Windows 10 Instalation mit verschlüsseung

Antworten
Robert Tauber
Beiträge: 24
Registriert: 19 Mär 2015, 19:08

Windows 10 Instalation mit verschlüsseung

Beitrag von Robert Tauber »

Hallo Zusammen

Ich bin gerade dabei ein neues Windows 10 Installationspaket zu schnüren.
Das Problem ist das es diesmal verschlüsselt sein muss.
Da es zu diesem Problem noch nicht viele Einträge gibt wollte ich vorab fragen ob schon jemand damit Erfahrung hat.

Um der frage vorzubeugen wozu man denn so was braucht erstens willkommen im 21 Jahrhundert und zweitens das Image ist für unsere Außendienst Notebooks.

Viele Grüße
Robert Tauber
holgerv
Beiträge: 288
Registriert: 20 Aug 2012, 09:35

Re: Windows 10 Instalation mit verschlüsseung

Beitrag von holgerv »

VeraCrypt? BitLocker?

In beiden Fällen ist es wohl üblich, erst das OS zu installieren und erst dann zu verschlüsseln. Mit BitLocker ist es afaik auch möglich, direkt auf eine verschlüsselte Partition zu installieren. - Was habt ihr geplant?

Falls BitLocker: Plant ihr den Einsatz von MBAM?

...
Robert Tauber
Beiträge: 24
Registriert: 19 Mär 2015, 19:08

Re: Windows 10 Instalation mit verschlüsseung

Beitrag von Robert Tauber »

Prinzipiell ist die Anforderung die Laptops zu verschlüsseln. BitLocker wäre das Mittel der Wahl sollte es nicht damit klappen ist auch VeraCrypt ok.
Der erste versuch mit BitLocker ging schief sobald wir die Verschlüsselung aktivieren versucht er die Partition zu verkleinern und bricht ab.
rat
Beiträge: 264
Registriert: 01 Jan 2015, 12:40

Re: Windows 10 Instalation mit verschlüsseung

Beitrag von rat »

Robert Tauber hat geschrieben:Der erste versuch mit BitLocker ging schief sobald wir die Verschlüsselung aktivieren versucht er die Partition zu verkleinern und bricht ab.
Kurz nachgefragt: Die Bootpartition (100 bis 500MB vor dem Systemlaufwerk) ist vorhanden? Der Bitlocker braucht die nämlich.
https://msdn.microsoft.com/de-de/librar ... s.11).aspx

Ist nur eine Theorie
Robert Tauber
Beiträge: 24
Registriert: 19 Mär 2015, 19:08

Re: Windows 10 Instalation mit verschlüsseung

Beitrag von Robert Tauber »

Ja war vorhanden nur wird die nicht vom BitLocker verwendet er will die Systempartition (C:\) verkleinern und Scheitert dann.

Ich hab inzwischen auch raus was das Problem war.
Offensichtlich hat Windows ein paar Dateien am ende der Partition abgelegt. welche das verkleinern der C:Partition verhinderten nach einem defrag im abgesicherten Modus hat es dann funktioniert.

Ich über lege jetzt ein BitLocker Skript zu schreiben welches genau das macht.
Also gründlich defragmentieren und dann BitLocker aktivieren. Bzw.: Installation mit beschränktem Speicher platz und dann erweitern und BitLocker.

Viele Grüße
Robert Tauber
Robert Tauber
Beiträge: 24
Registriert: 19 Mär 2015, 19:08

Re: Windows 10 Instalation mit verschlüsseung

Beitrag von Robert Tauber »

irgend wie schafft es das opsi-Skript nicht auf defrag.exe bzw manage-bde.exe zu zu greifen.

DIR in einer über das Skript gestartete Konsole zeigt das er die Dateien nicht findet.
in einer vom user gestarteten CMD werden die Dateien gefunden

Viele Grüße
Robert Tauber
holgerv
Beiträge: 288
Registriert: 20 Aug 2012, 09:35

Re: Windows 10 Instalation mit verschlüsseung

Beitrag von holgerv »

Robert Tauber hat geschrieben:irgend wie schafft es das opsi-Skript nicht auf defrag.exe bzw manage-bde.exe zu zu greifen.

DIR in einer über das Skript gestartete Konsole zeigt das er die Dateien nicht findet.
in einer vom user gestarteten CMD werden die Dateien gefunden
Wenn Du uns das Skript (und die Fehlermeldungen) zeigst, wird es leichter, einen Fehler zu finden ...

Vermutung ins Blaue: Als User startest Du eine 64-Bit-cmd.exe, während opsi-winst eine 32-Bit-cmd.exe startet. - Aber das ist nur geraten; ohne das Skript zu sehen, lässt sich der Fehler kaum finden.
Robert Tauber
Beiträge: 24
Registriert: 19 Mär 2015, 19:08

Re: Windows 10 Instalation mit verschlüsseung

Beitrag von Robert Tauber »

Danke das mit den 64bit war das Problem

Ich hätte jetzt gerne das Paket angehängt nur leider geht das ja nicht also nur die Zeilen für die Installation.

Viele Grüße
Robert Tauber

Winst-Skript

Code: Alles auswählen

;-----------------------------------------------------
; Author:  Robert Tauber
; Date:    2017-12-14
; Package: BitLocker
;-----------------------------------------------------

;-----------------------------------------------------
; Die DeInstallation
;-----------------------------------------------------
 if $install$ = "false"
	ShowBitmap "%ScriptPath%\bilder\uninstall.png" $ProductNameShort$
	Message "BitLocker Deaktiviren"
	
	DosBatch_BitLockerOff winst /64Bit
 endif

;-----------------------------------------------------
; Die Installation
;-----------------------------------------------------
if $install$ = "true"
	ShowBitmap "%ScriptPath%\bilder\install.png" $ProductNameShort$
	Message "BitLocker Aktiviren"
	
	DosBatch_Defrag winst /64Bit
	DosBatch_BitLockerOn winst /64Bit
endif

;-----------------------------------------------------
; Subroutinen
;-----------------------------------------------------
[DosBatch_Defrag]
Defrag.exe C: /D /X

[DosBatch_BitLockerOn]
manage-bde.exe -on c: -encryptionmethod xts_aes256
manage-bde -protectors -add c: -recoverypassword >> C:\BitLockerKey.txt
%ScriptPath%\package\SaveBitLockerKey.exe

[DosBatch_BitLockerOff]
%Systemroot%\System32\Manage-bde -off
AutoIt-Skript für SaveBitLockerKey.exe

Code: Alles auswählen

#cs ----------------------------------------------------------------------------

 AutoIt Version: 3.3.8.1
 Author:         Robert Tauber 2017.12.15

 Script Function:
	Bindet ein netzlaufwerk als Laufwerk Q: ein.
	Kopiert alle *.bek dateien in einen ordner mit dem namen des PC's
	trent das netzlaufwerk wieder

#ce ----------------------------------------------------------------------------
#include <FileConstants.au3>

Local $server = "freenas"
Local $paht = "\\" & $server & "\BitLockerKeys"
Local $user = "DOM\USER"
Local $pw = "xxxx"

map_Q ($server, $paht, $user, $pw)

CopyKey ()

DriveMapDel("Q:")

Exit

Func CopyKey ()
   local $keyPath = "Q:\" & @ComputerName & "\"
   Local $date = @YEAR &"-"& @MON &"-"& @MDAY  &"_"& @HOUR & @MIN
   local $filename = "BitLockerKey_" & $date & ".txt"
   FileMove ( "c:\BitLockerKey*.txt", $keyPath & $filename, $FC_CREATEPATH + $FC_OVERWRITE)
EndFunc

Func map_Q ($server, $paht, $user, $pw)
   Local $ping = Ping($server,150)
   if $ping Then
	  if DriveStatus("Q:\") = "INVALID" Then
		 DriveMapAdd("Q:", $paht, 0, $user, $PW)
		 local $ERROR = @error
		 local $result = @extended
		 If $ERROR > 1 Then
			MsgBox ( 1, "ERROR", '@error = ' & $ERROR & '@extended = ' & $result, 2)
		 EndIf
		 if $result = 1219 Then
			MsgBox ( 1, "DriveMap", 'Verbinden als "' & $user & '" nicht Möglich da bereits als andereer user Verbunden' , 2)
			DriveMapAdd("Q:", $paht, 0)
		 EndIf
	  EndIf
   Else
	  MsgBox ( 1, "PING", 'Server antwortet nicht' , 2)
   EndIf
EndFunc
Antworten