Seite 1 von 2
BitLocker-Audit-Schlüsselwiederherstellung
Veröffentlicht: 19. November 2024 - 17:04 Uhr
von jptw
Guten Morgen,
wapt console: 2.3.0.13470
BitLocker aktivieren: 10.5.0
BitLocker-Audit: 10.5.0
Computer mit 2 Festplatten: C: (System) und D: (Daten) (Nur das Systemlaufwerk C: ist verschlüsselt)
Ich habe Probleme, den BitLocker-Schlüssel aus Active Directory abzurufen
Die Installation und Verschlüsselung des C:-Laufwerks stellt kein Problem dar
Der Prüfer seinerseits begeht einen Fehler
Ich fasse zusammen, was es mir sagt
Code: Alle auswählen
OK : C: est chiffré et la protection bitlocker est ON
IMPORTANT : je n'ai pas spécifié de "decrypt_cert_list" .... ( je ne souhaite pas forcement que la cle soit visible dans wapt )
ERROR : D: Data drive n'est pas chiffré par bitlocker
INFO: D: Data drive bitlocker encryptionmethod is :none
Ich habe den Eindruck, dass es nicht versucht, den Schlüssel an AD zu senden
Und warum erhalte ich eine Fehlermeldung, weil D: nicht verschlüsselt ist?
Ich muss etwas verpasst haben
Ich danke Ihnen für Ihre Hilfe
Betreff: Wiederherstellung des BitLocker-Prüfschlüssels
Veröffentlicht: 19. November 2024 - 18:04 Uhr
von dcardon
Hallo Jens,
standardmäßig verschlüsselt das Paket nur die Systemfestplatte. Dies verhindert die versehentliche Verschlüsselung externer Laufwerke. Wenn Sie auch das D:-Laufwerk verschlüsseln möchten, müssen Sie das Paket anpassen.
Bezüglich des Hochladens des verschlüsselten Passworts in Active Directory ist meines Wissens ein Gruppenrichtlinienobjekt (GPO) oder etwas Ähnliches zu konfigurieren. Es gibt auch ein Paket namens „laps by wapt“, das das verschlüsselte Passwort in WAPT hochlädt.
Nur zur Info: Mit der heutigen Veröffentlichung von WAPT 2.6 wird WAPT 2.3 nicht mehr unterstützt. Könnten Sie ein Update planen?
Viele Grüße,
Denis
Betreff: Wiederherstellung des BitLocker-Prüfschlüssels
Veröffentlicht: 20. November 2024 - 8:32 Uhr
von jptw
Guten Morgen,
Standardmäßig verschlüsselt das Paket nur die Systemfestplatte
Das ist genau das, was ich möchte, aber das Paket audit-bitlocker gibt einen Fehler für das Datenlaufwerk D: zurück
Was das Abrufen des Passworts aus AD betrifft, so glaube ich, dass dies vom Paket audit-bitlocker übernommen werden sollte (LAPS ist nur für Passwörter lokaler Administratorkonten vorgesehen)
Hier ein Ausschnitt aus dem Paket audit-bitlocker:
Code: Alle auswählen
for keyprotector in keyprotector_list:
keyprotectorid = keyprotector["KeyProtectorId"]
if keyprotector["KeyProtectorType"] in [1,2,4]:
# WAPT.delete_audit_data(
# "enable-bitlocker", f"RecoveryPassword_{keyprotectorid}"
# ) # not possible from package, please delete from WAPT Console
# print("INFO: Skipping Backup-BitLockerKeyProtector for KeyProtectorType: Tpm")
continue
try:
# Backuping RecoveryPassword to the AD
if registry_readstring(HKEY_LOCAL_MACHINE, r'SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName', None):
print(f"Backuping: RecoveryPassword {keyprotectorid} to the AD")
run_powershell(f'Backup-BitLockerKeyProtector -MountPoint "{mountpoint}" -KeyProtectorId "{keyprotectorid}"')
except Exception as e:
print(e)
print(f"WARNING: Failed to backup RecoveryPassword {keyprotectorid} to the AD")
audit_status = set_audit_status(audit_status, "WARNING")
Ich habe außerdem eine Gruppenrichtlinie hinzugefügt, die den Wiederherstellungsschlüssel an Active Directory senden soll, aber das hat nichts geändert
Ich habe weder den Wiederherstellungsschlüssel, der in Active Directory angezeigt wird, noch die Warnung „Fehler beim Sichern des Wiederherstellungskennworts“
DANKE
Betreff: Wiederherstellung des BitLocker-Prüfschlüssels
Veröffentlicht: 20. November 2024 - 14:40 Uhr
von jlepiquet
Guten Morgen,
Das Skript durchläuft alle im System vorhandenen physischen Festplatten.
Sie können den folgenden Code ändern oder löschen:
Zeile 207
Code: Alle auswählen
else:
print(f"ERROR: {mountpoint} {volumetype} drive is not encrypted with BitLocker")
audit_status = set_audit_status(audit_status, "ERROR")
Betreff: Wiederherstellung des BitLocker-Prüfschlüssels
Veröffentlicht: 20. November 2024 - 18:40 Uhr
von jptw
Guten Morgen,
Okay, ich habe die beiden Fehlermeldungen in Warnmeldungen geändert, sodass die rote Fehlermeldung nicht mehr angezeigt wird (vielen Dank)
Ich habe außerdem ein Zertifikat zur "decrypt_cert_list" hinzugefügt, um die Sicherung des Wiederherstellungsschlüssels in WAPT anzuzeigen (zu Testzwecken)
Im Rahmen der Prüfung hat er mir deutlich gesagt, dass…
Backup: RecoveryPassword{xxxx-xxx-xxx--xxxxx} an die wapt-Konsole senden
Ich weiß allerdings nicht, wo ich den Wiederherstellungsschlüssel finden soll.
Und er hat mir immer noch nichts darüber gesagt, wie man den Wiederherstellungsschlüssel in AD sichert
Zum Testen habe ich den Befehl auf meinem Computer ausgeführt
Backup-BitLockerKeyProtector -MountPoint "{mountpoint}" -KeyProtectorId "{keyprotectorid}
Durch die korrekte Einstellung der Werte ist der Schlüssel tatsächlich in den Eigenschaften des Rechners in Active Directory erschienen
Falls das schon jemand gemacht hat und es funktioniert, wäre ich daran interessiert
DANKE
Betreff: Wiederherstellung des BitLocker-Prüfschlüssels
Veröffentlicht: 21. November 2024 - 11:52 Uhr
von jlepiquet
Guten Morgen,
Das Drehbuch scheint nicht zu passen
Code: Alle auswählen
if registry_readstring(HKEY_LOCAL_MACHINE, r'SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName', None):
print(f"Backuping: RecoveryPassword {keyprotectorid} to the AD")
run_powershell(f'Backup-BitLockerKeyProtector -MountPoint "{mountpoint}" -KeyProtectorId "{keyprotectorid}"')
Ist der Eintrag Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\NetworkName auf dem Computer vollständig leer?
Betreff: Wiederherstellung des BitLocker-Prüfschlüssels
Veröffentlicht: 21. November 2024 - 12:45 Uhr
von jptw
Ja, dieser Schlüssel ist tatsächlich leer
Betreff: Wiederherstellung des BitLocker-Prüfschlüssels
Veröffentlicht: 21. November 2024 – 13:10 Uhr
von jptw
Ich habe gerade einen Test durchgeführt, indem ich dem Schlüssel „SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History“, „NetworkName“, den Wert „test“ zugewiesen habe
. Das Überwachungsprotokoll zeigt korrekt an, dass der Wiederherstellungsschlüssel in Active Directory gespeichert wird.
Das ist seltsam, nicht wahr?
Oder interpretiere ich die Bedingung falsch:
if registry_readstring(HKEY_LOCAL_MACHINE, r'SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName', None):
Ich bin kein Entwicklerexperte.
Außerdem sehe ich in der Wapt-Konsole nicht, wo der Schlüssel nach dem Speichern in Wapt angezeigt wird.
Betreff: Wiederherstellung des BitLocker-Prüfschlüssels
Veröffentlicht: 21. November 2024 - 14:35 Uhr
von jlepiquet
Funktioniert es besser, wenn Sie „Netzwerkname“ durch „Maschinendomäne“ ersetzen?
Ist der Schlüssel korrekt mit dem zugehörigen Domänennamen vorhanden?
Betreff: Wiederherstellung des BitLocker-Prüfschlüssels
Veröffentlicht: 21. November 2024 – 15:14 Uhr
von jptw
Hallo
, ja, es funktioniert, wenn ich es durch MachineDomain ersetze. Der Schlüssel wurde korrekt in AD hochgeladen, danke.
Und wissen Sie, wo ich die Schlüsselsicherung in WAPT finde?