Teil 20a: BitLocker-Wiederherstellung durch den Administrator

Veröffentlicht am von
Antworten

BitLocker-Wiederherstellung durch den Administrator – Schritte:

  • Die häufigsten Ursachen für die Wiederherstellung
  • Wiederherstellungsschlüssel-ID auf Client003 ermitteln
  • Wiederherstellungspasswort ermitteln
  • Das erneute starten der BitLocker-Wiederherstellung beim Booten verhindern

Die häufigsten Ursachen für die Wiederherstellung

Quelle: http://technet.microsoft.com/de-de/library/cc771778(v=ws.10).aspx

  • Ein Angreifer hat den Computer geändert. Dies gilt für Computer mit TPM (Trusted Platform Module), da die Integrität der Startkomponenten während des Starts von TPM überprüft wird.
  • Verschieben des mit BitLocker geschützten Laufwerks auf einen neuen Computer
  • Aktualisieren auf ein neues Motherboard mit einem neuen TPM
  • Ausschalten, Deaktivieren oder Löschen des TPM
  • Aktualisieren wichtiger Komponenten für den frühen Start, die Fehler bei der TPM-Überprüfung verursachen
  • Vergessen der PIN, wenn die PIN-Authentifizierung aktiviert ist
  • Verlieren des austauschbaren USB-Flashlaufwerks mit dem Systemstartschlüssel, wenn die Authentifizierung mit einem Systemstartschlüssel aktiviert ist

Wiederherstellungsschlüssel-ID auf Client003 ermitteln

Die ist jene ID, die der Benutzer dem Helpdesk bekannt geben muss, wenn die BitLocker-Wiederherstellung beim Bootvorgang gestartet wird. Es muss nicht die gesammte ID bekannt gegeben werden, es reichen die ersten 8 Zeichen davon. Im ersten Schritt ermittle ich auf Client003 in Windows die Wiederherstellungs-ID, damit ich das Wiederherstellungs-Szenario durchspielen kann.

  1. Als Markus an Client003 anmelden
  2. Eingabeaufforderung (Administrator) starten
  3. Mit folgendem Befehl den Status der Verschlüsselung ermitteln 
    manage-bde -status c:
  4. Der Status wurde ermittelt
    BITLOCKER_RECOVERY-001 Weiterlesen

Teil 20: BitLocker mit MDT aktivieren

Veröffentlicht am von
7

Als Client003 verwende ich mein HP EliteBook 8560p. Am Ende des Windows Deployments soll das Notebook mit BitLocker verschlüsselt sein. Als Grundlage für die Einstellungen verwende ich den Microsoft Technet-Artikel Best Practices for BitLocker in Windows 7. Die größte Herausforderung dabei ist die Aktivierung des TPM-Chips im BIOS ohne Benutzereingaben.

BitLocker mit MDT aktivieren – Schritte:

  • HP Software herunterladen und konfigurieren
  • Active Directory zum Speichern der TPM Ownership-Informationen vorbereiten
  • BitLocker Drive Encryption-Features installieren
  • Gruppenrichtlinien für BitLocker konfigurieren
  • Anwendungen in MDT zur OSD Prod Share hinzufügen
  • Task Sequence konfigurieren
  • CustomSettings.ini anpassen
  • Notebook mit BitLocker aufsetzen

HP Software herunterladen und konfigurieren

  1. Als Administrator an Client003 anmelden
  2. HPQPswd Anwendung (sp61312.exe) von ftp://ftp.hp.com/pub/softpaq/sp61001-61500/sp61312.exe nach C:\Sourcen herunterladen und mit 7-Zip entpacken
  3. BIOS Configuration Utility (sp65619.exe) von http://ftp.hp.com/pub/softpaq/sp65501-66000/sp65619.exe nach C:\Sourcen herunterladen und mit 7-Zip entpacken
    BITLOCKER_PREP-001
  4. In den Ordner C:\Sourcen\sp65619 wechseln
  5. Setup.exe doppelklicken Weiterlesen

Teil 13c: Windows 10 Upgrade mit WSUS

Veröffentlicht am von
8

In diesem Teil werde ich das Windows 10 Upgrade mit WSUS konfigurieren. Zuerst muss das Upgrade mittels Registry-Key „erlaubt“ werden. Im Anschluss wird das Upgrade in der WSUS-Konsole approved und los geht’s. Voraussetzung sind die Kurzmitteilungen WSUS für Windows 10 Feature-Upgrades und WSUS-Update KB3159706. Empfehlenswert sind die Kapitel Teil 2: Grundlagen der Gruppenrichtlinien und Teil 6: Windows Server Update Services vorbereiten.

Gruppenrichtlinienobjekt konfigurieren

WMI Filter für Windows 7 Clients erstellen

  1. Als Administrator an DC01 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. intern erweitern
  4. WMI Filters rechts anklicken > New…
  5. New WMI Filter
    1. Name: Windows 7 Clients
    2. Queries > Add
      1. Namespace: root\cimv2
      2. Query: 
        SELECT * FROM Win32_ComputerSystem WHERE Version LIKE "6.1%" AND ProductType = "1"
    3. Fenster mit OK schließen
      WSUS_Upgrade-008
  6. Fenster mit Save schließen
    WSUS_Upgrade-009

Gruppenrichtlinienobjekt erstellen

  1. Group Policy Objects rechts anklicken > New
  2. New GPO
    1. Name: Allow Windows 10 Upgrade > OK
  3. Allow Windows 10 Upgrade rechts anklicken > Edit…
  4. Computer Configuration\Preferences\Windows Settings erweitern
  5. Registry rechts anklicken > New > Registry Item
    WSUS_Upgrade-032
  6. New Registry Properties
    1. Action: Update
    2. Hive: HKEY_LOCAL_MACHINE
    3. Key Path: SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\OSUpgrade
    4. Value name: AllowOSUpgrade
    5. Value type: REG_DWORD
    6. Value data: 1
      1. Base: Decimal
        WSUS_Upgrade-010
  7. Fenster mit OK schließen

Gruppenrichtlinienobjekt filtern und verknüpfen

  1. Im Detailbereich unter WMI Filtering den folgenden Filter anwenden
    1. Windows 7 Clients
      WSUS_Upgrade-011
  2. Auf den Reiter Details wechseln
  3. GPO Status: User configuration settings disabled
    WSUS_Upgrade-012
  4. Das GPO mit der OU Einfaches-Netzwerk\Arbeitsstationen verknüpfen
  5. Link Order ganz nach oben verschieben
    WSUS_Upgrade-013
  6. Fenster schließen

Das Windows 10 Upgrade in der WSUS-Konsole genehmigen

  1. Als Administrator an WSUS01 anmelden
  2. Server Manager > Tools > Windows Server Update Services
  3. WSUS01\Updates\All Updates markieren
  4. Action > New Update View…
    WSUS_Upgrade-001
  5. Folgenden Update View erstellen
    1. Classification: Upgrade
    2. Name: Upgrades > OK
      WSUS_Upgrade-002
  6. Im Detailbereich folgenden Filter anwenden
    1. Approval: Any
    2. Status: Needed > Refresh
      WSUS_Upgrade-003
  7. Das Upgrade in der Ergebnisliste rechts anklicken > Approve…
    WSUS_Upgrade-004
  8. Approve Updates
    1. Arbeitsstationen anklicken > Approved for Install > OK
      WSUS_Upgrade-005
  9. Fenster mit OK schließen
  10. Lizenzen zustimmen
  11. Approval Progress > Close
    WSUS_Upgrade-006
  12. WSUS01 markieren
  13. Das Upgrade wird heruntergeladen
    WSUS_Upgrade-007
  14. Fenster schließen

Windows 10 Upgrade mit WSUS anwenden

  1. Als USER1 an CLIENT03 anmelden
  2. Start > CMD > Als Administrator ausführen
  3. Mit folgenden Befehl die Übernahme der Gruppenrichtlinie überprüfen 
    gpresult /R /Scope:Computer /User:INTERN\USER1

    WSUS_Upgrade-015

  4. Die Richtlinie wurde übernommen
  5. Start > Regedit
  6. Den Registry-Key überprüfen
    WSUS_Upgrade-014
  7. Der Registry-Key wurde erstellt
  8. Systemsteuerung\System und Sicherheit\Windows Update
  9. Nach Updates suchen
    WSUS_Upgrade-016
  10. Auf Erste Schritte klicken
    WSUS_Upgrade-017
    WSUS_Upgrade-018
  11. Im Logfile des IIS am WSUS01-Server kann man den Download der esd-Datei beobachten
    WSUS_Upgrade-019
  12. Das Setup von Windows 10 erstellt den versteckten lokalen Ordner C:\$Windows.~BT
    WSUS_Upgrade-020
  13. Im Odner C:\$Windows.~BT\Sources\Panther befinden sich die Dateien setupact.txt und setuperr.txt, welche für die Problembehandlung wichtig sein können
    WSUS_Upgrade-021
  14. Windows Update > Annehmen > Jetzt neu starten
    WSUS_Upgrade-023
    WSUS_Upgrade-024 class=“alignnone size-full wp-image-8200″ src=“https://www.einfaches-netzwerk.at/blog/wp-content/uploads/2016/07/WSUS_Upgrade-025.png“ alt=“WSUS_Upgrade-025″ width=“1024″ height=“768″ />
  15. Der Rechner wird neu gestartet
    WSUS_Upgrade-026
  16. Die Dateien werden kopiert
    WSUS_Upgrade-027
  17. Features und Treiber werden installiert
    WSUS_Upgrade-028
  18. Einstellungen werden konfiguriert
    WSUS_Upgrade-029
  19. Weiter
    WSUS_Upgrade-030
  20. Anmelden
    WSUS_Upgrade-031
  21. Fertig
    WSUS_Upgrade-033

Funktioniert auch. Mir persönlich gefällt die Variante mit MDT um vieles besser, weil einfach mehr Möglichkeiten zur Verfügung stehen.