De release van NinjaOne 4.6 bevatte een belangrijke verbetering van onze automatisering, namelijk de introductie van monitoring van scriptoutputs. Met deze functie kunnen onze partners de output van scripts monitoren en op basis daarvan waarschuwingen, meldingen en tickets maken. Hierdoor kunnen ook automatiseringen worden geactiveerd op basis van diezelfde scriptoutputs.
Een voorbeeld van hoe u deze verbetering kunt gebruiken is om automatisch de BitLocker-schijfversleuteling te beheren rechtstreeks vanuit NinjaOne met behulp van PowerShell.
Als u dit wilt bereiken, moet u de volgende drie stappen uitvoeren:
- Controleer de BitLocker-versleutelingsstatus van de schijven
- Schakel BitLocker in en haal de herstelsleutel eruit
- Maak een policy-automatisering die de output van het eerste script gebruikt om het tweede script te starten
1) De BitLocker-versleutelingsstatus van de schijven controleren
Controleer elk deel op een endpoint met het PowerShell-cmdlet Get-BitLockerVolume en de parameter ProtectionStatus om te bepalen of een deel niet versleuteld is.
Als een deel niet versleuteld is, gebruik dan Write-Host om een unieke identifier terug te geven (bijv. ‘Bitlocker Disabled for Volume’ om de monitoring van de scriptoutput in Ninja te activeren.
2) BitLocker inschakelen en de herstelsleutel eruit halen
Controleer eerst TPM en schakel deze in
BitLocker kan zowel met als zonder TPM (Trusted Platform Module) worden ingeschakeld. Zonder TPM is een extra vlag nodig om BitLocker in te schakelen.
Als u de status van de Trusted Platform Module (TPM) wilt opvragen, moet u de opdracht Get-Tpm gebruiken. Als de TPM niet klaar is, dan moet u de TPM initialiseren. Dit kunt u doen met Initialize-Tpm.
Controleer de beveiligingsstatus van elk deel dat u wilt versleutelen
Controleer de beveiligingsstatus van elke schijf voordat u BitLocker inschakelt zodat u niet probeert om BitLocker in te schakelen voor schijven die al versleuteld zijn. U kunt de status van een schijf controleren met Get-BitLockerVolume en ProtectionStatus.
BitLocker inschakelen (Enable BitLocker)
Gebruik Enable-BitLocker om BitLocker in te schakelen voor de niet-versleutelde delen. Er zijn een paar parameters waarmee u rekening moet houden als u Enable-BitLocker gebruikt:
- -Met MountPoint kunt u opgeven welk deel of welke delen wordt/worden versleuteld.
- -Met EncryptionMethod kunt u opgeven welke methode wordt gebruikt om het deel te versleutelen.
- -UsedSpaceOnly kunt u gebruiken om het versleutelingsproces te versnellen door ongebruikte ruimte niet te versleutelen.
- -TpmProtector geeft aan dat de TPM de beschermer is voor het opgegeven deel.
Herstelsleutels verzamelen en bewaren
Als u niet beschikt over de herstelsleutel voor een bepaald deel, en er gaat iets mis, dan zult u de gegevens op dat deel nooit kunnen herstellen. Als u herstelsleutels terug in Ninja wilt krijgen, kunt u Write-Host, Get-BitLockerVolume en KeyProtector gebruiken om de KeyProtector op te halen en deze naar het Activity Log voor dat apparaat in Ninja te schrijven.
Daarna kunt u de KeyProtector overbrengen naar uw IT-documentatieplatform (zoals IT Glue) of naar het tabblad Notes (Notities) in NinjaOne.
3) De automatisering inschakelen in NinjaOne
Doe het volgende in uw parent policy op het hoogste niveau:
- Plan het eerste script en zorg dat het nieuwe apparaten controleert op hun versleutelingsstatus op basis van een schema van uw keuze.
- Maak een nieuwe monitoringvoorwaarde voor scriptoutput die geactiveerd wordt wanneer de unieke identificatie die in het initiĂ«le script is gemaakt (‘BitLocker uitgeschakeld voor deel’) wordt gedetecteerd. Stel in dat de voorwaarde het PowerShell-script ‘BitLocker inschakelen’ activeert dat u in stap 2 hebt gemaakt.
