Teil 20: BitLocker mit MDT aktivieren

Als Client003 verwende ich mein HP EliteBook 8560p. Am Ende des Windows Deployments soll das Notebook mit BitLocker verschlüsselt sein. Als Grundlage für die Einstellungen verwende ich den Microsoft Technet-Artikel Best Practices for BitLocker in Windows 7. Die größte Herausforderung dabei ist die Aktivierung des TPM-Chips im BIOS ohne Benutzereingaben.

BitLocker mit MDT aktivieren – Schritte:

  • HP Software herunterladen und konfigurieren
  • Active Directory zum Speichern der TPM Ownership-Informationen vorbereiten
  • BitLocker Drive Encryption-Features installieren
  • Gruppenrichtlinien für BitLocker konfigurieren
  • Anwendungen in MDT zur OSD Prod Share hinzufügen
  • Task Sequence konfigurieren
  • CustomSettings.ini anpassen
  • Notebook mit BitLocker aufsetzen

HP Software herunterladen und konfigurieren

  1. Als Administrator an Client003 anmelden
  2. HPQPswd Anwendung (sp61312.exe) von ftp://ftp.hp.com/pub/softpaq/sp61001-61500/sp61312.exe nach C:\Sourcen herunterladen und mit 7-Zip entpacken
  3. BIOS Configuration Utility (sp65619.exe) von http://ftp.hp.com/pub/softpaq/sp65501-66000/sp65619.exe nach C:\Sourcen herunterladen und mit 7-Zip entpacken
    BITLOCKER_PREP-001
  4. In den Ordner C:\Sourcen\sp65619 wechseln
  5. Setup.exe doppelklicken
  6. Install Shield Wizard
    1. Next
    2. Install
    3. Finish
  7. Den Ordner C:\Program Files (x86)\Hewlett-Packard\BIOS Configuration Utility nach C:\Sourcen kopieren
  8. Die Datei C:\Sourcen\sp61312\HPQPswd.exe nach C:\Sourcen\BIOS Configuration Utility kopieren
    BITLOCKER_PREP-002
  9. HPQPswd.exe doppelklicken
  10. HPQPswd
    1. Password to be encrypted: Password1
    2. Re-enter password: Password1
    3. File to save encrypted password: password.bin > OK
      BITLOCKER_PREP-003
      BITLOCKER_PREP-004
  11. Eingabeaufforderung als Administrator starten
  12. Nach C:\Sourcen\BIOS Configuration Utility wechseln
  13. Mit folgendem Befehl die aktuelle BIOS-Konfiguration in der Datei 8560p.REPSET speichern
    BiosConfigUtility64.exe /GetConfig:"8560p.REPSET"
  14. Die Konfiguration wurde gespeichert
    BITLOCKER_PREP-035
  15. Die Datei C:\Sourcen\BIOS Configuration Utility\8560p.REPSET mit dem Notepad öffnen und wie folgt ändern
    English
    ;
    ;     Settings file originally created by BIOS Config Utility
    ;     Version:3.0.13.1
    ;     Date:2014.06.17
    ;
    
    Reset of TPM from OS
    	Disable
    	*Enable
    OS Management of TPM
    	Disable
    	*Enable
    Activate Embedded Security On Next Boot
    	Disable
    	*Enable
    Embedded Security Device Availability
    	*Available
    	Hidden
    Embedded Security Activation Policy
    	F1 to Boot
    	Allow user to reject
    	*No prompts
  16. Datei speichern und schließen
  17. Den Ordner nach C:\Sourcen\HP BIOS Configuration Utility umbenennen und nach \\SERVER02\d$\Sourcen\Software\ kopieren
  18. Client003 herunterfahren und ausschalten

Active Directory zum Speichern der TPM Ownership-Informationen vorbereiten

  1. Als Administrator an SERVER01 anmelden
  2. Add-TPMSelfWriteACE.vbs von http://technet.microsoft.com/en-us/library/dn466534.aspx nach C:\Sourcen herunterladen
  3. Command Promp (Admin) starten
  4. Nach C:\Sourcen wechseln
  5. Das Script mit folgendem Befehl ausführen
    cscript.exe Add-TPMSelfWriteACE.vbs
  6. Das Script wurde erfolgreich ausgeführt
    BITLOCKER_PREP-008
  7. Command Promp schließen
  8. Administrator von SERVER01 abmelden

BitLocker Drive Encryption-Features installieren

  1. Als Administartor an SERVER02 anmelden
  2. Server Manager > Local Server > Manage > Add Roles and Features
  3. Add Roles and Features Wizard
    1. Before You Begin: Next
      BITLOCKER_PREP-009
    2. Installation Type: Role-based or feature-based installation > Next
      BITLOCKER_PREP-010
    3. Server Selection: SERVER02 > Next
      BITLOCKER_PREP-011
    4. Server Roles: Next
      BITLOCKER_PREP-012
    5. Features: BitLocker Drive Encryption
      BITLOCKER_PREP-014

      1. Add Roles and Features Wizard > Add Features > Next
        BITLOCKER_PREP-013
    6. Confirmation: Install
      BITLOCKER_PREP-015
    7. Results: Close
      BITLOCKER_PREP-016
  4. SERVER02 neu starten

Gruppenrichtlinien für BitLocker konfigurieren

  1. Als Administrator an SERVER02 anmelden
  2. Server Manager > Local Server > Tools > Group Policy Management
  3. haimann.local\Group Policy Objects erweitern
  4. Computer Standard Settings rechts anklicken und im Kontextmenü Edit… anklicken
    BITLOCKER_PREP-017
  5. Den Ordner Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption erweitern
    BITLOCKER_PREP-018
  6. In Teil 6h habe ich bereits die Einstellung Provide the unique identifiers for your organization konfiguriert, damit der BitLocker Data Recovery Agent funktioniert
    BITLOCKER_PREP-019
  7. Den Ordner Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives anklicken
    BITLOCKER_PREP-020
  8. Folgende Einstellungen vornehmen
    1. Choose how BitLocker-protected operating system drives can be recovered
      BITLOCKER_PREP-021
    2. Configure minimum PIN length for startup
      BITLOCKER_PREP-022
    3. Configure TPM platform validation profile (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2) (aktivieren und Standard übernehmen)
      BITLOCKER_PREP-032
    4. Configure TPM platform validation profile for BIOS-based firmware configurations (aktivieren und Standard übernehmen)
      BITLOCKER_PREP-033
    5. Configure TPM platform validation profile for native UEFI firmware configurations (aktivieren und Standard übernehmen)
      BITLOCKER_PREP-034
    6. Require additional authentication at startup
      BITLOCKER_PREP-023
  9. Den Ordner Computer Configuration\Administrative Templates\Windows Components\System\Trusted Platform Module Services anklicken
  10. Folgende Einstellung vornehmen
    1. Turn on TPM backup to Active Directory Domain Services
      BITLOCKER_PREP-025
      BITLOCKER_PREP-026
  11. Den Ordner  Computer Configuration\Administrative Templates\System\Power Management\Sleep Settings anklicken
  12. Folgende Einstellungen vornehmen
    1. Allow Standby States (S1-S3) When Sleeping (on Battery)
      BITLOCKER_PREP-036
    2. Allow Standby States (S1-S3) When Sleeping (plugged in)
      BITLOCKER_PREP-037
      BITLOCKER_PREP-038
  13. Group Policy Management Editor schließen
  14. Group Policy Management-Konsole schließen

Anwendungen in MDT zur OSD Prod Share hinzufügen

  1. Deployment Workbench starten
  2. OSD Prod Share\Applications erweitern
  3. Den Ordner HP erstellen
  4. Folgende Anwendungen zum Ordner HP hinzufügen
    1. Application name: Enable TPM in BIOS
      1. Source: D:\Sourcen\Software\HP BIOS Configuration Utility
      2. Command line:
        BiosConfigUtility.exe /SetConfig:"8560p.REPSET" /nspwdfile:"password.bin"
      3. Summary
        BITLOCKER_PREP-028
    2. Application name: Reset BIOS Password
      1. Source: D:\Sourcen\Software\HP BIOS Configuration Utility
      2. Command line:
        BiosConfigUtility.exe /nspwdfile:"" /cspwdfile:"password.bin"
      3. Summary
        BITLOCKER_PREP-030
    3. Anwendungen in MDT
      BITLOCKER_PREP-031

Task Sequence konfigurieren

  1. Task Sequences anklicken
  2. Windows 8.1 U1 Ent x64 – Office 2013 rechts anklicken und im Kontextmenü Properties anklicken
  3. Auf den Reiter Task Sequence wechseln
  4. Die Phase State Restore erweitern
  5. Den Ordner Custom Tasks markieren
  6. Add > New Group
    1. Properties
      1. Name: Enable TPM in BIOS
    2. Options
      1. Add > If statement
      2. If Statement Properties
        1. none > OK
      3. Add > Query WMI
        1. WMI namespace: root\cimv2\Security\MicrosoftTPM
        2. WQL query:
          SELECT * FROM Win32_TPM WHERE IsEnabled_InitialValue = TRUE
        3. OK
          BITLOCKER_PREP-040
      4. Add > Task Sequence Variable
        1. Variable: BdeInstallSuppress
        2. Condition: equals
        3. Value: YES > OK > Apply
  7. Add > General > Install Application
    1. Properties
      1. Name: Enable TPM in BIOS
      2. Install a single application: HP\Enable TPM in BIOS > OK > Apply
  8. Add > General > Install Application
    1. Properties
      1. Name: Reset BIOS Password
      2. Install a single application: HP\Reset BIOS Password > OK > Apply
  9. Add > General > Restart computer
    BITLOCKER_PREP-049
  10. Fenster mit OK schließen

CustomSettings.ini anpassen

  1. OSD Prod Share rechts anklicken und im Kontextmenü Properties anklicken
  2. Auf den Reiter Rules wechseln
  3. Den Bereich [Settings] wie folgt anpassen
    [Settings]
    Priority=CSettings, CRoles, RApps, Akkubetrieb, DefaultGateway, <strong>ByLaptopType,</strong> Default
    Properties=MyCustomProperty
    
    [Akkubetrieb]
    Subsection=Akkubetrieb-%IsOnBattery%
    
    [Akkubetrieb-True]
    OSInstall=NO
    
    [DefaultGateway]
    192.168.150.1=Linz
    192.168.160.1=Salzburg
    
    [Linz]
    MachineObjectOU=OU=Linz,OU=Arbeitsstationen,DC=haimann,DC=local
    
    [Salzburg]
    MachineObjectOU=OU=Salzburg,OU=Arbeitsstationen,DC=haimann,DC=local
    
    <strong>[ByLaptopType]
    Subsection=Laptop-%IsLaptop%
    
    [Laptop-True]
    SkipBitLocker=NO
    BDEInstallSuppress=NO
    OSDBitLockerMode=TPMPin
    OSDBitLockerCreateRecoveryPassword=AD
    OSDBitLockerWaitForEncryption=FALSE
    </strong>
    ; MDT Standard Regeln
    
    [Default]
    OSInstall=Y
    
  4. Fenster mit OK schließen

 Notebook mit BitLocker aufsetzen

  1. Notebook einschalten und mit F12 vom Netzwerk booten
  2. User Credentials
    1. Password: Password1 > OK
  3. Windows Deployment Wizard
    1. Task Sequence: Windows 8.1 U1 Ent x64 – Office 2013 > Next
      BITLOCKER_PREP-042
    2. Computer Details
      1. Computer name: CLIENT003 > Next
        BITLOCKER_PREP-043
    3. Move Data and Settings: Do not move data and settings > Next
      BITLOCKER_PREP-044
    4. User Data (Restore): Do not restore user data and settings > Next
      BITLOCKER_PREP-045
    5. Applications: Next
      BITLOCKER_PREP-046
    6. BitLocker
      1. Enable BitLocker using TPM and PIN: 1122334 > Next
        BITLOCKER_PREP-047
    7. Ready: Begin
      BITLOCKER_PREP-048
  4. Nach einer Weile… > Finish
    BitLocker-001
  5. Der Rechner wird neu gestartet
  6. BitLocker-PIN 1122334 eingeben
  7. Als Markus an Client003 anmelden
  8. Eingabeaufforderung (Administrator) starten
  9. Mit folgendem Befehl den Status der Verschlüsselung abfragen
    manage-bde -status
  10. Abfrage-Ergebnis
    BitLocker-002

Passt! 🙂

7 Gedanken zu „Teil 20: BitLocker mit MDT aktivieren

  1. Hallo! Welches BIOS, bzw. welche BIOS-Version hatte denn das EliteBook 8560p zum Zeitpunkt des Tests? Die F42 oder die F50? Welches Kennwort hatte denn das BIOS zu Anfang? Startet man mit einem vollkommen „jungfräulichen“ BIOS bezgl. der Security Einstellungen? Danke! Gruß, Lars

    • Hallo! Mein 8560p hat (immer noch) die Version F.42. Am Anfang sollte das Notebook kein Passwort haben. Für die Konfiguration der TPM-Einstellungen muss aber, zumindest temporär, ein Passwort gesetzt werden. Ich setze das BIOS vor der Erstellung der REPSET-Datei auf Werkseinstellungen zurück. Ganz jungfräulich. 🙂
      Ist aber nicht so genau, weil in der REPSET-Datei nur die TPM-Einstellungen drinnen bleiben und manipuliert werden.

      Hoffe das hilft!

  2. Hallo!
    Es wäre prima, wenn Du detailierter die Schritte für MDT darstellen könntest, da ich Neuling in dem Bereich bin. Oder hast DU auch die Schritte für die notwendigen SCCM TS?

    Ansonsten kann ich Deine Seite(n) nur empfehlen!

    VG

    Guido

    • Hallo! Danke für’s Lesen und Weiterempfehlen!

      Die Schritte zum Aktivieren des TPM-Chips sind sehr detailliert beschrieben. Die Einstellungen in der CustomSettings.ini sind zu beachten. In der Task Sequence selbst sind keine weiteren (außer der Aktivierung des TPM) Schritte notwendig.

      Oder meinst generell eine ConfigMgr-Task Sequence? Welche Version setzt du ein? Was willst du alles machen? „Nur“ BitLocker oder auch MBAM? Welches OS setzt du ein, Windows 7 oder 8? Hast du MDT Task Sequences in ConfigMgr integriert? Dann kann ich schon eine Kurzmitteilung dafür schreiben.

      …Dietmar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert