Festplatte verschlüsseln mit BitLocker ohne TPM unter Windows 10

Nachdem ich meine beiden Notebooks neu mit Windows 10 Professional installiert und die Datensicherung mit veeam Endpoint eingerichtet habe steht nun die Verschlüsselung der Notebooks an. Wer sich weitgehender mit dem Thema auseinander setzen möchte findet in den Anmerkungen des Artikels einige Links mit zusätzlichem Lesestoff.

Ich habe mich für die Verschlüsselung mit BitLocker entschieden. Auch aus dem Grund heraus das sich BitLocker in einer Active Directory Umgebung administrieren lässt. Hierzu stellt Microsoft diverse Features und Powershell Befehle bereit. In meinem hier gezeigt Beispiel allerdings ohne AD Integration.

Hier eine Aufstellung der Microsoft Betriebssysteme die BitLocker unterstützen

  • Windows 7 (Enterprise, Ultimate)
  • Windows 8, 8.1 (Pro und Enterprise)
  • Windows 10 (Pro, Enterprise, Education, Mobile und Mobile Enterprise)
  • Windows Server 2008 R2
  • Windows Server 2012, Windows Server 2012 R2

Klassische Heimanwender schauen in die Röhre und müssen auf Drittanbieter Tools ausweichen. Der Markt hierzu ist groß. Ich würde dem TrueCrypt Nachfolger VeraCrypt empfehlen.

Grundsätzlich verschlüssele ich Systeme nur Vollständig. Das hat den Vorteil das man nicht darauf achten muss ob sich kritische Informationen außerhalb des Verschlüsselten Bereiches befinden.

Verschlüsseltes Laufwerk mit Microsoft BitLocker
Verschlüsseltes Laufwerk mit Microsoft BitLocker

Ja mir ist bewusst das es Möglichkeiten gibt die Verschlüsselung zu umgehen. In diesem Artikel des Guardian wird auf die von Edward Snowden 2013 veröffentlichten Unterlagen bestätigt das Microsoft der NSA behilflich war die Verschlüsselung aufzuheben.
Ich möchte lediglich dafür sorgen das bei Verlust bzw. Diebstahl verhindert wird das Fremde Zugriff auf Daten erhalten.

Um die Leistungsfähigkeit vorher/nachher zu vergleichen habe ich einen Test mit CrystalDiskMark und AS SSD Benchmark gemacht.

„Festplatte verschlüsseln mit BitLocker ohne TPM unter Windows 10“ weiterlesen

OpenVPN Client installieren und Konfiguration einspielen

Hier ein kleines Tutorial das zeigt wie OpenVPN installiert wird und die entsprechende Konfiguration eingespielt wird. OpenVPN kann als 32-Bit oder 64-Bit Version installiert werden. Dazu muss man wissen welche Windows Version man verwendet. Dies geht am einfachsten mit der Windowstaste+Pause an der Tastatur oder mit einen Klick auf den Startbutton in der Taskleiste, dann mit der rechten Maustaste auf Computer klicken und dann auf Eigenschaften. Es öffnet sich das System-Fenster.

Windows 7 Systemeigenschaften öffnen
Windows 7 Systemeigenschaften öffnen

Hier wird nun angezeigt ob es sich um ein 32 oder 64 Bit Betriebssystem handelt. Ich habe hier mal ein paar Screenshots unterschiedlicher Windows Versionen gemacht.

Windows 7 – 32 Bit (x86)

Systemeigenschaften Windows 7 - 32 Bit (x86)
Systemeigenschaften Windows 7 – 32 Bit (x86)

„OpenVPN Client installieren und Konfiguration einspielen“ weiterlesen

Wake on Lan, Rechner von NAS aus starten

Es gibt immer mal wieder die Aufgabenstellung einen Rechner aus der Ferne auf zu wecken. Das lässt sich recht einfach per WOL realisieren. Bei Andi nutzen wir das um Rechner im Laden/Büro von zuhause aus starten zu können. Auch ich und einige meiner Kumpels nutzen das Script um damit unsere PCs, Server oder NAS auf zu wecken die nicht im 24/7 Betrieb laufen.

Wake On Lan:

Dabei handelt es sich um einen Standard der auf das ACPI zugreift. Damit das Aufwecken des System funktioniert muss dieses im Bios und den Energieoptionen der Netzwerkkarte konfiguriert werden.

Hier ein Beispiel aus der Praxis:

Möchte einer der Mitarbeiter von zuhause oder einer Messe aus sich auf einen der Rechner im Büro Aufschalten, wählt er sich zuerst per VPN in das Firmennetzwerk ein. Über die Webseite wird der gewünschte Rechner gestartet. Das System kann dann per Remote Desktop Verbindung genutzt werden.

Damit nach der Rechner nach getaner Arbeit ausgeschaltet werden kann haben wir ein Script auf dem Desktop mit dem der Rechner herunter gefahren werden kann. Da per RDP-Verbindung dies nicht über die Grafische Oberfläche möglich ist.

„Wake on Lan, Rechner von NAS aus starten“ weiterlesen

Per Powershell Exchange Postfach als .pst-Datei exportieren und importieren

Möchte man ein Postfach als .pst-Datei exportieren kann man dazu z.B. Outlook verwenden oder man nimmt die Powershell, genauer gesagt die Exchange Managemet Shell oder lädt sich die entsprechenden CMDlets in die Powershell.

Mailbox Export

In meinem Beispiel exportiere ich ein Postfach auf einem Server 2012 R2 mit Exchange 2013. Je nach Umgebung sollte man vorher prüfen ob für den Export ausreichend Platz vorhanden ist So manches Postfach ist größer als gedacht.

Der Befehl für einen Export ist simpel, eine Vollständige Übersicht der Parameter gibt in diesem TechNET-Artikel.


New-MailboxExportRequest -Mailbox POSTFACH -Filepath ZIEL

Postfach: Gültige Werte sind Alias, Anzeigename oder SMTP-Adresse
ZIEL: Ein Ziel per UNC Pfad Angeben

Der zusammengesetzte Befehl lautet in meinem Fall so:


New-MailboxExportRequest -Mailbox info –FilePath \\localhost\work\info.pst

„Per Powershell Exchange Postfach als .pst-Datei exportieren und importieren“ weiterlesen

Active-Directory-Papierkorb aktivieren, AD-Elemente wiederherstellen

In der Artikelserie Aufbau eines AD mit Windows Server 2008R2 aktivieren wir heute den AD Papierkorb. Dieser ist Standardmäßig deaktiviert und muss manuell aktiviert werden. Microsoft sieht nicht vor den Papierkorb wieder zu deaktivieren.

Wer die anderen Artikel gelesen hat, der hat mitbekommen das ich bei dem Low-Budget Project keine teuere Datensicherungssoftware einsetzen kann, die AD Elemente Granular zurücksichern kann (z.B. Symantec BackupExec). Der Praktische nutzen des AD Papierkorb ist, dass ein gelöschtes Objekt Vollständig wiederhergestellt werden kann. Benutzer werden mit ihren Berechtigungen und Gruppenmitgliedschaften wiederhergestellt. Ganze OUs mit deren Inhalten.

Damit der AD Papierkorb eingerichtet werden kann muss unsere Domain mindestens die Version „Server 2008R2“ Neudeutsch Forrest Funcional Level besitzen. Damit werden die gelöschten Objekte Standardmäßig 180 Tage gespeichert.

Der Papierkorb wird auf dem Schemata Master aktiviert. In Meiner AD infrastruktur gibt es nur einen Server und daher ist er automatisch der Schemata -Master. In einer größeren Umgebung müssen wir erst den Schemata Master ermitteln. Dazu einfach die Powershell öffnen und mit dem Befehl netdom query fsmo Anzeigen lassen.

netdom query fsmo
Betriebsmasterrollen per Powershellbefehl abfragen

„Active-Directory-Papierkorb aktivieren, AD-Elemente wiederherstellen“ weiterlesen

Installation Windows Server 2008 R2 und aktivieren der Active-Directory Domänendienste

Hier der zweite Artikel zur Angekündigten Artikelserie. Aufbau einer Windows Domain. Vor der Installation des Betriebssystem müssen wir uns ein paar Gedanken über das Raid und die Partitionierung machen. Es stehen mir nur S-ATA Platten zur Verfügung deshalb habe ich mich für ein Raid 10 und aufgrund meiner bisherigen Erfahrungen mit Raid 5 im Fehlerfall entschieden.

Eine Hot-Spare Festplatte bietet der Server nicht. Eine passende HDD liegt aber bereit. Natürlich ist dies nicht Optimal. Im Falle eines Falles werden drei Personen per Mail benachrichtigt neben dem Akustischen Warnton im Büro. Hierzu sind auch die Mitarbeiter informiert. Ich habe schon erlebt das mich Mitarbeiter angesprochen haben das der Server seit ein paar Tagen Piepgeräusche macht und ob man dies ausschalten könne? „Installation Windows Server 2008 R2 und aktivieren der Active-Directory Domänendienste“ weiterlesen