Aus dienstlichen Gründen beschäftige ich mich derzeit sehr viel mit dem Thema Bitlocker und plane dort einen Rollout. Nun müssen gewisse Grundwerte bekannt sein, um ein solches Rollout starten zu können.
Als Voraussetzungen soll bei dem Rollout der TPM-Chip genutzt werden. Entsprechend benötigt dieser die Spezifikation von mindestens 1.2. Dieses lässt sich aus einem WMI-Wert ermitteln:
Abfragepfad: Root\CIMV2\Security\MicrosoftTpm
Abfrage: select * from Win32_Tpm
Eigenschaft: SpecVersion
Desweiteren können weitere Werte ermittelt werden:
- Wurde der TPM-Chip bereits initialisiert?
Eigenschaft: IsEnabled_InitialValue - Wurde bereits ein TPM-Benutzerpasswort gesetzt?
Eigenschaft: IsOwned_InitialValue
Wenn die Werte nicht verfügbar sind ist entweder kein TPM-Chip vorhanden oder dieser wurde deaktiviert.
Desweiteren lässt sich auch Abfragen, ob eine Festplatte verschlüsselt ist. Dazu muss allerdings in einen anderen Kontext gewechselt werden:
Abfragepfad: Root\CIMV2\Security\MicrosoftVolumeEncryption
Abfrage: select * from Win32_EncryptableVolume
- Wie heißt der Laufwerksbuchstabe der Partition:
Eigenschaft: DriveLetter - Ist die Partition verschlüsselt ?!
Eigenschaft: ProtectionStatus
Diese Werte können allerdings nur als Administrator ermittelt werden, da man mit Standard-Benutzerrechten leider nicht diese Werte erreichen kann und ein “Zugriff verweigert” erhält.
Related posts:
