA, bezüglich LAPS by WAPT: Es werden die im Agenten definierten Zertifikate verwendet, daher müssen keine zusätzlichen hinzugefügt werden. Das BitLocker-Paket hingegen fordert Zertifikate explizit an. Es stimmt, dass wir auch die bereits bereitgestellten Zertifikate wiederverwenden könnten.
Viele Grüße,
Denis
Betreff: BitLocker-IT-Verschlüsselung
Veröffentlicht: 11. Dez. 2023 - 08:46 Uhr
von PaulSLA
Guten Morgen,
Wenn ich Ihre Erklärungen und den Paketcode richtig verstanden habe, muss ich lediglich den Namen des Zertifikats eingeben, das die Prüfergebnisse einsehen kann:
Wenn sich mein Zertifikat unter wapt-crt.crt in C:\wapt\ssl befindet, muss ich Folgendes tun:
Code: Alle auswählen
target_encryption_method = 7
allow_swap_encryption_method = False # Not implemented yet
decrypt_cert_list = wapt-crt
def install():
# Adding certificates allowed to decrypt in WAPT
for cert in decrypt_cert_list:
cert_path = makepath(WAPT.wapt_base_dir, "ssl", cert)
if not isfile(cert_path):
print("Copying: %s" % cert_path)
filecopyto(cert, cert_path)
Wird das Skript das benötigte Zertifikat automatisch abrufen? Falls ich mehrere Zertifikate habe, muss ich Kommas oder Semikolons verwenden?
Beim Aktivieren von BitLocker erhalte ich eine Fehlermeldung bezüglich BitLocker Key Protector. Muss ich die Installation des Pakets auf allen betroffenen Rechnern erzwingen, um BitLocker Key Protector zu entfernen, und anschließend eine Standardinstallation durchführen? Sollte das funktionieren?
Gibt es keine Möglichkeit, dies zu automatisieren?
Aufrichtig,
Betreff: BitLocker-IT-Verschlüsselung
Veröffentlicht: 29. Dez. 2023 - 13:17 Uhr
von PaulSLA
Guten Morgen,
Nach mehreren Versuchen meinerseits erhalte ich nun eine Fehlermeldung bei der Paketinstallation:
Hier sind die Protokolle:
Code: Alle auswählen
"
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4010, in install_wapt
setup = import_setup(setup_filename)
File "C:\Program Files (x86)\wapt\waptutils.py", line 1525, in import_setup
py_mod = imp.load_source(modulename, setupfilename)
File "imp.py", line 171, in load_source
File "<frozen importlib._bootstrap>", line 702, in _load
File "<frozen importlib._bootstrap>", line 671, in _load_unlocked
File "<frozen importlib._bootstrap_external>", line 843, in exec_module
File "<frozen importlib._bootstrap>", line 219, in _call_with_frames_removed
File "C:\WINDOWS\TEMP\wapt_3l1xqgx\setup.py", line 73, in <module>
NameError: name 'wapt' is not defined
NameError: name 'wapt' is not defined
"
Ich habe einfach den Zertifikatsnamen nach "decrypt_cert_list" in der Form decrypt_cert_list = certificate_name hinzugefügt
Hat irgendjemand eine Idee, woran der Fehler liegen könnte, es sei denn, das Paket wird nicht mehr unterstützt?
Dank im Voraus,
Aufrichtig,
Paul
Betreff: BitLocker-IT-Verschlüsselung
Veröffentlicht: 3. Januar 2024 - 10:36 Uhr
von dcardon
Hallo Paul,
in Python wird der Bindestrich "-" als Subtraktionsoperator interpretiert. Daher wird `wapt-crt` als `wapt - crt` (die Variable `wapt` minus die Variable `crt`) geparst, daher die Meldung, dass die Variable `wapt` nicht existiert.
Da fehlen wohl irgendwo Anführungszeichen,
Denis.
Betreff: BitLocker-IT-Verschlüsselung
Veröffentlicht: 3. Januar 2024 – 17:18 Uhr
von PaulSLA
Guten Morgen,
Danke, das war's, ich habe es gestern gefunden. Ich habe Anführungszeichen um das Zertifikat gesetzt, und jetzt ist alles in Ordnung mit der Prüfung.
Jetzt fehlt nur noch die BitLocker-Aktivierung. Wir haben versucht, das Paket aus dem Store zu verwenden, aber es funktioniert einfach nicht. Es ist immer dasselbe:
Erste Installation:
Code: Alle auswählen
OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
exitstatus = setup.install()
File "C:\WINDOWS\TEMP\waptzpc2fp1z\setup.py", line 118, in install
File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.
EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.
Ich habe es also mit der Option „Erzwingen“ installiert, und das Ergebnis war:
Code: Alle auswählen
OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Remove-BitlockerKeyProtector -MountPoint C: -KeyProtectorId "{92D79314-13A0-475E-B8FC-4195EAEDF1E0}"
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
exitstatus = setup.install()
File "C:\WINDOWS\TEMP\wapt_03ore3e\setup.py", line 116, in install
File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : BitlockerKeyProtector have been removed on C: please reinstall this package.
EWaptSetupException: Fatal error : BitlockerKeyProtector have been removed on C: please reinstall this package.
Das scheint in Ordnung zu sein. Also habe ich es ein zweites Mal ohne die Option „Erzwingen“ neu installiert, und das Ergebnis war:
Code: Alle auswählen
OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
exitstatus = setup.install()
File "C:\WINDOWS\TEMP\waptraxa1eek\setup.py", line 118, in install
File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.
EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.
Das Problem wiederholt sich ständig; wir haben das Paket nicht verändert. Die Erstellung eines eigenen Pakets mithilfe eines PowerShell-Skripts funktioniert zwar, aber jedes Mal, wenn wir das Paket aktualisieren, werden alle PCs neu verschlüsselt und ein neuer Wiederherstellungsschlüssel generiert. Das führt schnell zu Problemen.
Irgendwelche Ideen? Oder habe ich vielleicht einen Konfigurationsschritt übersehen, beispielsweise beim Audit-Paket?
Aufrichtig,
Paul
Betreff: BitLocker-IT-Verschlüsselung
Veröffentlicht: 3. Januar 2024 - 17:55 Uhr
von jpele
Guten Morgen,
Könnten Sie bitte den angegebenen PowerShell-Befehl auf einem betroffenen Rechner eingeben?
Code: Alle auswählen
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Sie sollten mehr über den Knackpunkt wissen.
Es besteht eine gute Chance, dass es durch eine Gruppenrichtlinie blockiert wird.
Aufrichtig,
Jimmy