Bitlocker - Festplatte verschlüsseln während nutzung

[drdddrdd]

Hallo zusammen

Ich habe eine Systempartition (C) sowie eine weitere (D).
D hatte ich bis vor kurzem per BL verschlüsselt, dann zur Nutzung entschlüsselt.
Nun würde ich D wieder verschlüsseln, doch ich finde keine Möglichkeit hierzu unter "Dieser PC" zum auswählen.
Ein Versuch über die Eingabeaufforderung ist gescheitert, da ich anscheinend nicht als Systemadmin (wo könnte ich dies nachschauen/ändern) eingeloggt bin.
Habt ihr Tipps diese während der Nutzung "live" zu verschlüsseln?

Vielen Dank vorab

 

[Rubbiator]

Wenn du mit der rechten Maustaste auf die Festplatte klickst sollte dort "BitLocker" aktivieren stehen oder so Ähnliches.

Alternativ die CMD als Administrator starten. Rechte Maustaste darauf und als Administrator ausführen. Dann sollten deine herausgesuchten Befehle klappen.

 

[drdddrdd]

Wenn du mit der rechten Maustaste auf die Festplatte klickst sollte dort "BitLocker" aktivieren stehen oder so Ähnliches.

Aktiviert ist es, aber die Festplatte ist nicht verschlüsselt, d.h. das Schloss Symbol ist nicht geschlossen

 

[Ponderosa]

Kann dieser Tipp helfen? Mit Bitlocker ein entsperrtes Laufwerk wieder sperren

 

[drdddrdd]

Vollzitat entfernt.

Dann kommt folgende Fehlermeldung:
FEHLER: Der Zugriff auf eine erforderliche Ressource wurde verweigert.

Stellen Sie sicher, dass Sie für den Computer über Administratorrechte verfügen.

 

[Lupus77]

Du machst schon einen rechtsklick auf CMD und startest es als Admin, oder?

 

[drdddrdd]

Du machst schon einen rechtsklick auf CMD und startest es als Admin, oder?

Dann kommt immer noch:
FEHLER: Ein Fehler ist aufgetreten (Code 0x80310097):
Das Laufwerk kann nicht gesperrt werden, da es auf diesem Computer automatisch entsperrt wird. Entfernen Sie die Schutzvorrichtung für das automatische Entsperren, um dieses Laufwerk zu sperren.

 

[Ponderosa]

Kann es sein, dass du den PC ohne Passwort / Pin startest?

 

[alQamar]

poste bitte mal einen Screenshot
Powershell mit Adminrechten

Get-BitlockerVolume
sowie
manage-bde -status d:

 

[drdddrdd]

Kann es sein, dass du den PC ohne Passwort / Pin startest?

Ja, d.h. ohne über Bitlocker zu entsperren und derzeit nur mit Windows PW. Bis vor kurzem (habe dann D entschlüsselt), war D: allerdings per BL verschlüsselt

 

[drdddrdd]

poste bitte mal einen Screenshot
Powershell mit Adminrechten

Get-BitlockerVolume
sowie
manage-bde -status d:

Get-CimInstance : Zugriff verweigert.
In C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\BitLocker\BitLocker.psm1:144 Zeichen:13

• Get-CimInstance `

• ~~~~~~~~~~~~~~
      + CategoryInfo          : PermissionDenied: (root\cimv2\Secu...cryptableVolume:String) [Get-CimInstance], CimExcep
     tion
      + FullyQualifiedErrorId : HRESULT 0x80041003,Microsoft.Management.Infrastructure.CimCmdlets.GetCimInstanceCommand
  
  Get-Win32EncryptableVolumeInternal :  besitzt kein zugeordnetes BitLocker-Volume.
  In C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\BitLocker\BitLocker.psm1:696 Zeichen:42
  + ...       $AllWin32EncryptableVolume = Get-Win32EncryptableVolumeInternal
  +                                        ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

+ CategoryInfo : NotSpecified: ( [Write-Error], COMException
+ FullyQualifiedErrorId : System.Runtime.InteropServices.COMException,Get-Win32EncryptableVolumeInternal

C:\WINDOWS\system32>manage-bde -status d:
BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.18362
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.

Volume "D:" [Data]
[Datenvolume]

Größe: 142,86 GB
BitLocker-Version: 2.0
Konvertierungsstatus: Vollständig verschlüsselt
Verschlüsselt (Prozent): 100,0 %
Verschlüsselungsmethode: XTS-AES 128
Schutzstatus: Der Schutz ist aktiviert.
Sperrungsstatus: Entsperrt
ID-Feld: Unbekannt
Automatische Entsperrung: Aktiviert
Schlüsselschutzvorrichtungen:
Kennwort
Numerisches Kennwort
Externer Schlüssel (Erforderlich zur automatischen Entsperrung)

 

[alQamar]

Hi die Powershell bitte mit Adminrechten starten, es sieht danach aus, als wären da nicht genügend Rechte eingeräumt.

Grundsätzlich empfehle ich dir unabhängig von dem Problem auf Windows 10 20H2 upzugraden da 1909 schon bald out of support ist.

Zum Bitlocker Status in BDE sieht man, dass die Festplatte D nur entschlüsselt (geöffnet ist) jedoch nicht die Bitlockerverschlüsselung deaktiviert worden ist.

Daher kannst du diese nicht neu verschlüsseln. So sähe ein LW in der Bitlocker Legacy Systemsteuerung aus, welches noch keine Verschlüsselung hat.

Prinzipiell: du nutzt momentan XTS-128 als Verschlüsselungsstandard. Sofern du auf LW D nicht mit einem OS vor Windows 10 zugreifen musst, ist empfehlenswert die Verschlüsselung auf XTS-256 zu ändern.
Dies geht über die Registry oder einfacher die lokale Gruppenrichtlinie Anleitungen gibt es bei docs.microsoft.com

Sobald du den PC abschaltest (vorausgesetzt dein TPM ist ok etc pp. wird die jetzige Festplatte D beim Herunterfahren wieder geschlossen (verschlüsselt).

Ergänzung (9. Januar 2021)

p.s. Sofern du einen Microsoft Account für Windows 10 nutzt empfiehlt es sich (diesen per MS Authenticator oder anderem TOPT Authenticator zu schützen (MS empfiehlt eine MFA Erzwingung) und den Bitlocker Recovery Key dort abzulegen, sowie einen Ausdruck für alle Fälle).
Eine Bitlocker Startup PIN ist nicht zwingend notwendig. Man kommt ohne dein Windows Anmelde Kennwort bzw. die Hello PIN bzw. den Bitlocker Recovery Key nicht an die Daten.

Wenn du ein BIOS / UEFI Update machst ist es essentiell vorher die Verschlüsselung anzuhalten, da der Key im TPM sonst überschrieben wird und die Daten nur noch mit dem Wiederherstellungsschlüssel wiederhergestellt werden können, aber auch dabei gab es schon Bugs.

Im BIOS ist es wichtig, dass TPM auf Version 2.0 mit SHA 256 eingestellt ist, der leidige Default ist TPM 1.2 mit SHA1 für Win7 Kompatibilität.