ComputerBase Menü
Aktuelles

WIN10 pro Bitlocker mit zusätzlicher PIN-Abrage

4

4nn4

Lt. Junior Grade
Registriert
März 2015
Beiträge
371
Hallo,

ich habe gerade gem. dieser Anleitung

https://www.tecchannel.de/a/zusaetz...tlocker-beim-windows-start-einrichten,3277851

versucht, beim Systemstart meines TP X220 einen PW-Abfrage zu veranlassen.

Bei Punkt 3 "Ändern, wie das Laufwerk beim Start entsperrt wird. " komme ich nicht weiter, da folgende Meldung kommt
"Die Gruppenrichtlinieneinstellung für Bitlocker-Startoptionen stehen in Konflikt und können nicht angewendet werden. Weitere Info erhalten Sie von Systemadmin."

Wie komme ich hier weiter, sodass ich ein PW definieren kann?

Danke für Tipps!
 
Du kannst TPM im Bios deaktiveren. Danach muss ganz normal das gesetzte Bitlocker PW eingegeben werden.

TPM deaktivieren, Boot auf Legacy.
 
Sun_set_1 schrieb:
Du kannst TPM im Bios deaktiveren. Danach muss ganz normal das gesetzte Bitlocker PW eingegeben werden.

TPM deaktivieren, Boot auf Legacy.
Zum Vergrößern anklicken....

Also dass ich das richtig verstehe:

Ich SOLL jetzt TPM im BIOS deaktivieren, dann sollte bzgl. o. g. Schritt 3 (DEFINITION eines PW) der "Konflikt" beseitigt sein?
 
bl1.PNG

Das hier?
Ergänzung ()

Könnte es irgendwas mit "Admin"-Einstellungen zu tun haben?
 
Also ich habe das ja lt. Anweisung (s.o. Link) gemacht, daher sollte es doch mit diesen Einstellunge klappen.

Wo finde ich heraus, ob mein X220 ein TPM-Modul hat?
 
Ja, das ist ein X220.

Ist es dann gerade nicht unsinnig, TPM zu verbieten?

Die Frage ist ja, wo dieser ominöse KOnflikt her kommt?
 
TPM enthält den Code zum entsperren des Laufwerks. Du möchtest aber nun ohne auto-pw hochfahren. Ergo muss TPM deaktiviert werden.

Wenn das BIOS aber TPM aktiviert hat, erkennt Windows dies und lässt die Deaktivierung von TPM im Betriebssystem logischer Weise nicht zu.
Jetzt ist die Frage wie Bitlocker arbeitet. Wenn Du mit TPM verschlüsselt hast, kann ich mir vorstellen dass Du nach deaktivierung von TPM im Bios zumindest beim ersten hochfahren den kompletten Schlüssel (nicht das PW, sondern den Schlüssel - Code) eingeben musst.

Den solltest Du also, bevor du irgendwas machst, aufschreiben. Wenn TPM dann im BIOS-UEFI deaktiviert ist, sollte auch die Richtlinie danach nicht mehr meckern. Nachdem Boot kannst Du dann auch einen PIN respektive Passwort für Bitlocker festlegen, damit Du nicht jedes mal den langen Code eingeben musst.
 
Zuletzt bearbeitet:
Sun_set_1 schrieb:
TPM enthält den Code zum entsperren des Laufwerks. Du möchtest aber nun ohne auto-pw hochfahren. Ergo muss TPM deaktiviert werden.

Wenn das BIOS aber TPM aktiviert hat, erkennt Windows dies und lässt die Deaktivierung von TPM im Betriebssystem logischer Weise nicht zu.
Jetzt ist die Frage wie Bitlocker arbeitet. Wenn Du mit TPM verschlüsselt hast, kann ich mir vorstellen dass Du nach deaktivierung von TPM im Bios zumindest beim ersten hochfahren den kompletten Schlüssel (nicht das PW, sondern den Schlüssel - Code) eingeben musst.

Den solltest Du also, bevor du irgendwas machst, aufschreiben. Wenn TPM dann im BIOS-UEFI deaktiviert ist, sollte auch die Richtlinie danach nicht mehr meckern. Nachdem Boot kannst Du dann auch einen PIN respektive Passwort für Bitlocker festlegen, damit Du nicht jedes mal den langen Code eingeben musst.
Zum Vergrößern anklicken....

Danke!

Der Reihe nach:

Ich habe jetzt neu gestartet und bin ins BIOS. Der Terminus "TPM" habe ich nirgendwo gefunden. Nachfolgend ein paar Einstellungen, die ich nicht verändert habe:

20171208_172746.jpg
20171208_172757.jpg
20171208_172813.jpg
20171208_172842.jpg

Obwohl ich nichts geändert habe und die Einstellungen nach wie vor so sind, wie es die obigen anleitung aus dem Link vorgaben, wurde vor dem Laden von WIN der Wiederherstellungsschlüssel abgefragt.

Den habe ich eingegeben, und habe dann folgende Richtlinien eingegeben:

20171208_173648.jpg

Dann wieder gebootet, diesmal keine Schlüssel-Abfrage.
Dann in der Bitlocker verwaltung Klick auf
"Ändern, wie das Laufwerk beim Start entsperrt wird. "
Es erscheint wieder die Meldung
"Die Gruppenrichtlinieneinstellung für Bitlocker-Startoptionen stehen in Konflikt und können nicht angewendet werden. Weitere Info erhalten Sie von Systemadmin."

- Habe ich jetz bei den Richtlinien wieder was falsch eingegeben?
- Und weisen meine BIOS-Screenshots darauf hin, dass mein NB doch kein TPM hat? Oder läuft das einfach unter "Security protection" oder so was?
- Und warum wurde eigentlich das eine Mal der Schlüssel abgefragt?
 
Das sollte die Option mit Security Chip sein, die muss off.
Dann noch unter Boot auf Legacy stellen.
 
Hallo,

der Beitrag ist zwar schon etwas älter, aber ich habe es so gelöst:

1) Bitlocker wurde ganz normal mit TPM-Modul aktiviert -> Keine Eingabe eines zusätzlichen PIN
2) In der GPO "Zusätzliche Authentifizierung beim Start anfordern" folgende Einstellungen gesetzt:
- TPM-Start konfigurieren: TPM zulassen
- TPM-Systemstart-PIN konfigurieren: Systemstart-PIN bei TPM zulassen
3) Anschließend konnte ich in der BitLocker Laufwerksverschlüsselung eine PIN vergeben ("Ändern, wie das Laufwerk beim Start entsperrt wird").

Vielleicht hilft das dem ein oder anderen noch.
 
  • Gefällt mir
Reaktionen: Googli, Paddii und MrSlainkoenig
Surabla schrieb:
Hallo,

der Beitrag ist zwar schon etwas älter, aber ich habe es so gelöst:

1) Bitlocker wurde ganz normal mit TPM-Modul aktiviert -> Keine Eingabe eines zusätzlichen PIN
2) In der GPO "Zusätzliche Authentifizierung beim Start anfordern" folgende Einstellungen gesetzt:
  • TPM-Start konfigurieren: TPM zulassen
  • TPM-Systemstart-PIN konfigurieren: Systemstart-PIN bei TPM zulassen
3) Anschließend konnte ich in der BitLocker Laufwerksverschlüsselung eine PIN vergeben ("Ändern, wie das Laufwerk beim Start entsperrt wird").

Vielleicht hilft das dem ein oder anderen noch.
Zum Vergrößern anklicken....

Genau! Ganz wichtig für alle die mitlesen. System nach den Einstellungen in der GPO neu starten. Danach lässt sich ein PIN eingeben.
 
Hallo liebe Forenmitglieder,

Vielen Dank für den obigen Tipp, hatte zuerst eine falsche Einstellung durch einen anderslautenden Artikel auf tecchannel. Danke @Surabla.

Auch noch wichtig: Passwortlänge erhöhen und Sonderzeichen zulassen. Dazu Richtlinien, wie im obigen Tecchannel-Artikel (Beitrag Nr. 1) aufrufen und:
  • Erweiterte PINs für Systemstart zulassen ("aktivieren")
  • Minimale PIN-Länge für Systemstart konfigurieren ("zulassen) = Zuvor Ziffern für die Länge des Passwortes zählen und z.B. 12 im Fenster eingeben
  • Dringender Rat: Wiederherstellungsschlüssel aufbewahren bzw. auf USB-Stick verschlüsselt ablegen (z.B. via Veracrypt oder auf verschlüsselten Sicherungsdatenträger)

Herzlichen Dank für dieses Forum. :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Humbold
Win10 Pro: VHD + Bitlocker --> Als Blu-Ray brennen für super Backup?
Antworten
6
Aufrufe
2.156
Hoplahop
H
J
Upgrade von Win10 Pro 1903 auf 2004 klappt nicht, aber ich finde nicht raus wieso. Doch bitlocker schuld?
2
Antworten
29
Aufrufe
3.952
andi_sco
andi_sco
E
Bitlocker mit/ohne PIN: Fragen zur Sicherheit und Login ohne Windows Kennwort
Antworten
9
Aufrufe
10.705
Masamune2
M
Dino93
BitLocker Win10 Pro bei Diebstahl Systemplatt geschützt?
2
Antworten
34
Aufrufe
5.927
Dino93
Dino93
I
Einrichtung der PIN-Abfrage unter BitLocker nicht möglich
Antworten
4
Aufrufe
4.495
In Da Hood
I

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz