Bitlocker - Betriebssystempartition ohne Passwort und Key wiederherstellen!?
Hallo Liebe Administratorenkollegen- und Kolleginnen,
ich habe da mal wieder eine spannende Frage an alle und hoffe, dass mir schnell jemand weiterhelfen kann.
Folgendes ist passiert:
Ich habe via Powershellscript für mehrere Rechner aus einer Liste TPM und Bitlocker aktiviert. Die Befehle dafür lauten wie folgt:
TPM aktivieren:
manage-bde -tpm -turnon -computername $_.computername
TPM Ownership+Passwort:
manage-bde -tpm -o OwnerPassword -computername $_.computername
Bitlocker aktivieren:
manage-bde -on C: -skiphardwaretest -recoverypassword -computername $_.computername
Das Problem ist, dass die GPO, welche die Rechner dazu zwingen sollte Ihren Key im AD abzulegen, auf manchen Rechnern offenbar noch nicht gegriffen hatte. Blöderweise hat ausgerechnet einer dieser Rechner aus irgendeinem Grund (USB-Stick, geänderte Hardware, Updates, keine Ahnung…) heute beim Hochfahren nach dem Recvoverykey verlangt. Mit großen Augen musste ich feststellen, dass im AD kein Recoverykey für das Computerkonto hinterlegt ist und anderweitig wird er ja dann nicht gespeichert, da das Log des Skriptes nicht mehr vorhanden ist.
Habt Ihr noch einen Einfall, wie ich jetzt an die Daten der Festplatte rankomme? Das OS lässt sich ja nicht booten.
Kann man mit dem TPM-Ownerpasswort noch irgendwas anfangen?
Kann man Microsoft einsteuern? Wenn ja, hat jemand Erfahrung damit?
Gibt es ggf. Drittanbietersoftware, mit der man den Schutz umgehen kann?
Über jeden Vorschlag und jede Anregung bin ich euch dankbar.
Hier noch die Eckdaten des Geräts:
Modell: HP EliteBook 840 G4
BIOS Version: P78 Ver. 01.08
TPM Version: 2.0
OS Build: 10.0.16299
Beste Grüße!
ich habe da mal wieder eine spannende Frage an alle und hoffe, dass mir schnell jemand weiterhelfen kann.
Folgendes ist passiert:
Ich habe via Powershellscript für mehrere Rechner aus einer Liste TPM und Bitlocker aktiviert. Die Befehle dafür lauten wie folgt:
TPM aktivieren:
manage-bde -tpm -turnon -computername $_.computername
TPM Ownership+Passwort:
manage-bde -tpm -o OwnerPassword -computername $_.computername
Bitlocker aktivieren:
manage-bde -on C: -skiphardwaretest -recoverypassword -computername $_.computername
Das Problem ist, dass die GPO, welche die Rechner dazu zwingen sollte Ihren Key im AD abzulegen, auf manchen Rechnern offenbar noch nicht gegriffen hatte. Blöderweise hat ausgerechnet einer dieser Rechner aus irgendeinem Grund (USB-Stick, geänderte Hardware, Updates, keine Ahnung…) heute beim Hochfahren nach dem Recvoverykey verlangt. Mit großen Augen musste ich feststellen, dass im AD kein Recoverykey für das Computerkonto hinterlegt ist und anderweitig wird er ja dann nicht gespeichert, da das Log des Skriptes nicht mehr vorhanden ist.
Habt Ihr noch einen Einfall, wie ich jetzt an die Daten der Festplatte rankomme? Das OS lässt sich ja nicht booten.
Kann man mit dem TPM-Ownerpasswort noch irgendwas anfangen?
Kann man Microsoft einsteuern? Wenn ja, hat jemand Erfahrung damit?
Gibt es ggf. Drittanbietersoftware, mit der man den Schutz umgehen kann?
Über jeden Vorschlag und jede Anregung bin ich euch dankbar.
Hier noch die Eckdaten des Geräts:
Modell: HP EliteBook 840 G4
BIOS Version: P78 Ver. 01.08
TPM Version: 2.0
OS Build: 10.0.16299
Beste Grüße!
Please also mark the comments that contributed to the solution of the article
Content-Key: 385004
Url: https://administrator.de/contentid/385004
Printed on: May 8, 2024 at 02:05 o'clock
9 Comments
Latest comment
Dann hast Du Pech - Lernen aus Schmerzen.
Man MUSS die GPO setzen, dass eine Verschlüsselung erst nach erfolgreichem Speichern des Recoverykeys ins AD erfolgen darf. Ein absolutes Muss. Sonst bleibt nur das Backup, Hintertüren und Tricks gibt es da nicht, bis auf eine, die Du unter Zuhilfenahme eine OS-Images mit etwas Glück durchführen kannst. Du bräuchtest also Zugriff auf das Filesystem eines Images und dann noch ein volles Speicherabbild (memory.dmp) - da könntest Du den Schlüssel rausholen - sonst: keine Chance.
Ich würde selbst wenn Du meinst, das Bios ist unverändert, dises doppelt kontrollieren, gerade Bootoptionen (UEFI/MBR/Secureboot). Ebenso checken, ob das TPM noch aktiv ist.
Es gibt sonst keine Wege, auch nicht als TPM Owner.
Man MUSS die GPO setzen, dass eine Verschlüsselung erst nach erfolgreichem Speichern des Recoverykeys ins AD erfolgen darf. Ein absolutes Muss. Sonst bleibt nur das Backup, Hintertüren und Tricks gibt es da nicht, bis auf eine, die Du unter Zuhilfenahme eine OS-Images mit etwas Glück durchführen kannst. Du bräuchtest also Zugriff auf das Filesystem eines Images und dann noch ein volles Speicherabbild (memory.dmp) - da könntest Du den Schlüssel rausholen - sonst: keine Chance.
Ich würde selbst wenn Du meinst, das Bios ist unverändert, dises doppelt kontrollieren, gerade Bootoptionen (UEFI/MBR/Secureboot). Ebenso checken, ob das TPM noch aktiv ist.
Es gibt sonst keine Wege, auch nicht als TPM Owner.