Bitlocker - USB wird verlangt

[WinSearch]

Ich bin irritiert. Mit Sicherheit habe ich nicht aufgepasst. Zunächst ließ sich Bitlocker nicht aktivieren, weil der Rechner kein TPM anbieten würde. Das konnte ich dann über den Gruppenrichtlinieneditor, nach einem Tipp aus dem Netz, umgehen und habe danach die Verschlüsselung durchführen lassen. Der Rechner ist einwandfrei gelaufen, ich habe auch einen Neustart 2 Mal durchgeführt. Jetzt gerade habe ich einen Neustart durchführen wollen und er verlangt den USB-Stick auf welchem ich ihm die Wiederherstellungsinformationen in Form einer Textdatei habe speichern lassen. Da ich davon ausgegangen war, dass ich den Stick auch wieder neu verwenden kann, habe ich die Textdatei anderswo gesichert und den Stick auch wieder neu verwendet.

Jetzt gerade habe ich einen Neustart probiert und ich bekomme nur einen blauen BITLOCKER Bildschirm. Den verstehe ich nicht, also ich verstehe was verlangt wird, aber ich verstehe nicht wieso der Bildschirm kommt:

"Schließen Sie das USB-Laufwerk mit dem Bitlocker-Schlüssel an".
"Drücken Sie die Eingabetaste, um einen Neustart auszuführen und versuchen Sie es erneut"

Wieso will er jetzt den USB-Stick haben? Das verstehe ich nicht?

Ich habe dann die Textdatei verwendet um den Vorgang abzubrechen, also die Wiederherstellung auszuführen. Den super langen Wiederherstellungsschlüssel habe ich eingegeben. Danach ließ sich Windows wieder starten und ich bin nun im Betriebssystem. Selbstverständlich deaktiviere ich jetzt erst einmal wieder die Bitlockerverschlüsselung der Systemplatte. Ich verstehe es einfach nicht.

Na, ich suche nochmal bei Google. Habe bisher keinen Treffer zu diesme Verhalten gefunden?!?!

 

[areiland]

Na von irgendwo her muss ja der Bitlocker-Key kommen, nachdem Du TPM als Quelle ausgeschlossen hattest. Also musst Du den Bitlocker Key auf dem USB Laufwerk ablegen lassen.

 

[Sabine]

Wird der Stick nicht sogar mit einem Index versehen, damit ihn Bitlocker als für die Entschlüsselung berechtigt ansieht?

 

[WinSearch]

Ah, ich verstehe. Das Speichermedium wird also zusätzlich an Hardware gebunden. Es reicht also nicht nur aus bei der Anmeldung das korrekte Passwort einzugeben sondern man muss auch zwingend den korrespondieren Gegenpart als Hardware haben.
Sehe ich das richtig, dass ich darauf verzichten kann wenn ich im BIOS TPM habe und es aktiviere?

 

[runit]

Wieso will er jetzt den USB-Stick haben? Das verstehe ich nicht?

Bitlocker hat sich gemerkt, dass die Einrichtung ohne TPM erfolgte und dass der Schlüssel auf dem USB-Stick ist. Den musst Du dann zum Freischalten auch immer bereit halten. Ohne TPM ist die Freischaltung per Schlüssel auf gemerktem USB-Stick zwingend erforderlich.

Bei vorhandener TPM greift Bitlocker beim PC-Start vor dem Betriebssystem zuerst auf das TPM-Modul (ein Chip auf dem Mainboard) zu. Auf diesem Wege prüft Bitlocker, ob die Hardware unverändert und somit vertrauenswürdig ist. Der Wiederherstellungsschlüssel kann wahlweise in einer Datei auf dem PC gespeichert werden oder auch auf einem Stick, oder auch auf dem verbundenen MS-Konto hinterlegt werden. Der Schlüssel wird jedoch nur zur Wiederherstellung benötigt, wenn optional nicht weitere Sicherheitsmaßnahmen (frei konfigurierbar) eingestellt wurden, wie u.A. angesteckter USB-Stick mit Schlüssel oder Pin-Eingabe. Man sollte den Schlüssel also tunlichst sicher zugänglich aufbewahren.

 

[WinSearch]

Leider klappt es jetzt nicht mehr. Im Bios habe ich TPM aktiviert. WIndows neu gestartet. Gruppenrichtlinieneditor aufgerufen. Dort "BitLocker ohne kompatibles TPM zulassen (erfordert ein Kennwort oder einen Startschlüssel auf einem USB-Stick" deaktiviert. Dann wollte ich nun Bitlocker wieder aktivieren und bekomme die Fehlermeldung, dass die Startoptionen nicht korrekt konfiguriert wären.

Die nachfolgende Konfiguration will wieder einen USB-Stick haben. Das muss doch auch möglich sein mit aktivierten TPM im BIOS ohne USB-Stick Bitlocker zu aktivieren oder geht das überhaupt nicht?

 

[Sabine]

@WinSearch

ich gebe zu, ich habe Bitlocker noch nie eingesetzt, aber ich habe mal versucht, das Ganze nachzuvollziehen.

Wenn ich mir allein die Hilfe des Textes in den Gruppenrichtlinien anschaue (bei Dir im Screenshot leider gekürzt gezeigt), dann steht da was von "Bitlocker auf einem Computer ohne TPM verwenden" und ein anderer Abschnitt "Computer mit einem kompatiblen TPM verwenden".

Und da steht klar im Hilfetext, Stick bei Computer ohne TPM und vier Authentifizierungsmethoden bei Computer mit TPM.

Und jetzt werde ich ein bißchen unhöflich: Spiele das sicherlich vorher angelegte BackUp vor Ausführung von Bitlocker zurück und überlege Dir, ob Du auf einem sauberen System nochmal Bitlocker per Stick konfigurieren willst.

 

[runit]

Das hast Du einfach verkonfiguriert. Bitlocker legt eine eigene Partition an - je nachdem, wie das erstmalig "sauber" eingerichtet wurde. Wenn Du hinterher TPM aktivierst, die Gruppenrichtlinien änderst, stimmen die Starteinträge in der Bitlocker-Partition nicht mehr.

 

[WinSearch]

Das heißt jetzt, nachdem ich das Laufwerk wieder entschlüsselt habe, kann ich jetzt nicht mehr die Variante wechseln? Ich muss das jetzt zwingend mit dem USB-Laufwerk machen? Das ist ja irgendwie blöd :-(

Das würde ja auch bedeuten, dass man bei einem Hardwarewechsel immer komplett neu installieren muss :-(
Meine Erwartung wäre gewesen, dass man nach der Entschlüsselung wieder von vorne anfangen kann. Entschlüsseln konnte ich natülich es deshalb, weil ich den Wiederherstellungsschlüssel hatte/habe.

 

[runit]

Wenn Du TPM aktiviert hast und Bitlocker ohne weitere Parameter so konfiguriert hast, würde Bitlocker bei einem Hardwarewechsel diesen feststellen. Hier müsstest Du dann den Wiederherstellungsschlüssel zum Entsperren der Festplatte/SSD eingeben (es sollte ein Fenster mit dieser Aufforderung erscheinen)

Leider habe ich keine Erfahrung, wie es sich in Deinem Fall verhält. Ich stelle mir vor, 1 x ohne TPM eingerichtet, neu gestartet und mit Stick korrekt entsperrt, dann Bitlocker deaktiviert, Neustart, müsste Bitlocker dann wieder neu einzurichten sein.

 

[WinSearch]

Danke für den Tipp. Genau an dieser Variante bastele ich gerade Es gibt sehr wenig Informationen dazu im Netz.

Ich habe die Vermutung, dass es klappen müsste. Das Szenario, das Du beschreibst ist ja nur TEIL 1 der Lösung. Ich habe den Hardwarewechsel. Ich kann mit dem Wiederherstellungsschlüssel das Medium entschlüsseln und dann ist es in dieser Konfiguration auch beliebig verwendbar, ganz gleich mit welcher Hardware.

Jetzt möchte ich es aber mit einer geänderten Hardware erneut verschlüsseln und ich möchte erneut kein Sicherheitsmedium (USB-STICK) verwenden sondern das in der Hardware verbaute TPM. Das natürlich, sonst macht das so überhaupt keinen Sinn, eine ganz andere Verschlüsselung auslösen wird. Verschiedene TPM-Module dürfen nicht zur identischen Verschlüsselung führen. Das wäre ja quasi wie ein Generalschlüssel. So kann das nicht sein.

Also gut, ist doch tatsächlich der Ansatz, dass man eigentlich immer in der Lage sein müsste ein Medium zu verschlüsseln, es zu entschlüsseln, Hardware zu wechseln, es erneut zu verschlüsseln.

Was geht, das ist keine Frage, wenn man TPM deaktiviert und ein Sicherheitsmedium verwendet, also ein USB-Stick.
Hm.. vielleicht ist es aber auch so, dass mein TPM im Motherboard nicht geeignet ist. Das Motherboard ist so alt noch nicht (370-Chipsatz, Intel, ASUS ROG Gaming, würde mal sagen so 3 Jahre oder so).

 

[runit]

Es sollte ab TPM 2.0 funktionieren. Wenn das Board einen TPM-Chip hat und nicht aus der allerersten TPM-Zeit stammt, die Version 2.0 wird ab Win 8.0 unterstützt, sollten Bios und TPM richtig in Win 10 funktionieren können. Es wurde sogar Unterstützung für Version TPM 1.2 ab Win 10 1607 hinzugefügt (für ältere Geräte vor dem Jahre 2014) - also bei Deinem Gerät sollte es kein Problem geben, wenn das erst ca. 3 Jahre alt ist.

Ansonsten kannst Du mal hier schauen, wie man Bitlocker richtig deaktiviert
Anleitung: BitLocker deaktivieren in Windows 10 - Tipps & Tricks

 

[WinSearch]

Auf einem 2. Rechner bin ich auch nicht wirklich glücklich geworden. Das ist wie ein Forschungsprojekt. Die Erfahrungen auf dem 2. Rechner:

• Bitlocker ließ sich erneut nicht für das Betriessystemspeichermedium (eine SSD, Laufwerk C) aktivieren
• Statt nun mit dem Gruppenrichtlinieneditor nachzuhelfen, wählte ich die Variante das TPM in der Hardware zu aktivieren
• Im Bios habe ich TPM aktiviert, mich für Hardware entschieden und die TPM-Version sollte automatisch erkannt werden
• Nach dem Windows Neustart ließ sich erneut Bitlocker nicht aktivieren
• Im nächsten Version habe ich im BIOS statt Hardware TPM das Software-TPM aktiviert
• Nach dem Windows Neustart legte Windows sofort los und ein Fortschrittsbalken zeigte mir, dass er arbeitet. Das habe ich dann abgebrochen (Wieso siehe Erklärung)
• Nach dem erneuten Windows Start, der weiterhin gelang, wollte ich jetzt wieder (wie gesagt, ist ein Forschungsprojekt) Bitlocker aktieren. Jetzt beschwert es sich plötzlich, dass die Startoption nicht passen würden.
• Frage:
  Was soll das denn jetzt? Nach einem Abbruch kann er nicht mehr von vorne aufsetzen?
  Im Grunde habe ich jetzt auf dem 2. Rechner den gleichen Status wie auf dem 1. Rechner. Für besonders schlau halte ich diese Logik nicht. Software sollte eigentlich immer so funktionieren, dass sie immer korrekt läuft oder aber es sollte eine plausibel Begründung geliefert werden bzw. eine Reparaturanweisung. Wenn mir im Word der Strom ausfällt und ich anschließend wieder in das Dokument gehe, dann bekomme ich es praktisch wieder angezeigt, zumindest bis zum letzten Sicherungspunkt. Wenn eine Banküberweisung abbricht, dann kann ich die wiederholen ohne die zu löschen. Na ja und davon gibt es ja noch viele weitere Beispiele

Erklärung:
Ich habe es deshalb abgebrochen weil ich in Erinnerung hatte, dass er eigentlich fragen sollte. Vielleicht hätte er das auch noch gemacht. Ich habe erwartet, dass er mir sagt mit welcher Art er verschlüsselt und das er mir für den Wiederherstellungsschlüssel eine Option anbietet. Vielleicht habe ich zu früh abgebrochen. Aber dann sollte denoch es anschließend wieder anlaufen.

Wie gesagt, ich finde das Verhalten sehr unlogisch :-(
Letztlich ist es mir also bei keinem der beiden Rechner gelungen das Hardware TPM zu verwenden.

Aber inzwischen habe ich auch zwei Artikel gefunden, die dokumentieren, dass Bitlocker ausgehebelt werden kann.

Bei der Verwendung von Bitlocker via TPM sollte man vor dem Start eine PIN oder Sicherheitsmedium mitgeben. Sonst lässt sich mit Hardwarekosten in Höhe von 22 Euro Bitlocker umgehen.

Dann gibt es noch einen Datenrettungsspezialist. Der wiederum behauptet in bestimmten Szenarien an die Daten zu kommen. Dafür muss aber das Laufwerk gemountet sein. Er nutzt wohl eine Lücke im Memory aus. Aber es würde auch das Image (z. B. Hybernatefile) reichen um einen Zugriff zu bekommen.

So oder so bin ich ziemlich enttäuscht und weiß nicht so Recht ob ich die Option, die wird funktionieren, mit dem USB-Stick jetzt aktiviere oder nicht.

So wichtig sind meine Daten jetzt auch wieder nicht

Beitrag automatisch zusammengeführt: 02.03.2021

Wau... ist das Thema komplex:
BitLocker-Gruppenrichtlinieneinstellungen (Windows 10) - Microsoft 365 Security

Ich habe es nämlich jetzt geschafft, dass er TPM erkennt. Er startet die Analyse und bricht dann ab, da ihm die Gruppenrichtlinien nicht passen. Aber habe ich jetzt wirklich Lust mich durch die 20 Punkte durchzuarbeiten?

 

[runit]

Ich kann es aus der Ferne immer nur begrenzt nachvollziehen, wenn ich das Gerät nicht kenne. Auch ist mein abstraktes Vorstellungsvermögen nicht unbedingt meine Stärke.

Um Bitlocker einzurichten, sollte man zuvor überlegen, wie man es machen möchte. Entscheidet man sich für TPM, muss man zuerst TPM im Bios aktivieren. Dann überlegt man sich, ob man eine weitere Sicherung einbaut (ich würde mindestens immer eine Pin einrichten). Dann sollte man sich schlau gemacht haben, wie genau man an seinem Gerät vorgehen muss. Dann sollte die Einrichtung von Bitlocker auf einem halbwegs zeitaktuellen Gerät eigentlich funktionieren.

So wichtig sind meine Daten jetzt auch wieder nicht

Diese Überlegung stelle ich zu allererst an - besteht für mich ein Bedarf, zu verschlüsseln, interne, externe/mobile Platten.

Da ich ein Single-Haushalt bin und z.Zt. ein stationäres Gerät habe mit einer externen Platte, die jedoch ausgeschaltet ist, wenn ich nicht gerade eine Daten- u. Systemsicherung laufen habe, habe ich für mich befunden, dass ich auf eine Verschlüsselung verzichten kann. Mein Laptop habe ich auch nicht verschlüsselt, da ich damit selten unterwegs bin. Wenn ich das mal wieder mehr nutze, neige ich jetzt dazu, dort Bitlocker zu aktivieren.

 

[WinSearch]

Das kann ich prima nachvollziehen. Mir geht das genauso. Ferndiagnosen sind schwierig. Die eher langen Beschreibungen, die ich machte, helfen dann vielleicht dennoch nicht, es aus der Ferne zu beurteilen.

Aber um es kurz auf den aktuellen Stand zu bringen:
TPM ist im BIOS aktiviert und zwar so, dass es von Windows 10 erkannt wird. Ich hatte ja sehr ausführlich beschrieben, dass das BIOS, übrigens beider Rechner, da Wahlmöglichkeiten erlaubt.

Eigentlich möchte ich "keine" weiteren SIcherheitsmerkmale aktivieren.

Windows 10 lässt mich aber nicht Bitlocker aktivieren weil ich wohl doch im Gruppenrichtlinieneditor tätig werden muss. Wie, das ist eben die Kritik, wird aber für Amateure nicht beschrieben. Microsoft geht offenbar davon aus, dass es Experten sind, die Bitlocker aktivieren. Auch die Microsoftseite, die ich in meinem Beitrag verlinkte, richtet sich, meiner Meinung nach, an Experten.

Das empfinde ich als frustrierend, wo doch sonst immer alles in Windows so denkbar einfach gemacht wurde.

Alleine schon der Umstand, dass man über den Gruppenrichtlinieneditor das konfigurieren darf steht überhaupt nicht in dem Popup wenn die Aktivierung fehlschlägt.

Weiterhin, ich kann es aber nur aus meinen Erfahrungen so mitteilen, ist es komplett undurchsichtig ob man im Nachgang weitere Sicherheitsmerkmale dazu fügen kann oder diese auswechseln kann. Also kann ich im Nachgang die PIN noch aktivieren oder wenn ich diese habe auf SMARTCARD wechseln?

Einzig und alleine was einfach zu sein scheint:

Im Gruppenrichtlinieneditor auf TPM komplett verzichten und USB als Referen erlauben und dann Bitlocker mit USB-Stick nutzen. Das scheint, zumindest hatte ich das so für mich erkannt, immer zu gehen. Aber dann, was ich leider überlesen hatte, darf dieser USB-Stick niemals verloren gehen und muss immer griffbereit sein.

Ich habe aber schon eine Idee wie ich weiter komme

Aber nicht mehr heute - Erst einmal vielen Dank soweit.

 

[runit]

Wenn man nach Anleitung vorgeht, sollte die Verschlüsselung nicht fehlschlagen.
BitLocker auf Windows 10: Festplatte richtig verschlüsseln

Die einzeln einzustellenden Gruppenrichtlinien sollte man unbedingt verstehen und erst dann wie gewünscht einstellen - und erst danach Bitlocker einrichten.

Im Nachhinein kann man eine eingerichtete Verschlüsselung nicht ändern/ergänzen. Man muss, so man etwas ändern will, Bitlocker deaktivieren und erneut einrichten.

Das empfinde ich als frustrierend, wo doch sonst immer alles in Windows so denkbar einfach gemacht wurde.

Naja, Win 10 Pro und die Gruppenrichtlinien sind m.E. nicht für den "normalen" Nutzer gedacht. In der Home-Version, die für den "normalen" Nutzer gedacht ist, sind die Gruppenrichtlinien und auch Bitlocker nicht verfügbar.

 

[WinSearch]

Das hatte ich doch bereits alles erwähnt.

Bitlocker ohne TPM zu installieren geht einfach.

Dazu gibt es, danke auch für diese Anleitungen, diverse Anleitungen im Netz.

Ich habe aber noch nicht wirklich eine brauchbare Anleitung gefunden wie man Bitlocker mit TPM bzw. ausschließlich mit TPM, also ganz explizit ohne Sicherheitsmedium (ob nun Zettel, USB-Stick, Microsoftkonto, Windowsdomäne) installiert.

 

[runit]

- steht doch genau in meinem Link. Den Schlüssel musst Du immer speichern. Du kannst ihn mit TPM als Datei in ein beliebiges Verzeichnis speichern. Weitere Optionen sind benannt. Das Speichern auf einem Zettel geht definitiv nicht. . Aber Du musst kein Sicherheitsmedium wie den Stick dafür verwenden. Er muss halt digital hinterlegt werden.

 

[WinSearch]

Hallo runit, bitte entschuldige, wir reden gerade aneinander vorbei oder ich bin gerade auf beiden Augen blind, weil ich gerade meine Arbeitsschicht beendet habe Ich finde in dem Link keine Anleitung wie man mit aktivierten TPM eine Verschlüsselung durchführt. Wenn eine Verschlüsselung mit TPM ebenso eine zusätzliche digitale Hinterlegung verlangt, dann sehe ich im Moment noch nicht wirklich den Nutzen in TPM. Vielleicht sehe ich das aber auch falsch. Ich bin der Auffassung wenn meine Hardware TPM anbietet, dann, so mein Verständnis, wird das an die Hardware gebunden. Wozu brauche ich dann eine zusätzliche digitale Signatur.

Ich kann verstehen, dass man bei TPM als zusätzliches Feature eine PIN oder eine SMARTCARD verlangt. Die PIN wäre dann beim Rechnerstart einzugeben. Aus uralten Zeiten kennt man die 4-stellige PIN um in das BIOS zu kommen. Hat kaum eine Privatperson genutzt und war sowieso in den alten BIOSen so schlecht implementiert, dass man da mit generischen Passwörtern immer herein gekommen ist.

In meinem aktuellen BIOS kann ich einen PIN mit bis zu 20 Stellen aktivieren. Das ist aber aktuell deaktiviert.

Mein Problem aktuell ist und bleibt und dazu habe ich nach wie vor keine Lösung gefunden, dass Windows TPM erkennt aber der Meinung ist, dass in den Gruppenrichtlinien die Konfiguration nicht passt. Es will mir aber nicht sagen, was da nicht passt.

Da ich aber keine Anleitung finde (wie gesagt Tomaten?), die beschreibt wie man mit TPM ohne zusätzliche digitale Hinterlegung (USB, DOMÄNE, DATEI, MICROSOFTKONTO) das Betriebssystemlaufwerk verschlüsselt, stehe ich auf dem Schlauch.

Das erzähle ich jetzt gefühlt die letzten 3 oder 4 Nachrichten

Ich suche einfach weiter. Irgendwann werde ich irgendwie herausfinden wie das geht.

Beitrag automatisch zusammengeführt: 02.03.2021

Nur zur Ergänzung was Microsoft schreibt:
BitLocker-Laufwerkverschlüsselung (nur verfügbar unter Windows 10 Pro oder Windows 10 Enterprise) erfordert ein Trusted Platform Module (TPM) 1.2 oder höher sowie ein TCG-kompatibles (Trusted Computing Group) BIOS oder UEFI. BitLocker kann auch auf Geräten ohne TPM verwendet werden, jedoch müssen Sie den Startschlüssel auf einem Wechseldatenträger, z. B. einem USB-Speicherstick, ablegen. Wenn Sie den lokalen
Datenträger automatisch verschlüsseln wollen, wenn Sie ein Gerät zu Azure Active Directory (AAD) hinzufügen, ist Unterstützung für TPM 2.0 und InstantGo erforderlich. Ob Ihr Gerät die richtige TPM-Version sowie InstantGo für das vorliegende Szenario unterstützt, erfahren Sie von Ihrem PC-Hersteller.


Meine Interpretation:
Falls TPM, dann ist kein weiteres Medium erforderlich. Das klappt bei mir aber irgendwie nicht.

 

[runit]

Der Schlüssel dient mit TPM alleinig der Wiederherstellung. Dafür muss er hinterlegt werden, gemäß den Vorgaben von MS.

Von Smartcard als Option habe ich nirgendwo gelesen. Dieses Medium zu nutzen würde ich daher ausschließen und gar nicht erst in Erwägung ziehen.

Ja, wenn der Rechner startet, würdest Du die Pin eingeben müssen. Diese Option muss in den Gruppenrichtlinien aktiviert werden. Wenn Du im Bios 20 Stellen festlegst, musst Du das genauso in den Gruppenrichtlinien tun, (Standard sind dort 4 Stellen) oder es dort alleinig festlegen. Beim Einrichten von Bitlocker sollte dann ein Fenster erscheinen, wo Du diese festlegst.

Ich weiß nun nicht, was Du in den Gruppenrichtlinien bereits eingestellt hast. Ich würde Alles auf Anfang (nicht konfiguriert) zurückstellen in den Gruppenrichtlinien und dann noch mal Einstellung für Einstellung durchgehen.