Bitlocker IFTTT USB zu PIN

DFFVB

Rear Admiral
Registriert
Dez. 2015
Beiträge
5.244
Hallo zusammnen,

habe mich etwas mit Bitlocker beschäftigt, und die Dualität aus gpedit und manage-bde ist ja alles andere als nutzerfreundlich. Aber wie dem auch sei, mein Ziel wäre: Unlock mit TPM und USB Stick, wenn dieser nicht verfügbar ist, Entsperrung mit PIN, ist das möglich? Wenn ja wie?
Danke vorab und viele Grüße
 
Hab ich die Frage richtig verstanden ... Du willst ein Token-basiertes Entsperren von tragbaren Speichermedien?
 
Genau das versteht Google auch nicht ^^

Ich will dass ein stationärer Rechner, das TPM nutzt, normal gibt man dann ja nur das Nutzerpasswort ein, und gut ist. Das bietet einige Risiken, dass man eine Pre-Bott Auhtentification einrichten kann, sodass man TPM und PIN hat, dann muss man immer direkt eine PIN angeben. Soweit so gut. Nun möchte ich, wohl wissentlich, dass das nicht ganz so sicher ist, dass der PC TPM nutzt, und sich dann via einem Startschslüell welcher auf einem USB Stick liegt entsperrt, um dann die User Authentifizierung zu zeigen (normaler Login). Wenn ich aber den USB Stick abziehe, dann soll er TPM+PIN plus später Login machen.
 
@gaym0r Jein, das ist halt erstmal nur der USB Stick, ich glaub wenn der fehlt, muss man den ganzen 40 stelligen Key eingeben? Ich fänd es super, wenn man stadessen den Fallback auf den PIN hätte.
 
Für Bitlocker kannst du meines Wissens kein USB-Stick oder Token verwenden.
Das geht nur für den Benutzer-Login (Einstellungen -> Konten -> Sicherheitsschlüssel)
 
Also der Kiwi link von gaymor sagt dass es geht, in den Einstellungen findet es sich auch

foto_no_exif.png
 
Ja, stimmt. Scheint aber wirklich nur zu gehen, wenn die TPM-Voraussetzung in den GPO deaktiviert wird.
 
Also Freunde ich hab es gelöst:

  1. Man deaktiviere Bitlocker, oder setze es zurück (manage-bde -protectors -delete c:)
  2. Man gehe unter gpedit in die Einstellungen (zuätzliche Authentizifierung aktivieren), aktivere den Haken und alles zulassen (nichts erforderlich)
  3. Zurück nach Powershell manage-bde -protectors -add c: -tp manage-bde -protectors -add c: -sk d:
Wobei d: der Buchstabe des USB Laufwerks ist. tp steht für TPMAndPIN und sk StartupKey.

Ergebnis: Mit USB Stick eingesteckt bootet er normal, ohne USB-Stick muss man den PIN eingeben.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Bob.Dig und PC295
Zurück
Oben