Windows 10 Instalation mit verschlüsseung

Robert Tauber
Beiträge: 24
Registriert: 19 Mär 2015, 19:08

Windows 10 Instalation mit verschlüsseung

Beitragvon Robert Tauber » 11 Dez 2017, 16:31

Hallo Zusammen

Ich bin gerade dabei ein neues Windows 10 Installationspaket zu schnüren.
Das Problem ist das es diesmal verschlüsselt sein muss.
Da es zu diesem Problem noch nicht viele Einträge gibt wollte ich vorab fragen ob schon jemand damit Erfahrung hat.

Um der frage vorzubeugen wozu man denn so was braucht erstens willkommen im 21 Jahrhundert und zweitens das Image ist für unsere Außendienst Notebooks.

Viele Grüße
Robert Tauber

holgerv
Beiträge: 261
Registriert: 20 Aug 2012, 09:35

Re: Windows 10 Instalation mit verschlüsseung

Beitragvon holgerv » 12 Dez 2017, 13:23

VeraCrypt? BitLocker?

In beiden Fällen ist es wohl üblich, erst das OS zu installieren und erst dann zu verschlüsseln. Mit BitLocker ist es afaik auch möglich, direkt auf eine verschlüsselte Partition zu installieren. - Was habt ihr geplant?

Falls BitLocker: Plant ihr den Einsatz von MBAM?

...

Robert Tauber
Beiträge: 24
Registriert: 19 Mär 2015, 19:08

Re: Windows 10 Instalation mit verschlüsseung

Beitragvon Robert Tauber » 14 Dez 2017, 10:13

Prinzipiell ist die Anforderung die Laptops zu verschlüsseln. BitLocker wäre das Mittel der Wahl sollte es nicht damit klappen ist auch VeraCrypt ok.
Der erste versuch mit BitLocker ging schief sobald wir die Verschlüsselung aktivieren versucht er die Partition zu verkleinern und bricht ab.

rat
Beiträge: 214
Registriert: 01 Jan 2015, 12:40

Re: Windows 10 Instalation mit verschlüsseung

Beitragvon rat » 14 Dez 2017, 10:19

Robert Tauber hat geschrieben:Der erste versuch mit BitLocker ging schief sobald wir die Verschlüsselung aktivieren versucht er die Partition zu verkleinern und bricht ab.


Kurz nachgefragt: Die Bootpartition (100 bis 500MB vor dem Systemlaufwerk) ist vorhanden? Der Bitlocker braucht die nämlich.
https://msdn.microsoft.com/de-de/librar ... 07(v=ws.11).aspx

Ist nur eine Theorie

Robert Tauber
Beiträge: 24
Registriert: 19 Mär 2015, 19:08

Re: Windows 10 Instalation mit verschlüsseung

Beitragvon Robert Tauber » 14 Dez 2017, 12:43

Ja war vorhanden nur wird die nicht vom BitLocker verwendet er will die Systempartition (C:\) verkleinern und Scheitert dann.

Ich hab inzwischen auch raus was das Problem war.
Offensichtlich hat Windows ein paar Dateien am ende der Partition abgelegt. welche das verkleinern der C:Partition verhinderten nach einem defrag im abgesicherten Modus hat es dann funktioniert.

Ich über lege jetzt ein BitLocker Skript zu schreiben welches genau das macht.
Also gründlich defragmentieren und dann BitLocker aktivieren. Bzw.: Installation mit beschränktem Speicher platz und dann erweitern und BitLocker.

Viele Grüße
Robert Tauber

Robert Tauber
Beiträge: 24
Registriert: 19 Mär 2015, 19:08

Re: Windows 10 Instalation mit verschlüsseung

Beitragvon Robert Tauber » 14 Dez 2017, 20:47

irgend wie schafft es das opsi-Skript nicht auf defrag.exe bzw manage-bde.exe zu zu greifen.

DIR in einer über das Skript gestartete Konsole zeigt das er die Dateien nicht findet.
in einer vom user gestarteten CMD werden die Dateien gefunden

Viele Grüße
Robert Tauber

holgerv
Beiträge: 261
Registriert: 20 Aug 2012, 09:35

Re: Windows 10 Instalation mit verschlüsseung

Beitragvon holgerv » 15 Dez 2017, 09:48

Robert Tauber hat geschrieben:irgend wie schafft es das opsi-Skript nicht auf defrag.exe bzw manage-bde.exe zu zu greifen.

DIR in einer über das Skript gestartete Konsole zeigt das er die Dateien nicht findet.
in einer vom user gestarteten CMD werden die Dateien gefunden

Wenn Du uns das Skript (und die Fehlermeldungen) zeigst, wird es leichter, einen Fehler zu finden ...

Vermutung ins Blaue: Als User startest Du eine 64-Bit-cmd.exe, während opsi-winst eine 32-Bit-cmd.exe startet. - Aber das ist nur geraten; ohne das Skript zu sehen, lässt sich der Fehler kaum finden.

Robert Tauber
Beiträge: 24
Registriert: 19 Mär 2015, 19:08

Re: Windows 10 Instalation mit verschlüsseung

Beitragvon Robert Tauber » 15 Dez 2017, 13:30

Danke das mit den 64bit war das Problem

Ich hätte jetzt gerne das Paket angehängt nur leider geht das ja nicht also nur die Zeilen für die Installation.

Viele Grüße
Robert Tauber

Winst-Skript

Code: Alles auswählen

;-----------------------------------------------------
; Author:  Robert Tauber
; Date:    2017-12-14
; Package: BitLocker
;-----------------------------------------------------

;-----------------------------------------------------
; Die DeInstallation
;-----------------------------------------------------
 if $install$ = "false"
   ShowBitmap "%ScriptPath%\bilder\uninstall.png" $ProductNameShort$
   Message "BitLocker Deaktiviren"
   
   DosBatch_BitLockerOff winst /64Bit
 endif

;-----------------------------------------------------
; Die Installation
;-----------------------------------------------------
if $install$ = "true"
   ShowBitmap "%ScriptPath%\bilder\install.png" $ProductNameShort$
   Message "BitLocker Aktiviren"
   
   DosBatch_Defrag winst /64Bit
   DosBatch_BitLockerOn winst /64Bit
endif

;-----------------------------------------------------
; Subroutinen
;-----------------------------------------------------
[DosBatch_Defrag]
Defrag.exe C: /D /X

[DosBatch_BitLockerOn]
manage-bde.exe -on c: -encryptionmethod xts_aes256
manage-bde -protectors -add c: -recoverypassword >> C:\BitLockerKey.txt
%ScriptPath%\package\SaveBitLockerKey.exe

[DosBatch_BitLockerOff]
%Systemroot%\System32\Manage-bde -off


AutoIt-Skript für SaveBitLockerKey.exe

Code: Alles auswählen

#cs ----------------------------------------------------------------------------

 AutoIt Version: 3.3.8.1
 Author:         Robert Tauber 2017.12.15

 Script Function:
   Bindet ein netzlaufwerk als Laufwerk Q: ein.
   Kopiert alle *.bek dateien in einen ordner mit dem namen des PC's
   trent das netzlaufwerk wieder

#ce ----------------------------------------------------------------------------
#include <FileConstants.au3>

Local $server = "freenas"
Local $paht = "\\" & $server & "\BitLockerKeys"
Local $user = "DOM\USER"
Local $pw = "xxxx"

map_Q ($server, $paht, $user, $pw)

CopyKey ()

DriveMapDel("Q:")

Exit

Func CopyKey ()
   local $keyPath = "Q:\" & @ComputerName & "\"
   Local $date = @YEAR &"-"& @MON &"-"& @MDAY  &"_"& @HOUR & @MIN
   local $filename = "BitLockerKey_" & $date & ".txt"
   FileMove ( "c:\BitLockerKey*.txt", $keyPath & $filename, $FC_CREATEPATH + $FC_OVERWRITE)
EndFunc

Func map_Q ($server, $paht, $user, $pw)
   Local $ping = Ping($server,150)
   if $ping Then
     if DriveStatus("Q:\") = "INVALID" Then
       DriveMapAdd("Q:", $paht, 0, $user, $PW)
       local $ERROR = @error
       local $result = @extended
       If $ERROR > 1 Then
         MsgBox ( 1, "ERROR", '@error = ' & $ERROR & '@extended = ' & $result, 2)
       EndIf
       if $result = 1219 Then
         MsgBox ( 1, "DriveMap", 'Verbinden als "' & $user & '" nicht Möglich da bereits als andereer user Verbunden' , 2)
         DriveMapAdd("Q:", $paht, 0)
       EndIf
     EndIf
   Else
     MsgBox ( 1, "PING", 'Server antwortet nicht' , 2)
   EndIf
EndFunc


Zurück zu „Freier Support“

Wer ist online?

Mitglieder in diesem Forum: Bing [Bot], chris_opsi und 1 Gast