Bitlocker mit Passwort und nicht mit PIN

[Matschbacke25]

Moin,


ich möchte gerne meinen Desktop-PC mit Bitlocker verschlüsseln. Ein kompatibles TPM-Modul habe ich, ebenso wie Windows Professional.


Nun habe ich bereits im Internet die passenden Anleitungen aufgerufen, um die Gruppenrichtlinien anzupassen.


Mein Problem besteht nun darin, dass als Authentifizierungsmethode nur eine PIN angeboten wird. (Diese hat eine maximale Länge von 20-Zeichen). Allerdings möchte ich gerne eine Passwort verwenden und keine PIN. (Dieses ist deutlich länger)


Jemand eine Idee, wie ich das Passwort angeboten bekomme? Bei meinen Festplattenlaufwerken habe ich diese Option sofort. Allerdings nicht bei meinem Betriebssystemlaufwerk.


Freue mich auf Antworten.

- Matschbacke25

 

[kartoffelpü]

Per Powershell sollte es auch mit Passwort funktionieren: https://learn.microsoft.com/en-us/p...er/enable-bitlocker?view=windowsserver2022-ps

 

[Matschbacke25]

Das ist mir zu kompliziert.

 

[Korben2206]

hier eine Anleitung... vllt. wirds damit einfacher...
https://techexpert.tips/powershell/powershell-encrypt-disk-bitlocker-password/

 

[Bunkeropfer]

Gibt es da nicht wie bei "Windows Hello" eine Stelle bei der PIN-Vergabe, wo man mehr als nur die 4 Zahlen wählen kann?
Bei Windows Hello klickt man auf "PIN eingeben" und kann dann unter dem Eingabefenster die weiteren Optionen/Zeichen wählen
Wenn ja, einfach dein Wunsch-PW da angeben

 

[PC295]

Du musst in den Gruppenrichtlinien. "Erweiterte PINs für Systemstart zulassen" aktivieren.
Es heisst zwar dann immernoch PIN, aber du kannst mehr als 20 Zeichen mit Buchstaben, Sonderzeichen, Leerzeichen etc. verwenden.

Wichtig aber, dass du das Passwort mit dem Englischen Tastaturlayout eingibst.
Denn Maske für die Bitlocker-PIN-Eingabe läuft im PXE (Preboot Execution Environment) - und die verwendet das englische Tastaturlayout.

 

[Matschbacke25]

Danke für den letzten Hinweis. War mir bereits bewusst, kannte es von früher.

Die Richtlinie habe ich aktiviert, allerdings sind dennoch nur 20 Zeichen zulässig.

 

[Korben2206]

20 ist maximum für PIN (OS-Laufwerk) (sagt zumindest eine kurze Google Suche). Andere Laufwerke kann man mit Passwort (bis 256 Zeichen) sichern.

 

[PC295]

In Verbindung mit TPM ist offenbar hier nur ein PIN von 4-20 Zeichen möglich.
Ein 20-stelliger PIN ist aber völlig ausreichend.
Bei TPM + PIN ist ein Schutz gegen Brute Force Angriffen aktiv.

 

[Matschbacke25]

20 ist maximum für PIN (OS-Laufwerk) (sagt zumindest eine kurze Google Suche). Andere Laufwerke kann man mit Passwort (bis 256 Zeichen) sichern.

Vielen Dank, ich hatte bereits bemerkt, dass das bei anderen Laufwerken ohne Probleme geht. Allerdings würde eins das andere ausschließen. Die anderen Platten sollen auch mit "entschlüsselt" werden.

Ergänzung (16. Oktober 2022)

In Verbindung mit TPM ist offenbar hier nur ein PIN von 4-20 Zeichen möglich.
Ein 20-stelliger PIN ist aber völlig ausreichend.
Bei TPM + PIN ist ein Schutz gegen Brute Force Angriffen aktiv.

Dankeschön. Das hatte ich fast befürchtet. Gibt es hierfür einen plausiblen Grund?

 

[PC295]

Ich vermute mal, dass mit TPM bzw. der Preboot-Umgebung, technisch das nicht anders möglich ist.

 

[Matschbacke25]

Hmm, dann muss ich mir wohl mal ein (un)sicheres Passwort überlegen. Gar nicht so einfach. 😅

 

[PC295]

Du könntest ja testweise TPM deaktivieren (im UEFI), in GPO Bitlocker ohne TPM zulassen aktivieren und es dann probieren.

Aber wie geschrieben ist eine PIN sicherer als ein Passwort, weil in Zusammenarbeit mit dem TPM weitere Sicherheitsfeatures hinzukommen.

Für andere passwortgeschützte Laufwerke kannst du eine automatische Entsperrung in der Bitlockerverwaltung aktivieren.

 

[Matschbacke25]

Das kommt für nicht infrage. Ich habe much nun für eine PIN entschieden