Bitlocker implementatie

Beste,

Binnen onze organisatie hebben we de wens om de laptops die de deur uit gaan te encrypte met bitlocker. Dit wil ik graag gaan uitrollen via GPO aangezien de laptop local domain joined zijn en de gegeven dan in AD DS opslaan. Wanneer de laptop eenmalig binnen komt wordt de GPO gepushed en de laptop encrypted.

Van de week heb ik alles netjes ingesteld via GPO en werkt het na behoren. Echter werkt het alleen als ik bitlocker op de W10 1803 laptops met de hand inschakel. Hiervoor is ook een admin account nodig maar de gebruikers zijn geen local admin op hun laptop. Dit houd dus in dat er altijd een actie met de hand gedaan moet worden door een administrator om bitlocker in te kunnen schakelen. Nu vroeg ik me af of iemand hier een script voor had of dat ik een GPO over het hoofd zie om dit proces automatisch te starten.

De AD DS server is een 2016 server en het domain en forest level zit ook op 2016.
De laptop's zijn Windows 10 machines build 1803.

Hopelijk hebben jullie hier een uitkomst voor.

Met vriendelijke groet,
Jokko

VHware schreef op zondag 2 september 2018 @ 12:12:
Is een beetje known issue in 1803.

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

# activate BitLocker, store key in AD # a real pain since win 10 v1803 ... $ScriptPath = "C:\bitlocker.ps1" $secretPIN = "foo" $password = "bar" net localgroup "Administrators" /add "DOMAIN\someUSER" sleep 2 # create script file $ScriptValue = 'manage-bde -off c:; manage-bde -on c: -EncryptionMethod aes256 -SkipHardwareTest -UsedSpaceOnly -TPMandPIN ' + "$secretPIN" + ' -RecoveryPassword;' Set-Content -Path $ScriptPath -Value $ScriptValue $cred = New-Object System.Management.Automation.PsCredential("DOMAIN\someUSER", (ConvertTo-SecureString $password -AsPlainText -Force)) # command line arguments $ArgList = 'Start-Process -FilePath powershell.exe -ArgumentList \"-ExecutionPolicy Bypass -File "{0}"\" -Verb Runas' -f $ScriptPath # deactivate UAC prompt for admins REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v ConsentPromptBehaviorAdmin /t REG_DWORD /d 0 /f # launch elevated process using different credentials Start-Process -FilePath powershell.exe -Credential $cred -ArgumentList $ArgList -Wait -NoNewWindow -WorkingDirectory C:\ # re-activate UAC prompt for admins REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v ConsentPromptBehaviorAdmin /t REG_DWORD /d 5 /f # clean up net localgroup "Administrators" /delete "DOMAIN\someUSER" Remove-Item -path $ScriptPath -force

Je zou iets bovenstaand kunnen doen.
Dit voegt een domainuser aan de localadmin groep toe, voert de commando’s uit om bitlocker aan te zetten en verwijderd vervolgens de domainuser weer uit de localadmin groep.

Bron: https://social.technet.mi...?forum=win10itprosecurity

Bedankt daar ga ik morgen eens mee aan de slag!
Nog een korte vraag stel ik zou geen 1803 hebben dan zou hij vanuit de gpo hem ook automatisch moeten encrypten zonder dat een admin dat moet doen handmatig ?

Edit: ik zie dat dit script voor een gebruiker specifiek is heb je ook een idee om dit uit te voor met bijvoorbeeld %username%.

Edit twee: Na wat onderzoek ben ik er achter gekomen dat bitlocker altijd door de gebruiker geactiveerd moet worden omdat ze een pin moeten opgeven natuurlijk. Je kan enkel het beleid pushen met gpo maar geen encryptie starten.

[ Voor 7% gewijzigd door jokko op 02-09-2018 21:36 ]

VHware schreef op zondag 2 september 2018 @ 22:48:
[...]


Je kunt in het script een domeingebruiker neerzetten. Dat hoeft niet de laptopgebruiker te zijn. Je kunt daar een gebruiker in AD voor maken/gebruiken specifiek voor dit script.

Het script kan ik runnen zonder enige foutmelding te krijgen echter activeert hij geen bitlocker.
Waar ik nu dus tegen aanloop is dat ik het beleid prima kan bepalen via GPO.

Echter moet nu de gebruiker nog met de hand bitlocker inschakelen en heeft hij daar voor admin rechten nodig. Dit houd dus in dat tot nu toe bitlocker enkel kan worden ingeschakeld wanneer er admin credentials worden ingegeven op de werkplek van de gebruiker.

De wens is om automatisch bitlocker encryption te starten doormiddel van een powershell script bijvoorbeeld die hangt aan een logon GPO. In dit script encrypt hij dan de %systemdrive% en maakt een standaard pin 1234567890 aan bijvoorbeeld die de gebruiker later kan wijzigen. En hij moet natuurlijk de recovery key naar AD DS schrijven.

Of zit ik hier helemaal verkeerd en moeilijk te denken en wordt dit normaal heel anders geregeld ?

VHware schreef op maandag 3 september 2018 @ 08:43:
[...]


Volledig automatisch / silent houdt minimaal in dat de hardware moet zijn voorzien van een actieve TPM chip,
Om hoeveel devices gaat het eigenlijk? Wellicht dat het eenvoudiger is via bv SCCM of anders Intune.

Deze link heeft ook nog veel informatie
https://adameyob.com/2016...ch-bitlocker-deployments/

De devices beschikken over een actieve tpm 2.0 chip en het betreft rond de 1000 devices.
Binnen onze organisatie hebben wij geen enterprise mobility + security licenties en zijn alle devices nog local domain joined. Wanneer bitlocker via intune wordt uitgerold is dit proces wel naar mijn wensen in te richten ?
Bedankt voor je link die ga ik eens doornemen !

VHware schreef op maandag 3 september 2018 @ 08:43:
[...]


Volledig automatisch / silent houdt minimaal in dat de hardware moet zijn voorzien van een actieve TPM chip,
Om hoeveel devices gaat het eigenlijk? Wellicht dat het eenvoudiger is via bv SCCM of anders Intune.

Deze link heeft ook nog veel informatie
https://adameyob.com/2016...ch-bitlocker-deployments/

Helaas kom ik er nog steeds niet uit ook met een machine waar 1703 op staat wordt de encryptie niet automatisch afgetrapt. Als ik bitlocker inschakel met de hand en admin credentials zie ik wel dat mijn beleid gehanteerd wordt. Heeft u mogelijk nog een idee hoe ik bitlocker kan enforce op werkplekken die niet lokaal admin zijn ? Tevens vroeg ik me af of het via bitlocker wel zonder moeite zou gaan en de encryptie automatisch wordt gestart.