ComputerBase Menü
Aktuelles

Bitlocker für Wechseldatenträger nicht möglich nach gpedit

F!r3f0x

F!r3f0x

Lieutenant
Registriert
Dez. 2006
Beiträge
987
Ich hab hier einen Rechner, wo ich die Funktion "Zusätzliche Authentifizierung beim Start anfordern" aktiviert habe via gpedit.msc.

Nun habe ich aber das Problem, dass ich (egal ob Admin oder User) keine Wechseldatenträger mehr mit Bitlocker verschlüsseln kann. Hierzu habe ich auch nichts in den Gruppenrichtlinien finden können.

Jemand ne Idee wie ich das lösen kann?
 

Anhänge

  • 2021-04-02 17.28.jpeg
    2021-04-02 17.28.jpeg
    3,5 MB · Aufrufe: 264
  • 2021-04-02 17.29.jpeg
    2021-04-02 17.29.jpeg
    3 MB · Aufrufe: 264
TPM..?! Ist das nicht eine kleine zusätzliche Hardware (die dir fehlt)?
CN8
 
Ja, ein kleiner TPM Chip auf der Hardware aber was hat das mit meinem Problem zu tun?
Beim Startvorgang die PIN Eingabe funktioniert, aber ich kann keine USB-Sticks mit Bitlocker nutzen, nachdem ich die Richtlinie angelegt habe.
 
das kommt wohl daher, weil du schon eine Pin Eingabe für deine Systempartition hast. Du musstest das nochmal erneut verschlüsseln mit der Option, das der Schlüssel auf den USB Stick abgelegt wird.

im Übrigen würde ich das NICHT empfehlen, denn wenn der USB Stick mal plötzlich stirb (und das passiert nicht gerade selten), sind deine Daten pfutsch.
 
  • Gefällt mir
Reaktionen: Looniversity
"Für diese Option ist beim Start entweder ein Kennwort oder ein USB-Laufwerk erforderlich"

Wenn Windows USB-Sticks verschlüsseln würde, könnte es das einzige Laufwerk auf der Welt mit dem zum Start erforderlichen Schlüssel verschlüsseln - und dann nicht drauf zugreifen, weil Windows ja noch nicht gestartet ist um es zu entschlüsseln. Das wäre doof.
 
  • Gefällt mir
Reaktionen: Sebbi
Sebbi schrieb:
das kommt wohl daher, weil du schon eine Pin Eingabe für deine Systempartition hast. Du musstest das nochmal erneut verschlüsseln mit der Option, das der Schlüssel auf den USB Stick abgelegt wird.
Zum Vergrößern anklicken....
Ich möchte aber meine Wechseldatenträger unabhängig von dem PIN für die Systempartition verschlüsseln. Die Keys zum entschlüsseln der Partitionen liegen im Tresor.

Sebbi schrieb:
im Übrigen würde ich das NICHT empfehlen, denn wenn der USB Stick mal plötzlich stirb (und das passiert nicht gerade selten), sind deine Daten pfutsch.
Zum Vergrößern anklicken....
Das ist richtig :-)

Looniversity schrieb:
"Für diese Option ist beim Start entweder ein Kennwort oder ein USB-Laufwerk erforderlich"
Zum Vergrößern anklicken....
Hab jetzt nicht ganz verstanden was das mit meinem Problem zu tun hat :-D
Sorry
 
Um welches Board handelt es sich hier?
Entweder kein TPM-Chip auf den Board vorhanden,dann würde Windof auch keine Bitlocker
Verschlüsselung anbieten oder das TPM-Modul ist im Bios nicht aktiviert.
Die Paranoia zu Datenverschlüsselung ist mir mich persönlich unverständlich,
allein schon der Zeitaufwand.
Mehrere Datenträger wo man seine Daten speichert haben den selben Effeckt.
 
F!r3f0x schrieb:
Beim Startvorgang die PIN Eingabe funktioniert
Zum Vergrößern anklicken....
Je nach dem wie lang deine PIN ist, kann das ohne TPM schlecht sein, weil ohne TPM beliebig viele Versuche möglich sind. Der Windows-Begriff "PIN" ist da etwas irreführend. Ohne TPM muss es ein sehr starkes Passwort sein.

Sebbi schrieb:
im Übrigen würde ich das NICHT empfehlen, denn wenn der USB Stick mal plötzlich stirb (und das passiert nicht gerade selten), sind deine Daten pfutsch
Zum Vergrößern anklicken....
So sieht es aus. Mir sind schon mehr als eine Handvoll Sticks ohne ersichtlichen Grund oder Vorwarnung verreckt und so alt bin ich noch gar nicht. Und ohne TPM gibt es -glaube ich- auch nicht die Wiederherstellungsschlüssel im Microsoft-Konto.
 
bezelbube schrieb:
Mehrere Datenträger wo man seine Daten spreichert haben den selben Effeckt.
Zum Vergrößern anklicken....
Geht nicht darum seine Daten an 100 Orten zu haben, sondern darum die Daten die man hat vor fremden zu schützen.
Ergänzung ()

Looniversity schrieb:
Je nach dem wie lang deine PIN ist, kann das ohne TPM schlecht sein, weil ohne TPM beliebig viele Versuche möglich sind. Der Windows-Begriff "PIN" ist da etwas irreführend. Ohne TPM muss es ein sehr starkes Passwort sein.
Zum Vergrößern anklicken....
Der PIN beim Start besteht nur aus Zahlen, eine PIN eben.

Kann ich den bei Systemstart eine PIN eingeben und trotzdem meine Wechseldatenträger mit Bitlocker verschlüsseln?
 
bezelbube schrieb:
Entweder kein TPM-Chip auf den Board vorhanden,dann würde Windof auch keine Bitlocker
Verschlüsselung anbieten
Zum Vergrößern anklicken....
Doch - dazu gibt es ja genau die Gruppenrichtlinie, um Bitlocker trotzdem zu nutzen (auch wenn es in Standardeinstellung nicht möglich ist). Dann ist es aber näher an TrueCrypt als an Bitlocker.

bezelbube schrieb:
Die Paranoia zu Datenverschlüsselung ist mir mich persönlich unverständlich,
allein schon der Zeitaufwand.
Zum Vergrößern anklicken....
Viele Datensätze, mit denen ich in der Uni zu tun habe, setzen in der Nutzungsvereinbarung solche Maßnahmen voraus. Und gerade wenn man als Student/SHK zu Hause damit am eigenen Rechner arbeitet arbeitet (arbeiten muss) hat man nicht viele andere Möglichkeiten. Gleiches für die Sachen, die mein AG produziert. Wenn das nicht auf deren Remote-Servern wäre müsste ich auch alles verschlüsseln (und noch mehr Sachen gewährleisten, die wir unterschrieben haben).
Der Zeitaufwand ist mir da eher egal. Einmal aufsetzen muss sein, aber das Verschlüsseln macht die Kiste ja alleine und zur Not halt ein paar Tage am Stück im Hintergrund - das stört ja nicht weiter. :)

Ergänzung ()

F!r3f0x schrieb:
Der PIN beim Start besteht nur aus Zahlen, eine PIN eben.
Zum Vergrößern anklicken....
Ja, wie lang ist aber die Frage. Das sollten eher 30 als 10 Stellen sein. Besser 30+ alphanumerisch... sonst kannst du die PIN genausogut weglassen.

Edit nochmal: Meinst du die Windows-PIN oder die Bitlocker-PIN?
 
Zuletzt bearbeitet:
Die PIN ist erstmal nur Testweise eingerichtet mit unter 10 Zahlen. Ich hab ja das Problem aktuell mit den USB Sticks, dass ich da die Bitlocker Verschlüsselung nicht draufbekomme.
 
Diese Seite (nicht MS selbst) sagt, dass es auch ohne TPM gehen sollte - womit mein erster Beitrag hier zumindest nicht vollständig ist.
Ergänzung ()

@F!r3f0x Über das Wochenende wollte ich eigentlich auch mal Bitlocker auf meinem Rechner ohne TPM einrichten. Wenn ich einen "arbeitslosen" USB-Stick zum Testen finde versuche ich das und sage Bescheid.
 
Zuletzt bearbeitet:
Also ich hab auf meinem Rechner zuhause auch kein TPM, da könnte ich das auch mal probieren mit einem 4GB USB Stick.

Die Frage ist nur, was eingestellt werden muss damit alles funktioniert.
 
F!r3f0x schrieb:
Hab jetzt nicht ganz verstanden was das mit meinem Problem zu tun hat :-D
Sorry
Zum Vergrößern anklicken....
Du hast bei der Richtlinien den Haken bei der Option: “Bitlocker ohne kompatibles TPM zulassen….” gesetzt.
Dann geht Windows davon aus, das egal welcher USB Stick der im Rechner steckt, der USB Stick sein könnte, der zum Entsperren von Bitlocker verwendet wird. Deswegen verweigert Windows die Option Bitlocker auf USB Sticks einzurichten.
Da spielt es für Windows auch keine Rolle, ob Du beim Start niemals ein USB Stick für Bitlocker verwendest. Es ist eine Sicherheitshaltung von Windows um das Aussperren zu verhindern. Bedeutet: wenn Du kein TPM hast, geht es nicht. Solltest Du TPM haben, musst Du den Haken beim der genannten Option entfernen, dann funktioniert es auch mit USB Sticks.

Freundliche Grüße
 
  • Gefällt mir
Reaktionen: Looniversity
@Tekkie Boy
heißt ich muss mich entscheiden ob ich die PIN beim Systemstart nutzen möchte oder Bitlocker To Go?

Ich schau mal morgen nochmal, dass ich die Wiederherstellungsdateien nochmal irgendwo auf dem Netzlaufwerk speicher, vielleicht klappts ja dann?!

Bin mir ziemlich sicher, dass die Geräte kein TPM haben. Ich kann aber Bitlocker To Go nutzen bevor ich die PIN für den Boot setze. Find ich irgendwie komisch .....

EDIT:
hab das jetzt auch an meinem privaten Rechner probiert, sobald man die GPO "Zusätzliche Authentifizierung beim Start anfordern" aktiviert, lässt sich Bitlocker To Go nicht mehr nutzen. Verstehe ehrlichgesagt nicht, was das eine mit dem anderen zu tun hat.
 
Zuletzt bearbeitet:
Um das Thema zu beenden, ich hab die Lösung für mein Problem gefunden. Hab die Einstellungen anders per GPO verteilt, dann war es möglich auch Bitlocker To Go und den PIN beim Start zu nutzen.
 

Anhänge

  • 04042021_953.png
    04042021_953.png
    69,3 KB · Aufrufe: 211
  • Gefällt mir
Reaktionen: Looniversity
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

E
Fehlende administratorrechte für wechseldatenträger
Antworten
10
Aufrufe
1.023
evil squirrel
E
H
Mein Windows Xp findet keine Treiber, für Wechseldatenträger & Festplatten ! Was tun?
Antworten
2
Aufrufe
1.752
mannemerich
M
pfORchT
Extra Logo für Wechseldatenträger
Antworten
2
Aufrufe
900
pfORchT
pfORchT
N
icons für Wechseldatenträger im Arbeitsplatz ändern
Antworten
13
Aufrufe
7.035
Fiona
F

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz