WIN10 pro Bitlocker mit zusätzlicher PIN-Abrage

4nn4

Lt. Junior Grade
Registriert
März 2015
Beiträge
371
Hallo,

ich habe gerade gem. dieser Anleitung

https://www.tecchannel.de/a/zusaetz...tlocker-beim-windows-start-einrichten,3277851

versucht, beim Systemstart meines TP X220 einen PW-Abfrage zu veranlassen.

Bei Punkt 3 "Ändern, wie das Laufwerk beim Start entsperrt wird. " komme ich nicht weiter, da folgende Meldung kommt
"Die Gruppenrichtlinieneinstellung für Bitlocker-Startoptionen stehen in Konflikt und können nicht angewendet werden. Weitere Info erhalten Sie von Systemadmin."

Wie komme ich hier weiter, sodass ich ein PW definieren kann?

Danke für Tipps!
 
Du kannst TPM im Bios deaktiveren. Danach muss ganz normal das gesetzte Bitlocker PW eingegeben werden.

TPM deaktivieren, Boot auf Legacy.
 
Sun_set_1 schrieb:
Du kannst TPM im Bios deaktiveren. Danach muss ganz normal das gesetzte Bitlocker PW eingegeben werden.

TPM deaktivieren, Boot auf Legacy.

Also dass ich das richtig verstehe:

Ich SOLL jetzt TPM im BIOS deaktivieren, dann sollte bzgl. o. g. Schritt 3 (DEFINITION eines PW) der "Konflikt" beseitigt sein?
 
bl1.PNG

Das hier?
Ergänzung ()

Könnte es irgendwas mit "Admin"-Einstellungen zu tun haben?
 
Also ich habe das ja lt. Anweisung (s.o. Link) gemacht, daher sollte es doch mit diesen Einstellunge klappen.

Wo finde ich heraus, ob mein X220 ein TPM-Modul hat?
 
Ja, das ist ein X220.

Ist es dann gerade nicht unsinnig, TPM zu verbieten?

Die Frage ist ja, wo dieser ominöse KOnflikt her kommt?
 
TPM enthält den Code zum entsperren des Laufwerks. Du möchtest aber nun ohne auto-pw hochfahren. Ergo muss TPM deaktiviert werden.

Wenn das BIOS aber TPM aktiviert hat, erkennt Windows dies und lässt die Deaktivierung von TPM im Betriebssystem logischer Weise nicht zu.
Jetzt ist die Frage wie Bitlocker arbeitet. Wenn Du mit TPM verschlüsselt hast, kann ich mir vorstellen dass Du nach deaktivierung von TPM im Bios zumindest beim ersten hochfahren den kompletten Schlüssel (nicht das PW, sondern den Schlüssel - Code) eingeben musst.

Den solltest Du also, bevor du irgendwas machst, aufschreiben. Wenn TPM dann im BIOS-UEFI deaktiviert ist, sollte auch die Richtlinie danach nicht mehr meckern. Nachdem Boot kannst Du dann auch einen PIN respektive Passwort für Bitlocker festlegen, damit Du nicht jedes mal den langen Code eingeben musst.
 
Zuletzt bearbeitet:
Sun_set_1 schrieb:
TPM enthält den Code zum entsperren des Laufwerks. Du möchtest aber nun ohne auto-pw hochfahren. Ergo muss TPM deaktiviert werden.

Wenn das BIOS aber TPM aktiviert hat, erkennt Windows dies und lässt die Deaktivierung von TPM im Betriebssystem logischer Weise nicht zu.
Jetzt ist die Frage wie Bitlocker arbeitet. Wenn Du mit TPM verschlüsselt hast, kann ich mir vorstellen dass Du nach deaktivierung von TPM im Bios zumindest beim ersten hochfahren den kompletten Schlüssel (nicht das PW, sondern den Schlüssel - Code) eingeben musst.

Den solltest Du also, bevor du irgendwas machst, aufschreiben. Wenn TPM dann im BIOS-UEFI deaktiviert ist, sollte auch die Richtlinie danach nicht mehr meckern. Nachdem Boot kannst Du dann auch einen PIN respektive Passwort für Bitlocker festlegen, damit Du nicht jedes mal den langen Code eingeben musst.

Danke!

Der Reihe nach:

Ich habe jetzt neu gestartet und bin ins BIOS. Der Terminus "TPM" habe ich nirgendwo gefunden. Nachfolgend ein paar Einstellungen, die ich nicht verändert habe:

20171208_172746.jpg
20171208_172757.jpg
20171208_172813.jpg
20171208_172842.jpg

Obwohl ich nichts geändert habe und die Einstellungen nach wie vor so sind, wie es die obigen anleitung aus dem Link vorgaben, wurde vor dem Laden von WIN der Wiederherstellungsschlüssel abgefragt.

Den habe ich eingegeben, und habe dann folgende Richtlinien eingegeben:

20171208_173648.jpg

Dann wieder gebootet, diesmal keine Schlüssel-Abfrage.
Dann in der Bitlocker verwaltung Klick auf
"Ändern, wie das Laufwerk beim Start entsperrt wird. "
Es erscheint wieder die Meldung
"Die Gruppenrichtlinieneinstellung für Bitlocker-Startoptionen stehen in Konflikt und können nicht angewendet werden. Weitere Info erhalten Sie von Systemadmin."

- Habe ich jetz bei den Richtlinien wieder was falsch eingegeben?
- Und weisen meine BIOS-Screenshots darauf hin, dass mein NB doch kein TPM hat? Oder läuft das einfach unter "Security protection" oder so was?
- Und warum wurde eigentlich das eine Mal der Schlüssel abgefragt?
 
Das sollte die Option mit Security Chip sein, die muss off.
Dann noch unter Boot auf Legacy stellen.
 
Hallo,

der Beitrag ist zwar schon etwas älter, aber ich habe es so gelöst:

1) Bitlocker wurde ganz normal mit TPM-Modul aktiviert -> Keine Eingabe eines zusätzlichen PIN
2) In der GPO "Zusätzliche Authentifizierung beim Start anfordern" folgende Einstellungen gesetzt:
- TPM-Start konfigurieren: TPM zulassen
- TPM-Systemstart-PIN konfigurieren: Systemstart-PIN bei TPM zulassen
3) Anschließend konnte ich in der BitLocker Laufwerksverschlüsselung eine PIN vergeben ("Ändern, wie das Laufwerk beim Start entsperrt wird").

Vielleicht hilft das dem ein oder anderen noch.
 
  • Gefällt mir
Reaktionen: Googli, Paddii und MrSlainkoenig
Surabla schrieb:
Hallo,

der Beitrag ist zwar schon etwas älter, aber ich habe es so gelöst:

1) Bitlocker wurde ganz normal mit TPM-Modul aktiviert -> Keine Eingabe eines zusätzlichen PIN
2) In der GPO "Zusätzliche Authentifizierung beim Start anfordern" folgende Einstellungen gesetzt:
  • TPM-Start konfigurieren: TPM zulassen
  • TPM-Systemstart-PIN konfigurieren: Systemstart-PIN bei TPM zulassen
3) Anschließend konnte ich in der BitLocker Laufwerksverschlüsselung eine PIN vergeben ("Ändern, wie das Laufwerk beim Start entsperrt wird").

Vielleicht hilft das dem ein oder anderen noch.

Genau! Ganz wichtig für alle die mitlesen. System nach den Einstellungen in der GPO neu starten. Danach lässt sich ein PIN eingeben.
 
Hallo liebe Forenmitglieder,

Vielen Dank für den obigen Tipp, hatte zuerst eine falsche Einstellung durch einen anderslautenden Artikel auf tecchannel. Danke @Surabla.

Auch noch wichtig: Passwortlänge erhöhen und Sonderzeichen zulassen. Dazu Richtlinien, wie im obigen Tecchannel-Artikel (Beitrag Nr. 1) aufrufen und:
  • Erweiterte PINs für Systemstart zulassen ("aktivieren")
  • Minimale PIN-Länge für Systemstart konfigurieren ("zulassen) = Zuvor Ziffern für die Länge des Passwortes zählen und z.B. 12 im Fenster eingeben
  • Dringender Rat: Wiederherstellungsschlüssel aufbewahren bzw. auf USB-Stick verschlüsselt ablegen (z.B. via Veracrypt oder auf verschlüsselten Sicherungsdatenträger)

Herzlichen Dank für dieses Forum. :)
 
Zurück
Oben