Bitlocker - USB wird verlangt

Diskutiere Bitlocker - USB wird verlangt im Windows 10 Sicherheit Forum im Bereich Windows 10 Foren; Genauso bin ich vorgegangen. Bilder sagen mehr als 1000 Worte :-) Ergebnis: Es geht nicht :-( Erklärung von Microsoft im...

WinSearch

Erfahrener Benutzer
Threadstarter
Dabei seit
14.08.2015
Beiträge
379
Version
Windows 10 Pro
System
Intel I7, 16GB, 1080TI
Genauso bin ich vorgegangen. Bilder sagen mehr als 1000 Worte :-)

Ergebnis: Es geht nicht :-(

Fehler.JPG


Erklärung von Microsoft im Gruppenrichtlinieneditor, dass eine Verschlüsselung auch ausschließlich mit TPM geht ohne weitere Authentifizierungsmethoden nutzen zu müssen.

Hinweis.JPG


Hier die manigfaltigen Konfigurationen für die Bitlocker-Verschschlüsselung und welche, das ist die, die man immer im Netz findet, aktiviert ist.

Konfiguration.JPG


Die tatsächliche Konfiguration: TPM sonst nichts - aber es funktioniert nicht

Konfiguration2.JPG
 

runit

Erfahrener Benutzer
Dabei seit
18.11.2015
Beiträge
8.611
Version
.............20H2 Pro 64 bit Build 19042.928
System
Desktop HP 290 G2, CPU i5 8500, Ram 8 GB DDR4-2666, M2 NVMe EVO 980 PRO 1 TB, Intel Graphic UHD 630
Ich habe jetzt mal Laufwerk C verschlüsselt, um Dir zeigen zu können, mit welchen Einstellungen es funktioniert. Ich habe C mit Pin-Eingabe eingerichtet. Die Pin muss mindestens 6 Zeichen haben. Im Bios habe ich nur geprüft, ob TPM aktiviert ist, was man ja aber auch im Gerätemanager sehen kann, wollte da nur die Sicherheit noch haben.

Ich habe folgende Einstellungen in der GPO

bitlocker 02.jpg


Das sieht schon etwas anders als bei Dir aus.

bitlocker 01.jpg


Wenn Du jetzt zu aktivierten Einstellungen alle oder bestimmte Fenster mit Einstellungen sehen möchtest, mache ich Screens davon und zeige sie Dir. So wie ich es eingestellt habe, funktioniert es jedenfalls.
 

WinSearch

Erfahrener Benutzer
Threadstarter
Dabei seit
14.08.2015
Beiträge
379
Version
Windows 10 Pro
System
Intel I7, 16GB, 1080TI
Hey klasse! Das wäre super wenn Du die Einzelkonfigurationen auch nochmal schicken könntest :-)
 

runit

Erfahrener Benutzer
Dabei seit
18.11.2015
Beiträge
8.611
Version
.............20H2 Pro 64 bit Build 19042.928
System
Desktop HP 290 G2, CPU i5 8500, Ram 8 GB DDR4-2666, M2 NVMe EVO 980 PRO 1 TB, Intel Graphic UHD 630
ok. Hier sind die Screens
- Ich meine, die Einstellungen auf Screen 2 können auch nicht konfiguriert sein. Lt. Beschreibung sollten sie entbehrlich sein. Ich habe sie halt sicherheitshalber konfiguriert.^^


gpo 01.jpg


Ich meine, die Einstellungen auf Screen 2 können auch nicht konfiguriert sein. Lt. Beschreibung sollten sie entbehrlich sein. Ich habe sie halt sicherheitshalber konfiguriert.^^

gpo 02.jpg


gpo 03.jpg


gpo 04.jpg


gpo 05.jpg


gpo 06.jpg


gpo 07.jpg


gpo 08.jpg


Ich glaube, der Fehler in Deiner Konfiguration ist, Du hast "zusätzliche Authenfizierung beim Start anfordern" festgelegt, aber jede Option dafür abgestellt.
 
Zuletzt bearbeitet:

runit

Erfahrener Benutzer
Dabei seit
18.11.2015
Beiträge
8.611
Version
.............20H2 Pro 64 bit Build 19042.928
System
Desktop HP 290 G2, CPU i5 8500, Ram 8 GB DDR4-2666, M2 NVMe EVO 980 PRO 1 TB, Intel Graphic UHD 630
ok. Hier sind die Screens
- Ich meine, die Einstellungen auf Screen 2 können auch nicht konfiguriert sein. Lt. Beschreibung sollten sie entbehrlich sein. Ich habe sie halt sicherheitshalber konfiguriert.^^


Anhang anzeigen 40521

Ich meine, die Einstellungen auf Screen 2 können auch nicht konfiguriert sein. Lt. Beschreibung sollten sie entbehrlich sein. Ich habe sie halt sicherheitshalber konfiguriert.^^

Anhang anzeigen 40522

Anhang anzeigen 40523

Anhang anzeigen 40524

Anhang anzeigen 40525

Anhang anzeigen 40526

Anhang anzeigen 40527

Anhang anzeigen 40528

Ich glaube, der Fehler in Deiner Konfiguration ist, Du hast "zusätzliche Authenfizierung beim Start anfordern" festgelegt, aber jede Option dafür abgestellt.
 

WinSearch

Erfahrener Benutzer
Threadstarter
Dabei seit
14.08.2015
Beiträge
379
Version
Windows 10 Pro
System
Intel I7, 16GB, 1080TI
Entschuldigung, dass ich erst jetzt schreibe. In der Tat ist es eine Kombination der zusätzlichen Konfigurationsmöglichkeiten. In irgendeinem Post hatte ich ja auf die komplexe Beschreibung auf einer der Microsoftseiten hingewiesen und mich darüber beschwert, dass es da kein einfaches Anwendungsbeispiel gibt.

Wenn ich die Eigenschaft "zusätzliche Authentifizierung beim Start anfordern" deaktiviere oder nicht konfiguriere ist Windows 10 Pro nicht in der Lage aus der Tatsache heraus, dass ein HARDWARE TPM vorgefunden wird eine Betriebssystemlaufwerksverschlüsselung zu starten. Es besteht dann darauf, dass die Startoptionen nicht korrekt konfiguriert wären.

Wenn ich diese hingegen aktiviere und dort dann die Auswahl nur TPM, keine PIN und kein Systemstartschlüssel aktiviere, reicht das Windows 10 Pro immer noch nicht aus. Es meckert erneut, dass die Startoptionen nicht korrekt konfiguriert wären.

Wenn ich jetzt aber zusätzlich die Eigenschaft "Verwendung der hardwarebsiereten Verschlüsselung für Betriebssystemlaufwerke" aktiviere und dort die softwarebasierte Verschlüsselung erlaube, wenn keine hardwarebasierte Verschlüsselung vorgefunden wird, aktiviere, dann meckert Windows 10 Pro nicht, will aber wieder auf einem USB-Laufwerk eine Schlüsseldatei erstellen.

Das ist ja nicht, was ich wünsche.

Wenn ich diese Option der Softwareverschlüsselung deaktiviere und erneut versuche das Betriebssystemlaufwerk zu verschlüsseln ändert sich die Fehlermeldung nun in:

"Bitlocker wurde aufgrund der Konfiguration der Gruppenrichtlinie nicht auf die Verwendung der Bitlocker-Softwareverschlüsselung zurückgesetzt"

Mit anderen Worten, das Laufwerk kann wieder nicht verschlüsselt werden.

Ich habe also nach wie vor keine Kombination gefunden in welcher ich ausschließlich durch das TPM in der Hardware eine Verschlüsselung erzwingen kann.

Kurios ist, dass es im Netz genügend Meldungen von Kunden vorinstallierter Computer gibt, die überhaupt nicht wussten, dass ihr Betriebssystemlaufwerk verschlüsselt ist und dann später ein Problem bekommen haben, weil sie diesen Wartungsschlüssel, diese irre lange Ziffernkombination, nicht griffbereit hatten.

Daraus folgere ich, dass es eine Möglichkeit geben muss ohne PIN, ohne USB-Laufwerk bzw. digitalem zusätzlichen Schlüssel ein Betriebssystemlaufwerk mit Bitlocker zu verschlüsseln.

Na ja, nach wie vor ist also das Thema nicht befriedigend, für mich gelöst. Jeder Zeit, kein Problem, bekomme ich das mit diesem USB-Sicherheitsmedium hin. Da muss man sich keinen großen Kopf machen.

Aber ich will das es ausschließlich aus Hardware heraus geht.
 

runit

Erfahrener Benutzer
Dabei seit
18.11.2015
Beiträge
8.611
Version
.............20H2 Pro 64 bit Build 19042.928
System
Desktop HP 290 G2, CPU i5 8500, Ram 8 GB DDR4-2666, M2 NVMe EVO 980 PRO 1 TB, Intel Graphic UHD 630
Wenn Du nur TPM-Bitlocker ohne weitere Optionen aktivieren möchtest, halte ich es für logisch, "Zusätzliche Authentifizierung beim Start anfordern" zu deaktivieren. Alle weiteren Einstellungen müssen dann dazu passen. Aus den Beschreibungen rechts in den Fenstern der einzelnen Einstellungen geht m.E. immer genau hervor, was aktivieren/deaktivieren/nicht konfigurieren bewirkt.

Ich möchte das jetzt nicht für Dich testen, da ich ja bereits mein Laufwerk (extra für Dich ;) ) verschlüsselt habe. Das bleibt jetzt erstmal so. Das Ver- u. Entschlüsseln dauert eine Weile, wie auch alles wieder umzukonfigurieren. Das ist mir gerade zu aufwendig. :D Und wenn ich das nicht durchteste, kann ich Dir ja keine ultimative korrekte Antwort geben.

Mal eine Frage anbei: Warum möchtest Du Dein Laufwerk verschlüsseln, wobei Bitlocker nur die Hardware prüfen soll? Der einzige Schutz für Dich hierbei ist, dass Jemand, der Deine Platte ausbaut und an einem anderen Gerät anschließt, zunächst eine verschlüsselte Platte vorfindet. Auch mit einem Bootmedium könnte man nicht direkt auf die Platte zugreifen, aber durchaus ihren Start initiieren, wofür aber auch schon der Startknopf des PC genügen würde. Ist denn diese gefahrvolle Situation bei Dir latent gegeben, sodass Du ihr mit der Maßnahme begegnen möchtest? Diebe bauen in der Regel nicht erst eine Festplatte aus, die nehmen zumeist den ganzen PC mit. Sie hätten so bei Deiner Methode trotzdem Zugriff auf Deine Platte. Viel näher liegt doch der Bedarf, den PC vor fremdem Zugriff zu schützen. Dies erreicht man eben mit einem zusätzlichen Sicherheitsmerkmal, wie ich es bereits dokumentierte, wie aber auch bereits mit einem Kennwort oder einer Pin bei der Anmeldung von Win.
 
Zuletzt bearbeitet:

WinSearch

Erfahrener Benutzer
Threadstarter
Dabei seit
14.08.2015
Beiträge
379
Version
Windows 10 Pro
System
Intel I7, 16GB, 1080TI
Na, ich glaube ich habe die Ursache gefunden. In Windows 10 kann man das folgende Menü finden. Dazu gibt man Sicherheitschip ein.

tpm.JPG

Weitere Recherche im Netz erbrachte dann folgenden Hinweis: Zwar mag die Hardware die TPM-Spezifikation für die Bitlockerverschlüsselung erfüllen, aber es ist überhaupt kein TPM-Modul verbaut. Was dann auch tatsächlich durch die Beschreibung zum Motherboard bestätigt wird. Daher kann das gar nicht funktionieren

tpmmodul.JPG

Rätsel gelöst :-)


tpmmodul kaufen.JPG

Ist leider vergriffen :-( TMP 14-1 wird wohl benötigt.

Specs.JPG
 
Zuletzt bearbeitet:

runit

Erfahrener Benutzer
Dabei seit
18.11.2015
Beiträge
8.611
Version
.............20H2 Pro 64 bit Build 19042.928
System
Desktop HP 290 G2, CPU i5 8500, Ram 8 GB DDR4-2666, M2 NVMe EVO 980 PRO 1 TB, Intel Graphic UHD 630
Na Du bist ja lustig :D

Natürlich prüft man zuerst, ob der Chip vorhanden ist. Das steht sowohl in der Anleitung, alsauch ich habe das angeführt, als ich meine Config dokumentierte.

Aber danke, dass Du das aufgeklärt und berichtet hast. Nun gut, damit ist Dein Thema wohl abgeschlossen.
 

WinSearch

Erfahrener Benutzer
Threadstarter
Dabei seit
14.08.2015
Beiträge
379
Version
Windows 10 Pro
System
Intel I7, 16GB, 1080TI
Auf die einfachsten Dinge kommt man zum Schluss :-) Wie konnte ich ahnen, dass in einem "Edel-Motherboard" TPM angeboten wird, aber der Chip extra gekauft werden muss. Beim Kauf wäre es mir so etwas von egal gewesen, wenn dadurch das Board 3 Euro teurer geworden ist. Aber nun ja... nichts ist ärgerlicher als ein Problem nicht lösen zu können. Dieses ist nun gelöst.

Vielen Dank für die unermüdliche Unterstützung.
 
Thema:

Bitlocker - USB wird verlangt

Bitlocker - USB wird verlangt - Ähnliche Themen

Entsperren von Bitlocker-verschlüsseltem Laufwerk gelingt mit korrektem Wiederherstellungsschlüssel nicht: Guten Tag, ich habe heute begonnen, mein Datenlaufwerk D:, das aus einem Storage Space aus zwei 4TB-Laufwerken besteht, mit BitLocker zu...
Bitlocker-verschlüsselter USB-Stick lässt sich unter Windows 7 nicht öffnen: Hallo Fiorum! ich habe einen 4-GByte-USB-Stick unter Windwos 10 mit Bitlocker verschlüsselt. Es handelt sich um ein Thinkpad Notepad. Die Kennung...
Windows 10 Home Fehler und Bitlocker Verschlüsselung: Hallo liebe Microsoft Community, ich habe ein Problem mit meinem Windows 10 Home. Vor ein paar Wochen wollte ich den Laptop starten und kam nach...
USB-Stick meldet sich ab: Gude! Ich arbeite auf einem USB-Stick, auf dem meine Daten (auch pst-Dateien von Outlock usw.) liegen. Dieser ist auch mit Bitlocker...
Bluescreen wegen watchdog violation! Neu Aufsetzen via USB Stick: Hallo, ich hoffe ihr könnt mir helfen: Ich habe seit ca. einem Monat das Problem bei meinem PC, dass plötzlich der Bildschirm...
Oben