Bitlocker - USB wird verlangt

[WinSearch]

Genauso bin ich vorgegangen. Bilder sagen mehr als 1000 Worte

Ergebnis: Es geht nicht :-(

Erklärung von Microsoft im Gruppenrichtlinieneditor, dass eine Verschlüsselung auch ausschließlich mit TPM geht ohne weitere Authentifizierungsmethoden nutzen zu müssen.

Hier die manigfaltigen Konfigurationen für die Bitlocker-Verschschlüsselung und welche, das ist die, die man immer im Netz findet, aktiviert ist.

Die tatsächliche Konfiguration: TPM sonst nichts - aber es funktioniert nicht

 

[runit]

Ich habe jetzt mal Laufwerk C verschlüsselt, um Dir zeigen zu können, mit welchen Einstellungen es funktioniert. Ich habe C mit Pin-Eingabe eingerichtet. Die Pin muss mindestens 6 Zeichen haben. Im Bios habe ich nur geprüft, ob TPM aktiviert ist, was man ja aber auch im Gerätemanager sehen kann, wollte da nur die Sicherheit noch haben.

Ich habe folgende Einstellungen in der GPO

Das sieht schon etwas anders als bei Dir aus.

Wenn Du jetzt zu aktivierten Einstellungen alle oder bestimmte Fenster mit Einstellungen sehen möchtest, mache ich Screens davon und zeige sie Dir. So wie ich es eingestellt habe, funktioniert es jedenfalls.

 

[WinSearch]

Hey klasse! Das wäre super wenn Du die Einzelkonfigurationen auch nochmal schicken könntest

 

[runit]

ok. Hier sind die Screens
- Ich meine, die Einstellungen auf Screen 2 können auch nicht konfiguriert sein. Lt. Beschreibung sollten sie entbehrlich sein. Ich habe sie halt sicherheitshalber konfiguriert.^^

Ich meine, die Einstellungen auf Screen 2 können auch nicht konfiguriert sein. Lt. Beschreibung sollten sie entbehrlich sein. Ich habe sie halt sicherheitshalber konfiguriert.^^

Ich glaube, der Fehler in Deiner Konfiguration ist, Du hast "zusätzliche Authenfizierung beim Start anfordern" festgelegt, aber jede Option dafür abgestellt.

 

[runit]

ok. Hier sind die Screens
- Ich meine, die Einstellungen auf Screen 2 können auch nicht konfiguriert sein. Lt. Beschreibung sollten sie entbehrlich sein. Ich habe sie halt sicherheitshalber konfiguriert.^^


Anhang anzeigen 40521

Ich meine, die Einstellungen auf Screen 2 können auch nicht konfiguriert sein. Lt. Beschreibung sollten sie entbehrlich sein. Ich habe sie halt sicherheitshalber konfiguriert.^^

Anhang anzeigen 40522

Anhang anzeigen 40523

Anhang anzeigen 40524

Anhang anzeigen 40525

Anhang anzeigen 40526

Anhang anzeigen 40527

Anhang anzeigen 40528

Ich glaube, der Fehler in Deiner Konfiguration ist, Du hast "zusätzliche Authenfizierung beim Start anfordern" festgelegt, aber jede Option dafür abgestellt.

 

[WinSearch]

Entschuldigung, dass ich erst jetzt schreibe. In der Tat ist es eine Kombination der zusätzlichen Konfigurationsmöglichkeiten. In irgendeinem Post hatte ich ja auf die komplexe Beschreibung auf einer der Microsoftseiten hingewiesen und mich darüber beschwert, dass es da kein einfaches Anwendungsbeispiel gibt.

Wenn ich die Eigenschaft "zusätzliche Authentifizierung beim Start anfordern" deaktiviere oder nicht konfiguriere ist Windows 10 Pro nicht in der Lage aus der Tatsache heraus, dass ein HARDWARE TPM vorgefunden wird eine Betriebssystemlaufwerksverschlüsselung zu starten. Es besteht dann darauf, dass die Startoptionen nicht korrekt konfiguriert wären.

Wenn ich diese hingegen aktiviere und dort dann die Auswahl nur TPM, keine PIN und kein Systemstartschlüssel aktiviere, reicht das Windows 10 Pro immer noch nicht aus. Es meckert erneut, dass die Startoptionen nicht korrekt konfiguriert wären.

Wenn ich jetzt aber zusätzlich die Eigenschaft "Verwendung der hardwarebsiereten Verschlüsselung für Betriebssystemlaufwerke" aktiviere und dort die softwarebasierte Verschlüsselung erlaube, wenn keine hardwarebasierte Verschlüsselung vorgefunden wird, aktiviere, dann meckert Windows 10 Pro nicht, will aber wieder auf einem USB-Laufwerk eine Schlüsseldatei erstellen.

Das ist ja nicht, was ich wünsche.

Wenn ich diese Option der Softwareverschlüsselung deaktiviere und erneut versuche das Betriebssystemlaufwerk zu verschlüsseln ändert sich die Fehlermeldung nun in:

"Bitlocker wurde aufgrund der Konfiguration der Gruppenrichtlinie nicht auf die Verwendung der Bitlocker-Softwareverschlüsselung zurückgesetzt"

Mit anderen Worten, das Laufwerk kann wieder nicht verschlüsselt werden.

Ich habe also nach wie vor keine Kombination gefunden in welcher ich ausschließlich durch das TPM in der Hardware eine Verschlüsselung erzwingen kann.

Kurios ist, dass es im Netz genügend Meldungen von Kunden vorinstallierter Computer gibt, die überhaupt nicht wussten, dass ihr Betriebssystemlaufwerk verschlüsselt ist und dann später ein Problem bekommen haben, weil sie diesen Wartungsschlüssel, diese irre lange Ziffernkombination, nicht griffbereit hatten.

Daraus folgere ich, dass es eine Möglichkeit geben muss ohne PIN, ohne USB-Laufwerk bzw. digitalem zusätzlichen Schlüssel ein Betriebssystemlaufwerk mit Bitlocker zu verschlüsseln.

Na ja, nach wie vor ist also das Thema nicht befriedigend, für mich gelöst. Jeder Zeit, kein Problem, bekomme ich das mit diesem USB-Sicherheitsmedium hin. Da muss man sich keinen großen Kopf machen.

Aber ich will das es ausschließlich aus Hardware heraus geht.

 

[runit]

Wenn Du nur TPM-Bitlocker ohne weitere Optionen aktivieren möchtest, halte ich es für logisch, "Zusätzliche Authentifizierung beim Start anfordern" zu deaktivieren. Alle weiteren Einstellungen müssen dann dazu passen. Aus den Beschreibungen rechts in den Fenstern der einzelnen Einstellungen geht m.E. immer genau hervor, was aktivieren/deaktivieren/nicht konfigurieren bewirkt.

Ich möchte das jetzt nicht für Dich testen, da ich ja bereits mein Laufwerk (extra für Dich ) verschlüsselt habe. Das bleibt jetzt erstmal so. Das Ver- u. Entschlüsseln dauert eine Weile, wie auch alles wieder umzukonfigurieren. Das ist mir gerade zu aufwendig. Und wenn ich das nicht durchteste, kann ich Dir ja keine ultimative korrekte Antwort geben.

Mal eine Frage anbei: Warum möchtest Du Dein Laufwerk verschlüsseln, wobei Bitlocker nur die Hardware prüfen soll? Der einzige Schutz für Dich hierbei ist, dass Jemand, der Deine Platte ausbaut und an einem anderen Gerät anschließt, zunächst eine verschlüsselte Platte vorfindet. Auch mit einem Bootmedium könnte man nicht direkt auf die Platte zugreifen, aber durchaus ihren Start initiieren, wofür aber auch schon der Startknopf des PC genügen würde. Ist denn diese gefahrvolle Situation bei Dir latent gegeben, sodass Du ihr mit der Maßnahme begegnen möchtest? Diebe bauen in der Regel nicht erst eine Festplatte aus, die nehmen zumeist den ganzen PC mit. Sie hätten so bei Deiner Methode trotzdem Zugriff auf Deine Platte. Viel näher liegt doch der Bedarf, den PC vor fremdem Zugriff zu schützen. Dies erreicht man eben mit einem zusätzlichen Sicherheitsmerkmal, wie ich es bereits dokumentierte, wie aber auch bereits mit einem Kennwort oder einer Pin bei der Anmeldung von Win.

 

[WinSearch]

Na, ich glaube ich habe die Ursache gefunden. In Windows 10 kann man das folgende Menü finden. Dazu gibt man Sicherheitschip ein.

Weitere Recherche im Netz erbrachte dann folgenden Hinweis: Zwar mag die Hardware die TPM-Spezifikation für die Bitlockerverschlüsselung erfüllen, aber es ist überhaupt kein TPM-Modul verbaut. Was dann auch tatsächlich durch die Beschreibung zum Motherboard bestätigt wird. Daher kann das gar nicht funktionieren

Rätsel gelöst

Ist leider vergriffen :-( TMP 14-1 wird wohl benötigt.

 

[runit]

Na Du bist ja lustig

Natürlich prüft man zuerst, ob der Chip vorhanden ist. Das steht sowohl in der Anleitung, alsauch ich habe das angeführt, als ich meine Config dokumentierte.

Aber danke, dass Du das aufgeklärt und berichtet hast. Nun gut, damit ist Dein Thema wohl abgeschlossen.

 

[WinSearch]

Auf die einfachsten Dinge kommt man zum Schluss Wie konnte ich ahnen, dass in einem "Edel-Motherboard" TPM angeboten wird, aber der Chip extra gekauft werden muss. Beim Kauf wäre es mir so etwas von egal gewesen, wenn dadurch das Board 3 Euro teurer geworden ist. Aber nun ja... nichts ist ärgerlicher als ein Problem nicht lösen zu können. Dieses ist nun gelöst.

Vielen Dank für die unermüdliche Unterstützung.