Bitlocker: Verschlüsselung startet nur nach Reboot, nicht nach Shutdown und Neustart.

[doalwa]

Guten Tag zusammen,

ich hatte vor ein paar Tagen bereits einen Thread zu Bitlocker eröffnet.

Damals hatten wir das Problem, dass viele unserer Clients bereits mit Bitlocker verschlüsselt waren und die im Kaspersky Security Center definierte Richtlinie auf Fehler lief.

Scheinbar bleibt in einem solchen Fall nichts anderes, als Bitlocker wieder zu deaktivieren und dann über die Richtlinie zu reaktivieren.

Dies haben wir nun soweit umgesetzt.

Aktuell haben wir folgendes Problem:

Ich verschiebe den Client im KSC in die Gruppe, in welcher die Bitlocker-Richtlinie aktiv ist und erzwinge die Synchronisierung.

Der Client fordert anschließend einen Neustart. Der Bitlocker-Wiederherstellungsschlüssel wird bereits vor dem Neustart ins Active Directory geschrieben.

Kommt der Anwender der Aufforderung zum Neustart sofort oder nach einigen Minuten nach, startet der eigentliche Verschlüsselungsvorgang und wird auch erfolgreich abgeschlossen.

Im KSC sehe ich anschließend im Bereich Verschlüsselung, dass der Client der Richtlinie entspricht:

 

Mehrfach hatte ich aber auch schon folgenden Fall: Die Richtlinie wird übernommen und der Client zum Neustart aufgefordert.

Die meisten Mitarbeiter kommen dieser Aufforderung zum Neustart aber nicht nach, sondern fahren den PC zum Feierabend runter.

Wird der PC nun am nächsten morgen wieder eingeschaltet, würde ich erwarten, dass der Verschlüsselungsvorgang in diesem Moment einsetzt.

Dies ist aber nicht der Fall. Im KSC wird als Status der Verschlüsselung

angezeigt.

An diesem Status ändert sich über Stunden nichts.

Wenn ich den Status von Bitlocker am Client selbst mittels manage-bde -status überprüfe, sehe ich folgendes:

Die Verschlüsselungsmethode “AES 256” wurde zwar übernommen, sonst geschieht allerdings nichts.

Der Wiederherstellungsschlüssel liegt im AD. im Windows-Ereignisprotokoll sehe ich:

aber es geht leider nicht mit der eigentlichen Verschlüsselung los.

Wie gesagt, es funktioniert alles solange der Client direkt neu gestartet wird,

Fährt man den Client jedoch erst Stunden später herunter und startet dann neu, funktioniert es scheinbar nicht.

Auch das erneute Synchronsieren der Richtlinie mit dem Client stößt keine Verschlüsselung an.

Verstehe ich es falsch aber sollte der Sinn der Richtlinie nicht sein, Bitlocker am Client zu erzwingen?

Wenn ich mich darauf nicht verlassen kann stelle ich für mich das ganze Produkt KSC in Frage, letztlich kann ich mich ja dann nicht darauf verlassen, dass die Richtlinie tatsächlich auch erzwungen wird?

Ist dieses Verhalten so zu erwarten oder machen wir hier grundlegend etwas falsch?

Danke vorab,

Dominik

[alexcad]

Hallo Dominik,

das liegt vermutlich an der Schnellstart-Funktion von Windows 10. Hierbei werden die Rechner beim Herunterfahren in einen hybriden Schlafmodus versetzt - dabei werden die Treiber nicht entladen, das ist also kein “echter” Neustart.

Für den Benutzer ist das praktisch, da der Rechner beim Einschalten sehr schnell wieder da ist. Für Admins ist das weniger schön, da wir eben oft einen echten Neustart benötigen: Schwachstellen patchen, Software aktualisieren, bitlocker aktivieren, …

Zumal es dann sehr oft die Diskussion mit dem Benutzer gibt “… aber ich habe meinen Rechner doch schon neu gestartet ...”
Auch dies bzgl. lohnt ein Blick in das KSC - hier lässt sich in der Geräteansicht die Spalte “Letzter Systemstart” anzeigen - und dieser Wert ist absolut zuverlässig.

Mehr zur Schnellstart-Funktion findest du z. B. hier
https://www.heise.de/tipps-tricks/Windows-10-Schnellstart-deaktivieren-aktivieren-4000088.html

Ich deaktiviere die Schnellstart-Funktion in der Regel für das gesamte Unternehmen per GPO. Anleitungen dazu finden sich im Internet.

Grüße
Alex