====== Bitlocker in einer AD-Umgebung ======

Diese Anleitung umfasst:

  * Schlüssel in der AD gespeichert
  * TPM wird vorausgesetzt
  * Bitlocker wird am Rechner manuell aktiviert

===== Feature auf dem DC =====

Damit der im AD abgelegte Schlüssel in der Konsole "Active Directory Users & Computers" nachgeschlagen werden kann, muss über den Servermanager folgendes Feature installiert werden. Dies muss auf jedem Domain Controller geschehen, über den die Schlüssel verwaltet werden sollen.

{{:win_server:bitlocker_ad_feature.png|}}

In der Konsole sollte das hinterher so aussehen:

{{:win_server:bitlocker_ad_objekt.png|}}

Das Feature installiert nicht nur die Tools, sondern auch die Schemaerweiterung im AD, in der die Informationen abgelegt werden. Mittels folgenden Powershell-Befehl.

<code |powershell>
Get-ADObject -SearchBase ((GET-ADRootDSE).SchemaNamingContext) -Filter {Name -like 'ms-FVE-*'}

DistinguishedName             Name                          ObjectClass                   ObjectGUID
-----------------             ----                          -----------                   ----------
CN=ms-FVE-KeyPackage,CN=Sc... ms-FVE-KeyPackage             attributeSchema               80dd0b7b-4c78-4305-9844-ce...
CN=ms-FVE-RecoveryGuid,CN=... ms-FVE-RecoveryGuid           attributeSchema               d9b3a270-ce1a-4514-9f73-c2...
CN=ms-FVE-RecoveryInformat... ms-FVE-RecoveryInformation    classSchema                   82dac378-fa82-46ae-a49f-16...
CN=ms-FVE-RecoveryPassword... ms-FVE-RecoveryPassword       attributeSchema               1b97cf96-65b7-4939-834c-ff...
CN=ms-FVE-VolumeGuid,CN=Sc... ms-FVE-VolumeGuid             attributeSchema               47080651-54da-4a8b-bfc9-a0...
</code>

===== Gruppenrichtlinie für die Clients =====

''Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Bitlocker-Laufwerksverschlüsselung''

Die Konfiguration muss jeweils für das Betriebssystem-Laufwerk, (weitere) Festplattenlaufwerke sowie Wechseldatenträger erfolgen:

{{:win_server:bitlocker_gpo_mini.png|}}

{{:win_server:bitlocker_gpo_1.png|}}

{{:win_server:bitlocker_gpo_2.png|}}

{{:win_server:bitlocker_gpo_3.png|}}

===== TPM ja oder nein? =====

**Per Powershell** \\ 

<code |powershell>
PS> Get-Tpm

TpmReady           : False
TpmPresent         : True
ManagedAuthLevel   : Full
OwnerAuth          :
OwnerClearDisabled : True
AutoProvisioning   : Enabled
LockedOut          : False
SelfTest           : {191, 191, 245, 191...}
</code>

**Per WMI** \\
<code>
wmic /namespace:\\root\cimv2\security\microsofttpm path win32_tpm get /value
</code>