psdesign1 - Fotolia
So konfigurieren Sie Bitlocker effizient über PowerShell
Bitlocker erhöht die Sicherheit von Unternehmensgeräten. Wir erklären, wie Admins das Verschlüsselungs-Tool über PowerShell steuern und dafür Skripte erstellen.
In den meisten Fällen verwalten Anwender oder Admins die Laufwerksverschlüsselung Bitlocker mit der grafischen Oberfläche. Das ist gewiss nicht falsch Wer aber mehrere Rechner konfigurieren will, oder wem die grafische Oberfläche zu umständlich zu bedienen ist, für den kann PowerShell das richtige Mittel sein – vor allem für die Automatisierung.
Mit Skripten können Sie Bitlocker auf mehreren Rechnern schneller aktivieren, als in der Befehlszeile. Dazu kommt, dass Microsoft in Zukunft die Oberfläche anpassen und verändern wird. Wer die Einstellungen für Bitlocker einmal in einem Skript festlegt, kann diese auch bei einer Neuinstallation durch Aufrufen des Skriptes schneller starten. Bitlocker ist ein schneller Schutz und wer sich die Absicherung vorgenommen hat, kann mit einem Skript nachvollziehbarer und vor allem dokumentiert die Umsetzung aktivieren.
Wir zeigen in diesem Beitrag, wie Sie das bewerkstelligen.
Bitlocker mit Admin-Rechten in der Eingabeaufforderung, PowerShell und mit Gruppenrichtlinien verwalten
Für alles, was Sie mit Bitlocker tun – sei es in PowerShell oder in der grafischen Benutzeroberfläche (GUI) benötigen Sie Adminrechte. Das heißt, Sie müssen die Befehlszeile oder PowerShell mit erhöhten Rechten als Administrator starten. Auch, wenn Sie mit Skripten arbeiten möchten, ist das wichtig.
Neben den Optionen in der Systemsteuerung, der Eingabeaufforderung und PowerShell, finden Sie weitere Steuerungsmöglichkeiten für Bitlocker, die Geräteverschlüsselung in Windows 10/11 Home und die TPM-Steuerung (Trusted Power Module) in den Gruppenrichtlinien. Auch dazu haben wir in dieser Anleitung einen Abschnitt für Sie. Bitlocker ist auf Windows-Desktops und Servern verfügbar.
Bitlocker aktivieren
Geben Sie einfach Bitlocker in das Suchfeld ein und Sie werden zu den entsprechenden Einstellungen geleitet. Hier finden Sie die Optionen für die einzelnen Laufwerke, wo Sie Bitlocker aktivieren können.
Schneller geht es jedoch über die Eingabeaufforderung. Geben Sie beispielsweise manage-bde -status C: ein, um herauszufinden, ob Bitlocker für das Laufwerk C: aktiviert ist. Um Änderungen vorzunehmen, geben Sie in PowerShell oder der Eingabeaufforderung manage-bde ein und ergänzen Sie diesen Befehl mit verschiedenen Optionen. Um zum Beispiel die Methoden abzufragen, mit denen Laufwerke auf dem jeweiligen PC über Bitlocker verschlüsselt werden können, verwenden Sie manage-bde -protectors -get c:. Als allererstes müssen Sie, so noch nicht geschehen, jedoch Bitlocker mit manage-bde -on C: aktivieren.
Zum Deaktivieren verwenden Sie:
manage-bde -off C:
manage-bde.exe -protectors –disable C:
TPM in PowerShell und mit Gruppenrichtlinien verwalten
Eine wichtige Grundlage zur Verwaltung von Bitlocker sind die Einstellungen für TPM. Dabei handelt es sich um eine Hardwarekomponente, die den Computer auch offline vor nicht erlaubten Eingriffen schützt – das heißt, eine Verschlüsselung lässt sich nicht einfach umgehen, indem man die Festplatte an einen anderen Computer anschließt. Dazu stehen die folgenden Cmdlets zur Verfügung:
Clear-Tpm
Setzt ein TPM auf seinen Standardzustand zurück.
ConvertTo-TpmOwnerAuth
Erzeugt einen TPM-Eigentümerautorisierungswert aus einer übergebenen Zeichenkette.
Enable- oder Disable-TpmAutoProvisioning
Deaktiviert oder aktiviert die automatische TPM-Bereitstellung.
Get-Tpm
Ruft Informationen über das TPM ab.
Get-TpmEndorsementKeyInfo
Ruft Informationen über den Bestätigungsschlüssel und die Zertifikate des TPMs ab.
Get-TpmSupportedFeature
Überprüft, ob ein TPM die angegebenen Funktionen unterstützt.
Import-TpmOwnerAuth
Importiert einen TPM-Eigentümerautorisierungswert in die Registrierung.
Initialize-Tpm
Führt einen Teil des Provisioning-Prozesses für ein TPM durch.
Set-TpmOwnerAuth
Ändert den Wert der TPM-Eigentümerautorisierung.
Unlock-Tpm
Setzt eine TPM-Sperre zurück.
Einstellungen für TPM in den Gruppenrichtlinien finden Sie unter Computerkonfiguration\Administrative Vorlagen\System\Trusted Platform Module Services. Weitere Informationen finden Sie in der Microsoft-Dokumentation auf der Seite TPM-Gruppenrichtlinieneinstellungen.
Bitlocker in PowerShell verwalten
Bitlocker ist ein wichtiges Software-Tool, das die Sicherheit Ihrer Geräte erhöht, indem Sie Laufwerke mit 128- oder 265-Schlüsseln verschlüsseln. Wenn Sie Bitlocker in PowerShell verwalten, dann heißt das, dass Sie die Verschlüsselung beispielsweise automatisch in einen Onboarding-Prozess einbinden oder mit wenigen Klicks die Sicherheit unternehmensweit verschärfen können.
Die zur Verfügung stehenden Befehle zeigt Windows mit get-command -module BitLocker an. Die wichtigsten Cmdlets in diesem Modul sind:
Add-BitLockerKeyProtector
Fügt einen Schlüsselschutz für ein BitLocker-Volume hinzu.
Backup-BitLockerKeyProtector
Speichert einen Schlüsselprotektor für ein BitLocker-Volume in Active Directory.
BackupToAAD-BitLockerKeyProtector
Speichert einen Schlüsselprotektor für ein BitLocker-Volume in Azure Active Directory.
Clear-BitLockerAutoUnlock
Entfernt BitLocker-Schlüssel zur automatischen Entsperrung.
Disable-BitLocker
Deaktiviert BitLocker Drive Encryption für ein Volume.
Disable-BitLockerAutoUnlock
Deaktiviert die automatische Entsperrung für ein BitLocker-Volume.
Enable-BitLocker
Aktiviert die BitLocker-Laufwerksverschlüsselung für ein Volume.
Enable-BitLockerAutoUnlock
Aktiviert die automatische Entsperrung für ein BitLocker-Volume.
Get-BitLockerVolume
Ruft Informationen über Volumes ab, die BitLocker schützen kann.
Lock-BitLocker
Verhindert den Zugriff auf verschlüsselte Daten auf einem BitLocker-Volume.
Remove-BitLockerKeyProtector
Entfernt einen Schlüsselschutz für ein BitLocker-Volume.
Resume-BitLocker
Stellt die Bitlocker-Verschlüsselung für das angegebene Volume wieder her.
Suspend-BitLocker
Setzt die Bitlocker-Verschlüsselung für das angegebene Volume aus.
Unlock-BitLocker
Stellt den Zugriff auf Daten auf einem BitLocker-Volume wieder her.
Um die mit Bitlocker verschlüsselten Laufwerke eines Computers anzuzeigen, verwenden Sie das Cmdlet Get-BitLockerVolume.
Mit Enable-BitLocker aktivieren Sie die Verschlüsselung. Die Syntax für das Cmdlet ist:
Enable-BitLocker
[-MountPoint] <String[]>
[-EncryptionMethod <BitLockerVolumeEncryptionMethodOnEnable>]
[-HardwareEncryption]
[-SkipHardwareTest]
[-UsedSpaceOnly]
[-PasswordProtector]
[[-Password] <SecureString>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
Ein Beispiel dazu sieht folgendermaßen aus:
$SecureString = ConvertTo-SecureString "1234" -AsPlainText -Force
Enable-BitLocker -MountPoint "C:" -EncryptionMethod Aes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector
Der Befehl aktiviert Bitlocker für das Laufwerk C und legt als PIN die Zahl 1234 fest. Die PIN wird zuvor in der Variablen SecureString gespeichert. Als Verschlüsselungsmethode kommt AES 256 Bit zum Einsatz; zusätzlich verwenden wir TPM im Rechner in Verbindung mit der PIN.
Möchten Sie Bitlocker mit einem Wiederherstellungsschlüssel aktivieren, könnte das beispielsweise folgendermaßen aussehen:
Get-BitLockerVolume | Enable-BitLocker -EncryptionMethod Aes128 -RecoveryKeyPath "E:\Recovery\" -RecoveryKeyProtector
