Hallo zusammen,
ist es möglich dass die Vorgänge beim Deaktivieren von Bitlocker nicht einwandfrei laufen? Ggf. stimmt die Reihenfolge nicht oder es wird sonst irgendentwas nicht beachtet.
Ich kann reproduzierbar verschlüsselte Rechner mit Start-PIN unbrauchbar machen indem ich über über den ACMP Server Bitlocker deaktiviere und dann den Client herunterfahre.
Dann löscht der Befehl die GPO und Protectors, die Platte ist aber noch verschlüsselt. Ich hab das jetzt 3 mal gemacht.
Jedes Mal ist die Folge gewesen, dass er beim Booten die Bitlocker Wiederherstellung starten möchte, was aber fehlschlägt. Danach hat nur noch eine Neuinstallation von Windows geholfen.
Meiner Meinung nach darf das doch nicht so sein oder? Ich habe immerhin keinen Einfluss darauf, wann ein Anwender seinen Rechner herunterfährt.
Bitte mal prüfen
Beste Grüße
Matthias
Bitlocker deaktivieren
Hallo Matthias,
das Problem liegt hier nicht an der Entschlüsselung, sondern an der Neuverschlüsselung und dass der Rechner neugestartet wird, bevor der Benutzer die neue PIN eingegeben hat.
Als Hintergrundinformation darüber, was da passiert:
Dem Client ist ein Konfigurationsprofil zugewiesen, mit aktivierter PIN, die durch den Benutzer eingegeben werden soll.
BitLocker wird im Nachhinein auf der Systemfestplatte deaktiviert.
Weil dem Client aber weiterhin ein Konfigurationsprofil zugewiesen ist, überprüft ACMP regelmäßig, ob der IST-Zustand dem SOLL-Zustand entspricht, der durch das Konfigurationsprofil definiert wird. In diesem Fall erkennt ACMP einen Unterschied – Die Systemfestplatte soll verschlüsselt sein, ist es aber nicht. Deswegen wird eine Neuverschlüsselung gestartet. Es werden die Schlüsselschutzvorrichtungen angelegt. In diesem Fall kann nur das Wiederherstellungskennwort erstellt werden, weil der Rechner neugestartet wird, bevor die neue PIN durch den Benutzer eingegeben wurde.
Aus diesem Grund wird beim Systemstart das Wiederherstellungskennwort und nicht die PIN abgefragt.
Das Wiederherstellungskennwort wird vom ACMP immer gespeichert, wenn dem Client ein Konfigurationsprofil zugewiesen ist. Man findet es in den Client Details (innerhalb einer Abfrage Doppelklick auf den betroffenen Client) unter Security – BitLocker Management – Der Reiter „Allgemein“ – hier die gewünschte Festplatte auswählen und in den Details auf „Wiederherstellungskennwort anzeigen“ klicken.
Dieses kann verwendet werden, um den Rechner zu entsperren. Nach dem das System wieder hochgefahren ist, würde ACMP erkennen, dass die PIN noch fehlt und der Eingabedialog würde wieder angezeigt werden.
Sollte die Festplatte nicht neu verschlüsselt werden dürfen, muss man bevor diese entschlüsselt wird, dafür sorgen, dass die Konfigurationsprofilzuweisung aufgehoben wird.
Ich hoffe, dass ich helfen konnte.
Weiterhin werden wir uns anschauen, ob man dieses Verhalten etwas optimieren kann.
das Problem liegt hier nicht an der Entschlüsselung, sondern an der Neuverschlüsselung und dass der Rechner neugestartet wird, bevor der Benutzer die neue PIN eingegeben hat.
Als Hintergrundinformation darüber, was da passiert:
Dem Client ist ein Konfigurationsprofil zugewiesen, mit aktivierter PIN, die durch den Benutzer eingegeben werden soll.
BitLocker wird im Nachhinein auf der Systemfestplatte deaktiviert.
Weil dem Client aber weiterhin ein Konfigurationsprofil zugewiesen ist, überprüft ACMP regelmäßig, ob der IST-Zustand dem SOLL-Zustand entspricht, der durch das Konfigurationsprofil definiert wird. In diesem Fall erkennt ACMP einen Unterschied – Die Systemfestplatte soll verschlüsselt sein, ist es aber nicht. Deswegen wird eine Neuverschlüsselung gestartet. Es werden die Schlüsselschutzvorrichtungen angelegt. In diesem Fall kann nur das Wiederherstellungskennwort erstellt werden, weil der Rechner neugestartet wird, bevor die neue PIN durch den Benutzer eingegeben wurde.
Aus diesem Grund wird beim Systemstart das Wiederherstellungskennwort und nicht die PIN abgefragt.
Das Wiederherstellungskennwort wird vom ACMP immer gespeichert, wenn dem Client ein Konfigurationsprofil zugewiesen ist. Man findet es in den Client Details (innerhalb einer Abfrage Doppelklick auf den betroffenen Client) unter Security – BitLocker Management – Der Reiter „Allgemein“ – hier die gewünschte Festplatte auswählen und in den Details auf „Wiederherstellungskennwort anzeigen“ klicken.
Dieses kann verwendet werden, um den Rechner zu entsperren. Nach dem das System wieder hochgefahren ist, würde ACMP erkennen, dass die PIN noch fehlt und der Eingabedialog würde wieder angezeigt werden.
Sollte die Festplatte nicht neu verschlüsselt werden dürfen, muss man bevor diese entschlüsselt wird, dafür sorgen, dass die Konfigurationsprofilzuweisung aufgehoben wird.
Ich hoffe, dass ich helfen konnte.
Weiterhin werden wir uns anschauen, ob man dieses Verhalten etwas optimieren kann.
Mit freundlichen Grüßen,
Alex Schmidt
Requirement Engineer
Aagon GmbH
Alex Schmidt
Requirement Engineer
Aagon GmbH
Guten Morgen,
zunächst mal vielen Dank für die Antwort.
So ganz kommt das aber nicht hin. Es ist kein Konfigurationsprofil mehr vorhanden.
Eine startende Neuverschlüsselung wäre mir nicht aufgefallen. Im Gegenteil, er müsste ja zunächst mal entschlüsseln, was aber aufgrund des kurzen Zeitfensters bis zum sofortigen Reboot nicht startet.
Das Wiederherstellungskennwort habe ich wohl gefunden, hilft aber nicht weiter, weil eben wie beschrieben dieser Bildschirm nach dem neustart gar nicht angezeigt wird.
Es kommt keine Abfrage. Auch nicht nach dem Wiederherstellungskennwort. Das einzige was kommt ist
"Bitlocker Widerherstellung wird vorbereitet" und dann erscheint unmittelbar ein Fehler.
Ich habe das ganze jetzt eben nochmal durchgespielt.
Ablauf exakt so:
Neuer Domänenrechner
-> ACMP Client Installiert
-> Konfigurationsprofil zuwesein (mit StartPin durch Benutzereingabe)
-> Pineingabe auf Client PC
-> Neustart
-> StartPin-Abfrage erscheint
-> Verschlüsselung beginnt
-> Verschlüsselung Abgeschlossen 09:13 Uhr
-> Konfigurationsprofil entfernt 09:16 Uhr
-> ACMP Zeigt richtig an: Kein Konfigurationsprofil aber vollständig verschlüsselt/ Schutz aktiv
-> Bitlocker Deaktivieren 09:19 (Erfolgreich abgeschlossen laut ACMP Status)
-> Neustart des Clients 09:19
-> Anzeige Bitlocker wird vorbereitet
-> Ein Problem ist aufgetreten
PC neu starten um es noch mal zu versuchen
fehlercode:8007139f
Und das wars. Da kommt keine Abfrage des Wiederherstellungskennworts oder ähnliches. Also wieder nur Neuinstallation möglich
Beste Grüße
Matthias
zunächst mal vielen Dank für die Antwort.
So ganz kommt das aber nicht hin. Es ist kein Konfigurationsprofil mehr vorhanden.
Eine startende Neuverschlüsselung wäre mir nicht aufgefallen. Im Gegenteil, er müsste ja zunächst mal entschlüsseln, was aber aufgrund des kurzen Zeitfensters bis zum sofortigen Reboot nicht startet.
Das Wiederherstellungskennwort habe ich wohl gefunden, hilft aber nicht weiter, weil eben wie beschrieben dieser Bildschirm nach dem neustart gar nicht angezeigt wird.
Es kommt keine Abfrage. Auch nicht nach dem Wiederherstellungskennwort. Das einzige was kommt ist
"Bitlocker Widerherstellung wird vorbereitet" und dann erscheint unmittelbar ein Fehler.
Ich habe das ganze jetzt eben nochmal durchgespielt.
Ablauf exakt so:
Neuer Domänenrechner
-> ACMP Client Installiert
-> Konfigurationsprofil zuwesein (mit StartPin durch Benutzereingabe)
-> Pineingabe auf Client PC
-> Neustart
-> StartPin-Abfrage erscheint
-> Verschlüsselung beginnt
-> Verschlüsselung Abgeschlossen 09:13 Uhr
-> Konfigurationsprofil entfernt 09:16 Uhr
-> ACMP Zeigt richtig an: Kein Konfigurationsprofil aber vollständig verschlüsselt/ Schutz aktiv
-> Bitlocker Deaktivieren 09:19 (Erfolgreich abgeschlossen laut ACMP Status)
-> Neustart des Clients 09:19
-> Anzeige Bitlocker wird vorbereitet
-> Ein Problem ist aufgetreten
PC neu starten um es noch mal zu versuchen
fehlercode:8007139f
Und das wars. Da kommt keine Abfrage des Wiederherstellungskennworts oder ähnliches. Also wieder nur Neuinstallation möglich
Beste Grüße
Matthias
Hallo Matthias,
danke für die detailierte Beschreibung der einzlenen Schritte.
Leider war es mir auch damit nicht möglich, das von Ihnen beschriebene Verhalten nachzustellen.
Ich denke, wir werden uns das Problem, mit Ihnen gemeinsam, genauer anschauen müssen. Bitte melden Sie sich diesbezüglich bei unserem Support Team.
danke für die detailierte Beschreibung der einzlenen Schritte.
Leider war es mir auch damit nicht möglich, das von Ihnen beschriebene Verhalten nachzustellen.
Ich denke, wir werden uns das Problem, mit Ihnen gemeinsam, genauer anschauen müssen. Bitte melden Sie sich diesbezüglich bei unserem Support Team.
Mit freundlichen Grüßen,
Alex Schmidt
Requirement Engineer
Aagon GmbH
Alex Schmidt
Requirement Engineer
Aagon GmbH