psdesign1 - Fotolia

So konfigurieren Sie Bitlocker effizient über PowerShell

Bitlocker erhöht die Sicherheit von Unternehmensgeräten. Wir erklären, wie Admins das Verschlüsselungs-Tool über PowerShell steuern und dafür Skripte erstellen.

In den meisten Fällen verwalten Anwender oder Admins die Laufwerksverschlüsselung Bitlocker mit der grafischen Oberfläche. Das ist gewiss nicht falsch Wer aber mehrere Rechner konfigurieren will, oder wem die grafische Oberfläche zu umständlich zu bedienen ist, für den kann PowerShell das richtige Mittel sein – vor allem für die Automatisierung.

Mit Skripten können Sie Bitlocker auf mehreren Rechnern schneller aktivieren, als in der Befehlszeile. Dazu kommt, dass Microsoft in Zukunft die Oberfläche anpassen und verändern wird. Wer die Einstellungen für Bitlocker einmal in einem Skript festlegt, kann diese auch bei einer Neuinstallation durch Aufrufen des Skriptes schneller starten. Bitlocker ist ein schneller Schutz und wer sich die Absicherung vorgenommen hat, kann mit einem Skript nachvollziehbarer und vor allem dokumentiert die Umsetzung aktivieren.

Wir zeigen in diesem Beitrag, wie Sie das bewerkstelligen.

Bitlocker mit Admin-Rechten in der Eingabeaufforderung, PowerShell und mit Gruppenrichtlinien verwalten

Für alles, was Sie mit Bitlocker tun – sei es in PowerShell oder in der grafischen Benutzeroberfläche (GUI) benötigen Sie Adminrechte. Das heißt, Sie müssen die Befehlszeile oder PowerShell mit erhöhten Rechten als Administrator starten. Auch, wenn Sie mit Skripten arbeiten möchten, ist das wichtig.

Neben den Optionen in der Systemsteuerung, der Eingabeaufforderung und PowerShell, finden Sie weitere Steuerungsmöglichkeiten für Bitlocker, die Geräteverschlüsselung in Windows 10/11 Home und die TPM-Steuerung (Trusted Power Module) in den Gruppenrichtlinien. Auch dazu haben wir in dieser Anleitung einen Abschnitt für Sie.  Bitlocker ist auf Windows-Desktops und Servern verfügbar.

Bitlocker aktivieren

Geben Sie einfach Bitlocker in das Suchfeld ein und Sie werden zu den entsprechenden Einstellungen geleitet. Hier finden Sie die Optionen für die einzelnen Laufwerke, wo Sie Bitlocker aktivieren können.

Schneller geht es jedoch über die Eingabeaufforderung. Geben Sie beispielsweise manage-bde -status C: ein, um herauszufinden, ob Bitlocker für das Laufwerk C: aktiviert ist. Um Änderungen vorzunehmen, geben Sie in PowerShell oder der Eingabeaufforderung manage-bde ein und ergänzen Sie diesen Befehl mit verschiedenen Optionen. Um zum Beispiel die Methoden abzufragen, mit denen Laufwerke auf dem jeweiligen PC über Bitlocker verschlüsselt werden können, verwenden Sie manage-bde -protectors -get c:. Als allererstes müssen Sie, so noch nicht geschehen, jedoch Bitlocker mit manage-bde -on C: aktivieren.

Zum Deaktivieren verwenden Sie:

manage-bde -off C:

manage-bde.exe -protectors –disable C:

TPM in PowerShell und mit Gruppenrichtlinien verwalten

Eine wichtige Grundlage zur Verwaltung von Bitlocker sind die Einstellungen für TPM. Dabei handelt es sich um eine Hardwarekomponente, die den Computer auch offline vor nicht erlaubten Eingriffen schützt – das heißt, eine Verschlüsselung lässt sich nicht einfach umgehen, indem man die Festplatte an einen anderen Computer anschließt. Dazu stehen die folgenden Cmdlets zur Verfügung:

Clear-Tpm

Setzt ein TPM auf seinen Standardzustand zurück.

ConvertTo-TpmOwnerAuth

Erzeugt einen TPM-Eigentümerautorisierungswert aus einer übergebenen Zeichenkette.

Enable- oder Disable-TpmAutoProvisioning 

Deaktiviert oder aktiviert die automatische TPM-Bereitstellung.

Get-Tpm  

Ruft Informationen über das TPM ab.

Get-TpmEndorsementKeyInfo

Ruft Informationen über den Bestätigungsschlüssel und die Zertifikate des TPMs ab.

Get-TpmSupportedFeature  

Überprüft, ob ein TPM die angegebenen Funktionen unterstützt.

Import-TpmOwnerAuth

Importiert einen TPM-Eigentümerautorisierungswert in die Registrierung.

Initialize-Tpm 

Führt einen Teil des Provisioning-Prozesses für ein TPM durch.

Set-TpmOwnerAuth

Ändert den Wert der TPM-Eigentümerautorisierung.

Unlock-Tpm  

Setzt eine TPM-Sperre zurück.

Screenshot von der TPM-Konfiguration in PowerShell
Abbildung 1: Das TPM können Sie ganz einfach in PowerShell verwalten.

Einstellungen für TPM in den Gruppenrichtlinien finden Sie unter Computerkonfiguration\Administrative Vorlagen\System\Trusted Platform Module Services. Weitere Informationen finden Sie in der Microsoft-Dokumentation auf der Seite TPM-Gruppenrichtlinieneinstellungen.

Bitlocker in PowerShell verwalten

Bitlocker ist ein wichtiges Software-Tool, das die Sicherheit Ihrer Geräte erhöht, indem Sie Laufwerke mit 128- oder 265-Schlüsseln verschlüsseln. Wenn Sie Bitlocker in PowerShell verwalten, dann heißt das, dass Sie die Verschlüsselung beispielsweise automatisch in einen Onboarding-Prozess einbinden oder mit wenigen Klicks die Sicherheit unternehmensweit verschärfen können.

Die zur Verfügung stehenden Befehle zeigt Windows mit get-command -module BitLocker an. Die wichtigsten Cmdlets in diesem Modul sind:

Add-BitLockerKeyProtector

Fügt einen Schlüsselschutz für ein BitLocker-Volume hinzu.

Backup-BitLockerKeyProtector 

Speichert einen Schlüsselprotektor für ein BitLocker-Volume in Active Directory.

BackupToAAD-BitLockerKeyProtector  

Speichert einen Schlüsselprotektor für ein BitLocker-Volume in Azure Active Directory.

Clear-BitLockerAutoUnlock

Entfernt BitLocker-Schlüssel zur automatischen Entsperrung.

Disable-BitLocker  

Deaktiviert BitLocker Drive Encryption für ein Volume.

Disable-BitLockerAutoUnlock  

Deaktiviert die automatische Entsperrung für ein BitLocker-Volume.

Enable-BitLocker

Aktiviert die BitLocker-Laufwerksverschlüsselung für ein Volume.

Enable-BitLockerAutoUnlock

Aktiviert die automatische Entsperrung für ein BitLocker-Volume.

Get-BitLockerVolume

Ruft Informationen über Volumes ab, die BitLocker schützen kann.

Lock-BitLocker 

Verhindert den Zugriff auf verschlüsselte Daten auf einem BitLocker-Volume.

Remove-BitLockerKeyProtector 

Entfernt einen Schlüsselschutz für ein BitLocker-Volume.

Resume-BitLocker

Stellt die Bitlocker-Verschlüsselung für das angegebene Volume wieder her.

Suspend-BitLocker  

Setzt die Bitlocker-Verschlüsselung für das angegebene Volume aus.

Unlock-BitLocker

Stellt den Zugriff auf Daten auf einem BitLocker-Volume wieder her.

Um die mit Bitlocker verschlüsselten Laufwerke eines Computers anzuzeigen, verwenden Sie das Cmdlet Get-BitLockerVolume.

Mit Enable-BitLocker aktivieren Sie die Verschlüsselung. Die Syntax für das Cmdlet ist:

Enable-BitLocker

   [-MountPoint] <String[]>

   [-EncryptionMethod <BitLockerVolumeEncryptionMethodOnEnable>]

   [-HardwareEncryption]

   [-SkipHardwareTest]

   [-UsedSpaceOnly]

   [-PasswordProtector]

   [[-Password] <SecureString>]

   [-WhatIf]

   [-Confirm]

   [<CommonParameters>]

Ein Beispiel dazu sieht folgendermaßen aus:

$SecureString = ConvertTo-SecureString "1234" -AsPlainText -Force

Enable-BitLocker -MountPoint "C:" -EncryptionMethod Aes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector

Der Befehl aktiviert Bitlocker für das Laufwerk C und legt als PIN die Zahl 1234 fest. Die PIN wird zuvor in der Variablen SecureString gespeichert. Als Verschlüsselungsmethode kommt AES 256 Bit zum Einsatz; zusätzlich verwenden wir TPM im Rechner in Verbindung mit der PIN.

Möchten Sie Bitlocker mit einem Wiederherstellungsschlüssel aktivieren, könnte das beispielsweise folgendermaßen aussehen:

Get-BitLockerVolume | Enable-BitLocker -EncryptionMethod Aes128 -RecoveryKeyPath "E:\Recovery\" -RecoveryKeyProtector

Screenshot der Bitlocker-Ausgabe in PowerShell
Abbildung 2: Verwalten von Bitlocker in PowerShell

Erfahren Sie mehr über Serverbetriebssysteme

ComputerWeekly.de
Close