Fernverwaltung von BitLocker Laufwerkverschlüsselungen mit PowerShell und NinjaOne

MSP-Insights, Tools & Best-Practices

NinjaOne Newsletter

Für unsere wachstumsorientierte MSP-Community stellen wir jede Woche fünf praxisnahe Ideen vor, die Ihnen bei Ihrer Aufgabe helfen werden.

Verpassen Sie keine Angebote, kostenlose Tools, Events & Webinare sowie Produkt-Updates. Melden Sie sich jetzt für den NinjaOne Newsletter an.

Schneller Wachsen. Weniger Stress.

Visit our Resources Center for more MSP content.
Peter Bretton      

NinjaOne’s Feature Release 4.6 enthielt entscheidende Verbesserungen unserer Automatisierungs-Engine. Ab sofort ist es möglich Ausgaben von Skripten zu überwachen. Sobald eine bestimmte Ausgabe erkannt wird, können Sie Alarmierungen, Benachrichtigungen oder Tickets erzeugen oder weiterführende Automatisierungen aufgrund dieses Outputs auslösen lassen.

Ein gutes Beispiel für die Verwendung dieser neuen Funktionalität ist die automatisierte Verwaltung der BitLocker Laufwerkverschlüsselung in NinjaOne, mithilfe von PowerShell.

Die Einrichtung dieser Automatisierung erfordert drei Schritte:

  1. Skript zur Überprüfung des BitLocker-Status auf Laufwerken
  2. Skript zur Aktivierung von BitLocker und Extraktion des Wiederherstellungsschlüssels
  3. Erzeugung einer automatisierten Richtlinie, die das zweite Skript auslöst, sobald die erforderliche Ausgabe des ersten Skripts erkannt wird

1) Skript zur Überprüfung des BitLocker-Status auf Laufwerken

Überprüfen Sie auf jedem Laufwerk eines Endpunktes den BitLocker-Status mithilfe des PowerShell Cmdlet Get-BitLockerVolume, um mithilfe des ProtectionStatus Parameters sicherzugehen, dass das entsprechende Laufwerk unverschlüsselt ist.

Wenn das Laufwerk unverschlüsselt ist, benutzen Sie das Cmdlet Write-Host zur eindeutigen Identifikation der Skript-Ausgabe (z.B. ‘Bitlocker deaktiviert für Laufwerk’), damit Sie vom Skript-Ausgabe-Monitor in NinjaOne erkannt wird.

2) Skript zur Aktivierung von BitLocker und Extraktion des Wiederherstellungsschlüssels

Überprüfen und aktivieren Sie zuerst TPM

BitLocker kann entweder mit oder ohne TPM (Trusted Platform Module) aktiviert werden. Ohne TPM wird ein zusätzlicher Systemschlüssel benötigt, um BitLocker zu verwenden.

Um den Status des TPM zu erhalten, müssen Sie das Get-Tpm Cmdlet verwenden. Falls das TPM nicht bereit ist, müssen Sie es initialisieren. Das ist mittels Initialize-Tpm möglich.

Überprüfen Sie den BitLocker-Status auf jedem Laufwerk, das Sie verschlüsseln möchten

Es ist nicht empfohlen, BitLocker für ein bereits verschlüsseltes Laufwerk zu aktivieren, daher sollten Sie vor der Aktivierung von BitLocker noch einmal den Status des Laufwerks überprüfen. Nutzen Sie dazu Get-BitLockerVolume und ProtectionStatus.

Aktivieren Sie BitLocker

Verwenden Sie Enable-BitLocker, um BitLocker für die unverschlüsselten Laufwerke zu aktivieren. Einige Parameter sollten bei der Nutzung von Enable-BitLocker beachtet werden:

  • MountPoint gibt Ihnen die Möglichkeit zu spezifizieren, welche/s Laufwerk/e verschlüsselt werden soll/en.
  • EncryptionMethod legt fest, welche Verschlüsselungsmethode verwendet werden soll.
  • UsedSpaceOnly kann den Verschlüsselungsprozess beschleunigen, indem ungenutzter Speicherplatz nicht mitverschlüsselt wird.
  • TpmProtector gibt an, dass das TPM als Schutzvorrichtung für das entsprechende Laufwerk fungiert.
Sammeln und Aufbewahrung Ihrer Wiederherstellungsschlüssel

Wenn Sie den Wiederherstellungsschlüssel für ein bestimmtes Laufwerk verlieren und etwas schief geht, sind die Daten auf diesem Laufwerk verloren. Um Ihre Wiederherstellungsschlüssel in NinjaOne auffinden zu können, nutzen Sie Write-Host und Get-BitLockerVolume und KeyProtector. So rufen Sie den KeyProtector ab und schreiben die Information in das NinjaOne-Aktivitätsprotokoll des entsprechenden Geräts.

Wir empfehlen Ihnen, den KeyProtector auf Ihre IT-Dokumentationsplattform zu übertragen (z.B. IT Glue) oder zu Ihrem NinjaOne Tab ‘Notizen‘ hinzuzufügen.

3) Richten Sie die Automatisierung in NinjaOne ein

In Ihrer höchsten übergeordneten Richtlinie:

  1. Die Ausführung des ersten Skripts, das neue Geräte auf Ihren Verschlüsselungsstatus hin überprüft, können Sie nach Ihren Bedürfnissen planen.
  2. Erzeugen Sie einen neuen Monitor, der die Skript-Ausgabe auf die Bedingung hin überprüft, ob der von Ihnen im ersten Skript festgelegte unverwechselbare Identifikator (‘BitLocker deaktiviert fuer Laufwerk’) ausgelöst wird. Stellen Sie für diese Bedingung ein, dass sobald diese erfüllt ist, das zweite PowerShell Skript ausgelöst wird, um BitLocker zu aktivieren.

MSP-Insights, Tools & Best-Practices

NinjaOne Newsletter

Für unsere wachstumsorientierte MSP-Community stellen wir jede Woche fünf praxisnahe Ideen vor, die Ihnen bei Ihrer Aufgabe helfen werden.

Verpassen Sie keine Angebote, kostenlose Tools, Events & Webinare sowie Produkt-Updates. Melden Sie sich jetzt für den NinjaOne Newsletter an.