Jump to content
Kaspersky Support Forum

Festplatten Verschlüsselung

S0GF99

By S0GF99
in Für Unternehmen

 Share
Go to solution Solved by alexcad,

Recommended Posts

S0GF99

S0GF99

Posted
  • Author
Posted
Hallo, uns macht die Festplatten Verschlüsselung ein wenig Probleme bzw. ich verstehe nicht was fehlt, damit diese startet. Wir haben ein KSC 10.5.1781 mit KES11 11.1.0.15919, Agent 10.5.1781 und versuchen mit aktuellem Windows 10 Ent 1903 die FDE zu aktiveren. Das FDE Precheck Tool gibt auch nur eine Minor Issue aus(Touchpad) sonst ist alles gut auf den ProBooks 650G4 von HP. Wir haben eine neue Richtlinie erstellt für die Geräte die die FDE bekommen sollen und dort angehängte Einstellungen vorgenommen. Die Richtlinie wird übernommen aber nirgendwo in den Logs, Einstellungen oder unter "Verschlüsselung" -> "Verschlüsselte Geräte" passiert etwas. Es handelt sich um Geräte die "draußen" unterwegs seien sollen, die auch nicht in der Domäne sind. Im Adminguide wurde ich auch noch nicht so richtig fündig...hat jemand Tipps?
alexcad

alexcad

Posted
Posted
Die Richtlinie wird übernommen aber nirgendwo in den Logs, Einstellungen oder unter "Verschlüsselung" -> "Verschlüsselte Geräte" passiert etwas.
Hallo S0GF99, was sagt denn der Verschlüsselungs-Status der betroffenen Systeme? Die Info kannst du dir im KSC als Spalte anzeigen lassen bzw. siehst du auch, wenn du die Systemeigenschaften eines Clients aufrufst. Eine Erfahrung, die ich schon machen musste: manche Systeme werden vom Hersteller bereits verschlüsselt ausgeliefert. Je nachdem wie das umgesetzt wurde ist das im System (z. B. Explorer) nicht zu sehen. Hier hilft nur den bitlocker-Status über die Kommandozeile mit Admin-Rechten zu prüfen: manage-bde -status Sollte hier eine aktive bitlocker-Verschlüsselung angezeigt werden (s. O.), muss das Laufwerk mit manage bde -off C: (bzw. Laufwerksbezeichnung) entschlüsselt werden. Anschließend greift die Kaspersky-Einstellung und das Laufwerk wird wieder verschlüsselt sowie entsprechend im KSC gelistet, inkl. Wiederherstellungsschlüssel. Details zu manage-bde findest du hier: https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/manage-bde Grüße Alex
S0GF99

S0GF99

Posted
  • Author
Posted
Hallo Alex, da fühle ich mich fast etwas doof...als wir die KES11.1.1 installiert haben wurden die Komponenten nicht mitinstalliert. Nach der Installation der FDE Komponenten kam auch gleich die Abfrage einen PIN festzulegen. Danach dauerte es etwas und folgender Fehler kam: Nach einem Reboot ist die Fehlermeldung weg dafür ist der Status: Die Datenverschlüsselung besitzt jetzt den in den Gerät-Status-Kriterien angegebenen Status. Am Client sehe ich aber, dass die FDE ein rotes X hat und im KSC unter Geräte "Verschlüsselungsstatus" - "Fehler". Versucht er es danach automatisch noch einmal?
S0GF99

S0GF99

Posted
  • Author
Posted
Wir lernen weiter, wenn noch eine DVD eingelegt ist, dann lässt sich auch Bitlocker nicht aktivieren.
  • Solution
alexcad

alexcad

Posted
  • Solution
Posted
... als wir die KES11.1.1 installiert haben wurden die Komponenten nicht mitinstalliert. Nach der Installation der FDE Komponenten kam auch gleich die Abfrage einen PIN festzulegen.
Vielen Dank für dein Feedback. Nochmal für Alle: um FDE aktivieren zu können, muss das Modul bitlocker-Verwaltung oder/und "Vollständige Festplattenverschlüsselung" (Kaspersky eigenes Verschlüsselungsmodul mit Pre-Boot-Agent) installiert sein - ich würde zur bitlocker-Verwaltung raten und die FDE ausschließlich über bitlocker umsetzen. Nachträglich lässt sich das über eine Aufgabe "Auswahl von Programmkomponenten ändern" ausrollen. Kannst du bitte deine Antwort als "Lösung" markieren, dann wird auch das Topic als "gelöst" gewertet. Danke! Grüße Alex
  • 6 months later...
don_stephano

don_stephano

Posted
Posted

Hallo,

 

Ich habe auch Probleme die Festplatte zu verschlüsseln.

Notebook mit Windows 10 1909

Endpoint 11.1.1.126

Komponente Datenverschlüsselung ist Installiert

Richtlinie für Bitlocker-Laufwerksverschlüsselung wurde konfiguriert und wirkt in der OU wo der Client abgelegt wurde. Keine Vererbung aktiv von oben.

 

Verschlüsselungsstatus: FEHLER

 

Ereignistyp:     Die Richtlinie kann nicht übernommen werden.
Aktion:     Verschlüsselung
Grund:     Das Systemlaufwerk ist nicht kompatibel mit dem BitLocker-Verschlüsselungsverfahren.
Verschlüsselungstyp:     Vollständige Festplattenverschlüsselung

 

Eine Lokale Verschlüsselung funktioniert. Der Client hat einen TPM 2.0 Chip. Das Gerät ist neu & es ist keine Verschlüsselung aktiv manage-bde -status

 

Hat jmd. eine Idee?

alexcad

alexcad

Posted
Posted

Hallo don_stephano,

mit Win10 1909 solltest du auf KES11.2.0 upgraden, dazu bitte unbedingt vorher das KSC und Agent auf v11.0.0.1131_patch_b bringen.
https://support.kaspersky.com/de/15265#block2
https://support.kaspersky.com/de/15355

 

Um FDE mit bitlocker umzusetzen solltest du nur das Modul “bitlocker Management” installieren, nicht die Kaspersky Verschlüsselungsmodule.

Wenn die Verschlüsselung nicht starten will hilft teilweise das Zurücksetzen der Kompatibilitätsprüfung mit:

avp.com pbatestreset
 


Grüße
Alex​​​​​​​

don_stephano

don_stephano

Posted
Posted

Guten Morgen Alex,

 

Als erstes würde ich gern auf dem Client in der CMD via Admin deinen Befehl testen. Leider bin ich mir nicht sicher wie dieser genau abgesetzt werden muss. Kannst du mich dazu noch etwas mehr involvieren?

 

Ich danke Dir schonmal im Vorraus.

 

Bei der Komponente Datenverschlüsselung habe ich tatsächlich auch nur die Bitlocker-Laufwerksverschlüsselung ausgewählt.

 

Wie verhält sich das eigentlich mit der Ordner/Gruppen Synchronization? Wir haben eine Sync.-Regel im Security Center gebaut welche aller x-Minuten auf dem Domain-Controller schaut ob sich etwas geändert hat. 

Clients welche im Feld unterwegs sind und Bitlocker erhalten sollen liegen auf dem DC in einer entsprechenden OU wo natürlich auch div. GPOs wirken.

Könnten GPOs das Verhalten der Kaspersky Bitlocker Verschlüsselung beeinträchtigen?

 

Eine Aufgabe für die Installation Agent v11.0.0.1131_patch_b lief schon im Dezember. Alle CLients sind diesbezüglich up2date.

 

Beste Grüße, Stephan

 

 

alexcad

alexcad

Posted
Posted

...Als erstes würde ich gern auf dem Client in der CMD via Admin deinen Befehl testen. Leider bin ich mir nicht sicher wie dieser genau abgesetzt werden muss. Kannst du mich dazu noch etwas mehr involvieren?


Hallo Stephan,

> Kommandozeile mit Admin-Rechten starten​​​
> In den Installationsordner der KES wechseln (da liegt die avp.com) - üblicherweise ist das
“C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security for Windows”

> Den Befehl “avp.com pbatestreset” ausführen.

GPOs beeinflussen u. U. bitlocker, wenn es entsprechende Richtlinien gibt.
Kaspersky verweigert dann die Verschlüsselung, leider oft ohne konkrete Hinweise auf die Fehlerursache zu liefern.
Wenn du bilocker über Kaspersky steuern möchtest, solltest du sicherstellen, dass hier kein GPO dazwischenfunkt.

Grüße
Alex

don_stephano

don_stephano

Posted
Posted

Hi Alex,

danke für deine Zeit.

avp.com pbatestreset kannte tatsächlich noch nicht und werde ich mir auf jeden Fall dokumentieren.

Ich konnte das Problem aber lösen. Die Clients welche ich mit BitLocker über Kaspersky verschlüsseln wollte hatten alle eine eigens entwickelte Image. Bei dem Deployment wurde ein Fehler bzgl. der Festplattenpartitionierung gemacht. Dadurch das eine ~ 500MB GPT Partition fehlte, wollte Kaspersky nicht verschlüsseln.

Ich bin ab da stutzig geworden wo selbst die lokale WIN10 BitLocker Verschlüsselung Fehler brachte. Also eine Clean-Image genommen > Installiert > funktioniert.

 

Grüße,

Stephan

 

 

 

 

alexcad

alexcad

Posted
Posted

Vielen Dank für das Feedback - vielleicht hilft es anderen bei der Problemlösung.

avp.com ist ziemlich mächtig. Damit lassen sich über die Kommandozeile Scans und Updates ausführen, Lizenzen und lokale Konfigurationen einspielen, …
Natürlich man das in ein Script packen und z. B. über den Agent ausrollen.

Auch das Serverschutzprodukt hat ein Kommandozeilen-Tool.
Details findest du jeweils im Handbuch / der Hilfe.

Grüße
Alex

don_stephano

don_stephano

Posted
Posted

Hi Alex,

folgende Meldung.

 

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security for Windows>avp.com pbatestreset
 Information about incompatibility of the system hard drive and Authentication Agent was not deleted. For further instructions, please refer to the Administrator's Guide.

alexcad

alexcad

Posted
Posted

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security for Windows>avp.com pbatestreset
 Information about incompatibility of the system hard drive and Authentication Agent was not deleted. For further instructions, please refer to the Administrator's Guide.

 

Ich dachte das Problem sei gelöst und die Festplatte verschlüsselt? Dann macht die Ausführung dieses Befehls keinen Sinn.

Grüße
Alex

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...