agentjoe1988
Goto Top

Bitlocker - Betriebssystempartition ohne Passwort und Key wiederherstellen!?

Hallo Liebe Administratorenkollegen- und Kolleginnen,
ich habe da mal wieder eine spannende Frage an alle und hoffe, dass mir schnell jemand weiterhelfen kann.

Folgendes ist passiert:
Ich habe via Powershellscript für mehrere Rechner aus einer Liste TPM und Bitlocker aktiviert. Die Befehle dafür lauten wie folgt:

TPM aktivieren:
manage-bde -tpm -turnon -computername $_.computername

TPM Ownership+Passwort:
manage-bde -tpm -o OwnerPassword -computername $_.computername

Bitlocker aktivieren:
manage-bde -on C: -skiphardwaretest -recoverypassword -computername $_.computername

Das Problem ist, dass die GPO, welche die Rechner dazu zwingen sollte Ihren Key im AD abzulegen, auf manchen Rechnern offenbar noch nicht gegriffen hatte. Blöderweise hat ausgerechnet einer dieser Rechner aus irgendeinem Grund (USB-Stick, geänderte Hardware, Updates, keine Ahnung…) heute beim Hochfahren nach dem Recvoverykey verlangt. Mit großen Augen musste ich feststellen, dass im AD kein Recoverykey für das Computerkonto hinterlegt ist und anderweitig wird er ja dann nicht gespeichert, da das Log des Skriptes nicht mehr vorhanden ist.

Habt Ihr noch einen Einfall, wie ich jetzt an die Daten der Festplatte rankomme? Das OS lässt sich ja nicht booten.
Kann man mit dem TPM-Ownerpasswort noch irgendwas anfangen?
Kann man Microsoft einsteuern? Wenn ja, hat jemand Erfahrung damit?
Gibt es ggf. Drittanbietersoftware, mit der man den Schutz umgehen kann?

Über jeden Vorschlag und jede Anregung bin ich euch dankbar.

Hier noch die Eckdaten des Geräts:
Modell: HP EliteBook 840 G4
BIOS Version: P78 Ver. 01.08
TPM Version: 2.0
OS Build: 10.0.16299

Beste Grüße!

Content-Key: 385004

Url: https://administrator.de/contentid/385004

Ausgedruckt am: 29.03.2024 um 07:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 30.08.2018 um 19:27:21 Uhr
Goto Top
Hi.

Finde heraus, was am PC geändert wurde, und mache das rückgängig. Zum Beispiel Firmware zurückflashen, Bioseinstellungen zurücksetzen.
Mitglied: agentjoe1988
agentjoe1988 30.08.2018 um 21:56:04 Uhr
Goto Top
Hallo,

am LapTop allgemein, an der Firmware oder BIOS Einstellungen wurde nichts geändert. Die USB Geräte die eventuell während der Verschlüsselung eingesteckt waren, habe ich schon versucht wieder anzustöpseln, aber er fragt trotzdem immer nach dem Wiederherstellungspasswort.
Mitglied: DerWoWusste
DerWoWusste 30.08.2018 um 22:01:54 Uhr
Goto Top
USB-Geräte spielen keine Rolle. Wichtig wäre zu wissen, ob er eine Dockingstation hat - wenn ja, dann undocken/docken (also in den Zustand bringen, indem er gerade nicht ist) und erneut versuchen zu booten.
Mitglied: agentjoe1988
agentjoe1988 31.08.2018 um 10:53:31 Uhr
Goto Top
Hab ich auch schon versucht. Bisher ohne Erfolg.
Die BIOS Einstellungen wurden auch nicht verändert
Mitglied: DerWoWusste
DerWoWusste 31.08.2018 aktualisiert um 13:25:41 Uhr
Goto Top
Dann hast Du Pech - Lernen aus Schmerzen.
Man MUSS die GPO setzen, dass eine Verschlüsselung erst nach erfolgreichem Speichern des Recoverykeys ins AD erfolgen darf. Ein absolutes Muss. Sonst bleibt nur das Backup, Hintertüren und Tricks gibt es da nicht, bis auf eine, die Du unter Zuhilfenahme eine OS-Images mit etwas Glück durchführen kannst. Du bräuchtest also Zugriff auf das Filesystem eines Images und dann noch ein volles Speicherabbild (memory.dmp) - da könntest Du den Schlüssel rausholen - sonst: keine Chance.

Ich würde selbst wenn Du meinst, das Bios ist unverändert, dises doppelt kontrollieren, gerade Bootoptionen (UEFI/MBR/Secureboot). Ebenso checken, ob das TPM noch aktiv ist.

Es gibt sonst keine Wege, auch nicht als TPM Owner.
Mitglied: agentjoe1988
agentjoe1988 31.08.2018 um 17:07:30 Uhr
Goto Top
Ja ich weiß -.- Nur doof dass es nur wegen einem Problem bei der Verarbeitung der Policy zu so einem Desaster kommen kann...
Naja, dann hilft vermutlich nur noch BF oder MS Support...
Mitglied: DerWoWusste
DerWoWusste 31.08.2018 um 18:35:48 Uhr
Goto Top
Ms Support wird Dich Zeit kosten, mehr kommt dabei nicht heraus.
Mitglied: agentjoe1988
agentjoe1988 03.09.2018 um 08:47:58 Uhr
Goto Top
Weißt du das weil du das schon mal versuchthast?
Mitglied: DerWoWusste
DerWoWusste 03.09.2018 um 08:56:19 Uhr
Goto Top
Ja, vielleicht ein Dutzend Mal. Alle Supportanfragen bis auf eine haben ewig lang gedauert (mehrere Wochen) und die Hälfte führte zu keinem Ergebnis.