Bitlocker nachträglich aktivieren

[Frau Erdmann]

Hallo zusammen,

ich habe seit knapp 2 Monaten einen neuen Rechner mit Windows 11 Pro (Dell Optiplex 5060 Micro Core i5 8500T 16 GB DDR4 240 GB SSD). Nun klicke ich mich gerade durch die Einstellungen und sehe gerade, dass BitLocker gar nicht aktiviert ist. Kann ich das jetzt, nachdem der PC schon komplett fertig eingerichtet ist, einfach nachträglich noch aktivieren, ohne dass die Gefahr eines Datenverlustes besteht?

Ich bin nur ganz normale Anwenderin und habe daher leider keine Profikenntnisse. BitLocker kenne ich bisher nur von meinem Firmenrechner, an nach dem Start zunächst eine 8stellige PIN eingeben muss, bevor Windows startet. Wird das dann bei meinem Rechner genaus sein?

Vielen Dank schon mar für eure Hilfe 😊

 

[cartridge_case]

ohne dass die Gefahr eines Datenverlustes besteht

Die Gefahr besteht immer - deswegen sollte es immer Backups geben.

Kann ich das jetzt, nachdem der PC schon komplett fertig eingerichtet ist, einfach nachträglich noch aktivieren

Google hätte dir doch da sicher sofort eine Antwort gegeben.

 

[Slayn]

8stellige PIN eingeben muss, bevor Windows startet. Wird das dann bei meinem Rechner genaus sein?

Wahrscheinlich nicht. Der TMP Chip im Notebook übernimmt das automatisch, da wird auch kein Pin von dir verlangt beim einrichten. Aber ja Bitlocker kannst du immer nach holen.

 

[Lawnmower]

Ja geht problemlos, hatte da auch noch nie Probleme. Einen 8 stelligen Pin muss man nicht eingeben sofern man das nicht so konfiguriert - ich nehme an ihr habt dafür dann kein Passwort mehr.
Backup sollte man ja sowiso immer haben.

 

[DocWindows]

Kann ich das jetzt, nachdem der PC schon komplett fertig eingerichtet ist, einfach nachträglich noch aktivieren, ohne dass die Gefahr eines Datenverlustes besteht?

Ja, Windows führt vorher einen Test durch ob eine Verschlüsselung wirklich auf dem Gerät funktionieren würde. Erst wenn der Ok ist, wird verschlüsselt. Man kann auch während der Verschlüsselung weiterarbeiten, ausschalten, neu starten, etc. Das ist sehr robust.

Als normale Anwenderin würde ich mich aber fragen ob und wozu ich das brauche.
Die Verschlüsselung mit TPM verhindert lediglich das Booten des Systems wenn die Startdateien manipuliert wurden oder die Festplatte ausgebaut, und irgendwoanders eingebaut wird. Den Startkey kann man nach Abschluss der Verschlüsselung noch hinzufügen, was das Booten des Systems ohne Kenntnis dieses Keys verhindert. Aber das geht dann nur manuell.
Vermutlich ist die Frage welche „Protectoren“ initial vorgeschlagen und verwendet werden aber eh Systemabhöngig.

 

[Mickey Mouse]

wie bereits gesagt wurde, es kann immer etwas schief gehen und man sollte ein Backup (Konzept) haben.

aber das ist eben "nur" zur Sicherheit, in der Praxis habe ich noch nie erlebt, dass beim (nachträglichen Aktivieren) Bitlocker irgendwas schief gelaufen ist. Meist stimmen auch die vorhergesagten Zeiten nicht und werden dramatisch unterboten.
In den meisten Fällen geht das so schnell, dass die Leute denken es hätte nicht geklappt, das ist das größte Problem

und das mit dem 8-stelligen Pin ist eine zusätzliche Software bei euch in der Firma. Bei dir läuft das über dein Windows Login und den TPM. Der Key wird auch im MS-Konto hinterlegt, trotzdem solltest dui dir einen USB Stick bereit legen, man kann den nicht auf die zu verschlüsselnde Platte sichern, auch nicht nur temporär.

 

[PC295]

Die PIN-Eingabe musst du vorher in den Gruppenrichtlinien aktivieren.
Ansonsten wird standardmäßig per TPM entsperrt.

- Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Bitlocker-Laufwerksverschlüsselung\Betriebssystemlaufwerke
-> Zusätzliche Authentfizierung beim Start zulassen


Während der Verschlüsselung kann das System auch heruntergefahren werden, die Verschlüsselung wird beim nächsten Start dort fortgesetzt wo es aufgehört hat.
Da passiert also nichts.

 

[Frau Erdmann]

Google hätte dir doch da sicher sofort eine Antwort gegeben.

stell dir vor, ich hatte zunächst gegoogelt, aber keine wirklich hilfreiche Antwort zu meiner Frage gefunden.

Ergänzung (7. Mai 2023)

Ja geht problemlos, hatte da auch noch nie Probleme. Einen 8 stelligen Pin muss man nicht eingeben sofern man das nicht so konfiguriert - ich nehme an ihr habt dafür dann kein Passwort mehr.

doch, wir haben BitLocker PIN, danach Windows Passwort und im HO auch noch zusätzlich 2FA.

Ergänzung (7. Mai 2023)

Als normale Anwenderin würde ich mich aber fragen ob und wozu ich das brauche.
Die Verschlüsselung mit TPM verhindert lediglich das Booten des Systems wenn die Startdateien manipuliert wurden oder die Festplatte ausgebaut, und irgendwoanders eingebaut wird. Den Startkey kann man nach Abschluss der Verschlüsselung noch hinzufügen, was das Booten des Systems ohne Kenntnis dieses Keys verhindert. Aber das geht dann nur manuell.
Vermutlich ist die Frage welche „Protectoren“ initial vorgeschlagen und verwendet werden aber eh Systemabhöngig.

ich lese hier halt immer wieder, wie wichtig ein eingerichteter BitLocker ist (oder sein kann), deswegen dachte ich, ich frage lieber mal nach.

Nach einem Hackerangriff auf unser Bankkonto (durch einen von mir dummerweise angeklickten Phishing Link) versuche ich gerade, mein PC-Konzept zu optimieren: Passwortmanager, für jeden Dienst ein anderes, seeehr langes und komplexes Passwort, 2FA wo möglich (bieten leider viele Onlineshops noch gar nicht an). Ich weiß, das beste Konzept schützt nicht vor der Dummheit, auf einen Phishing Link hereinzufallen. Auf der Arbeit bestehe ich den Abschlusstest der regelmäßigen Onlineschulungen zum Thema Datensicherheit jedes Mal mit 100%, und privat passiert es mir dann doch... aber das ist ein anderes Thema

 

[cartridge_case]

aber keine wirklich hilfreiche Antwort zu meiner Frage gefunden.

Komisch.

https://www.google.com/search?q=Bitlocker+nachträglich+aktivieren

-> https://support.microsoft.com/de-de...bc88-5f74-5105-741561aae838#ID0EBD=Windows_11

 

[Frau Erdmann]

Komisch.

https://www.google.com/search?q=Bitlocker+nachträglich+aktivieren

-> https://support.microsoft.com/de-de/windows/aktivieren-der-geräteverschlüsselung-0c453637-bc88-5f74-5105-741561aae838#ID0EBD=Windows_11

vielen Dank für den Link. Darin wird die Aktivierung der Geräteverschlüsselung erklärt. Mir ging es aber um die nachträgliche Aktivierung. Davon ist in dem Artikel aber nicht die Rede. Und da ich nicht weiß ob es bei nachträglichen Aktivierung möglicherweise Besoderheiten zu beachten gibt, habe ich lieber hier nachgefragt, bevor ich etwas falsch mache.

 

[stage]

Nach einem Hackerangriff auf unser Bankkonto (durch einen von mir dummerweise angeklickten Phishing Link) versuche ich gerade, mein PC-Konzept zu optimieren

Nur kurz als Erläuterung. Bitlocker hilft in solchen Fällen nicht.
Bitlocker schützt deine Daten, wenn der PC / Laptop dir physisch entwendet wird.

 

[Mickey Mouse]

doch, wir haben BitLocker PIN, danach Windows Passwort und im HO auch noch zusätzlich 2FA.

das ist dann eine komplette sogenannte "EndPoint Protection/Security". I.d.R. kann deine IT darüber auch den PC sperren, löschen usw. Das basiert meist auf Bitlocker als Grundlage (muss aber nicht), da kommt dann aber noch etwas oben drauf.
darüber brauchst du dir privat (ohne die dafür nötige Verwaltungsmaschinerie) aber keine Gedanken machen.

kurz: genau DAS ist das Schöne am BitLocker, du merkst quasi gar nicht, dass er aktiviert ist!
nur falls das Laptop geklaut wird, ist es für die "neuen Besitzer" ungleich schwerer an die Daten heran zu kommen. Alleine deshalb würde ich den BitLocker immer aktivieren, warum nicht?

aber wie gesagt, für den Notfall brauchst du den "Wiederherstellungsschlüssel" (das ist NICHT dein Passwort oder der PIN!). Standardmäßig werden die im Microsoft Konto für alle deine Geräte hinterlegt. Das ist "nett", aber ich traue dem nicht 100%. Es gilt immer Murphy: wenn etwas schiefgehen kann, dann geht es schief und verursacht den maximal möglichen Schaden. Du hast ein Problem mit dem Rechner, das erzeugt komische Effekte aufgrund derer MS dein Konto sperrt und genau dann brauchst du den Key, weil das war die Ursache...
daher immer die Wiederherstellungsschlüssel (zusätzlich) an einer sicheren Stelle aufbewahren und hoffen, dass man sie nicht braucht.
wenn man die immer griffbereit hat, kann man mit dem BitLocker meiner Meinung nach nichts falsch machen!

ich lese hier halt immer wieder, wie wichtig ein eingerichteter BitLocker ist (oder sein kann), deswegen dachte ich, ich frage lieber mal nach.

s.o.

versuche ich gerade, mein PC-Konzept zu optimieren: Passwortmanager, für jeden Dienst ein anderes, seeehr langes und komplexes Passwort, 2FA wo möglich (bieten leider viele Onlineshops noch gar nicht an).

genau das ist der richtige Ansatz!

 

[autopilot]

vielen Dank für den Link. Darin wird die Aktivierung der Geräteverschlüsselung erklärt. Mir ging es aber um die nachträgliche Aktivierung

Das ist schon okay solche Fragen zu stellen.
Dafür ist ein Forum ja da.

Edit: Daumen hoch!

versuche ich gerade, mein PC-Konzept zu optimieren: Passwortmanager, für jeden Dienst ein anderes, seeehr langes und komplexes Passwort, 2FA wo möglich (bieten leider viele Onlineshops noch gar nicht an).

 

[Frau Erdmann]

Nur kurz als Erläuterung. Bitlocker hilft in solchen Fällen nicht.
Bitlocker schützt deine Daten, wenn der PC / Laptop dir physisch entwendet wird.

ich weiß... vor der Dummheit, einen falschen Link anzuklicken, kann ich mich nur selbst schützen. Aber es war halt auch der Weckruf, künftig insgesamt etwas sorgsamer und bewusster mit dem gesamten PC Kram zu werden 😉

 

[redjack1000]

Aber es war halt auch der Weckruf, künftig insgesamt etwas sorgsamer und bewusster mit dem gesamten PC Kram zu werden

Das ist sehr gut. Was mich wundert, das du nicht einmal das Wort "Backup" erwähnst.

CU
redjack

 

[Mickey Mouse]

ich habe letztens in der Firma eine Mail als Phishing Attacke gemeldet.
das war eine sehr gut gemachte Mail (mit original Logo usw.) "angeblich" von unserem obersten Security Manager (weltweit tätiger Konzern mit >>100.000 Mitarbeitern), die mit einem Link zu einer externen Web-Seite begann, über die man die deutsche Übersetzung laden können sollte. Eine "Analyse" über einen Rechner in einer abgesicherten Sandbox hat ergeben, dass der Link auf die Azure Cloud zeigt und man dafür seine Active Directory Zugangsdaten eingeben muss. An der Stelle habe ich aufgehört und die Mail gemeldet.

Problem: das war gar kein Phishing!
unser oberster CISO schickt tatsächlich Mails, in denen auf die Gefahren von Phishing hingewiesen wird und verpackt darin einen externen Link, "in" dem man dann die Firmen-Zugangsdaten eingeben muss, wenn man diese Mail in seiner Muttersprache lesen möchte. Es klingt wie Real-Satire und wäre schon fast lustig, wenn es nicht so traurig wäre...

so lange es solche Mails gerade von den Leuten gibt, die es eigentlich besser wissen müssten, haben es die "Bad Guys" natürlich echt leicht.

 

[Frau Erdmann]

Das ist sehr gut. Was mich wundert, das du nicht einmal das Wort "Backup" erwähnst.

CU
redjack

auch da bin ich dran. Aktuell sieht es aber nur so aus, dass ich 1 x pro Woche die Daten, die auf einer separaten Partition liegen, auf eine externe Festplatte kopiere. Wahrscheinlich schlagt ihr jetzt alle vor Entsetzen die Hände über dem Kopf zusammen - ich weiß dass das eigentlich nicht reicht, und bin da auch dran. Wenn man sich mit solchen Dingen nicht richtig auskennt, ist das halt nichts, was von heute auf morgen erledigt ist. Ich muss mich da erst umfassend einlesen, habe einen aktuell sehr fordernden Job, eine über 80 Jahre alte Mutter, die gewissen Betreuung benötigt und auch noch ein "analoges" Leben. Für mich ist ein vernünftiges Backup Konzept nichts, was ich einfach mal so aus dem Ärmel schütteln kann. Cryptomator habe ich bereits auf dem Rechner, auch schon mal ein paar Testdateien in eine Cloud hochgeladen. Ich habe aber einen heiden Respekt, meine Daten (auch Zugangsdaten) doppelt und dreifach abgesichert irgendwo abzuspeichern, weil ich befürchte, dass ich womöglich irgendwelche Zugangsdaten über Kreuz abgespeichert habe, und durch einen Teilausfall dann nicht mehr an meine Dateien ran komme. Muss mir also ganz genau überlegen wo ich z.B. die Passphrase für Cryptomator sicher abspeichere, um mich nicht von den darin liegenden Daten auszusperren.

Von alten Rechnern habe ich sogar noch 3 Festplatten im Keller liegen, müsste ich aber erst mal zum Thema Wechselrahmen usw. belesen, um abwechselnd eine FP zur Sicherung zu verwenden, die ich dann z.B. bei meiner Mutter hinterlege. Möchte aber natürlich, dass diese Daten dann auch bombensicher verschlüsselt sind, weil mein Bruder Informatiker ist, und nicht an die Daten dieser FP rankommen sollte.

Für Profis ist das wahrscheinlich alles kein Thema, aber für mich ist das eine größere Sache, die ich nicht einfach von jetzt auf gleich übers Knie brechen kann.

 

[DocWindows]

@Frau Erdmann
Da anscheinend hinter der ursprünglichen Frage ein größerer Komplex, ein Sicherheitskonzept steht, schreibe ich hier mal mein Konzept auf. Vielleicht ist ja eine Komponente dabei die interessant ist.

Bootprozess
Grundlegend ist meine Systempartition mit Bitlocker verschlüsselt. Sie ist nicht über TPM, sondern nur über einen Key gesichert, den ich beim Start eingeben muss. TPM sehe ich eher in Firmenumgebungen.
Der Key ist zweigeteilt. Einen Teil gebe ich ein, ein anderer Teil ist auf einem Yubikey gespeichert. (Zwei Faktor Sicherheit). Ich tippe zuerst meinen Teil ein, dann tippe ich auf den Yubikey und er gibt seinen Teil ein.
Nur wer beides hat, mein Passwort im Kopf und meinen Yubikey im USB-Port, kann den Rechner starten.

Login
Der Login funktioniert über einen Fingerprintsensor (USB), eine PIN oder das Passwort. Fingerabdruckscanner einfach nur weil es viel bequemer ist als PIN oder Passwort immer einzugeben wenn man die Station gesperrt hat.

Externe Datenträger
Sind natürlich ebenfalls mit Bitlocker verschlüsselt. Hier wird allerdings zur Entsperrung ein digitales Zertifikat verwendet, welches (natürlich) auf einem Yubikey gespeichert ist (Smartcard Funktion). Hier muss neben der Smartcard auch eine PIN eingegeben werden. Wird sie 3x falsch eingegeben ist der Yubikey gesperrt. Er müsste wieder neu eingerichtet werden um wieder nutzbar zu sein. Eigentlich wollte ich diese Technik auch schon für den Bootprozess nehmen, aber Smartcard@Bootprozess funktionierte damals nicht. Heute vermutlich auch nicht.

Backup
Meine Backupplatte ist mit Bitlocker verschlüsselt. Hier allerdings nur über ein langes Passwort um möglichst kompatibel zu bleiben. So ist ein Restore immer gut möglich. Das lange Passwort ist genauso aufgebaut wie das Passwort beim Booten. Zweiteilig mit 1x Wissen und 1x Haben.

Vielleicht ist ja die eine oder andere Idee dabei.

Und nein, ich bin nicht von Yubico gesponsert oder dort angestellt. Der Key ist einfach super und kann ne ganze Menge

 

[PC295]

Nur wer beides hat, mein Passwort im Kopf und meinen Yubikey im USB-Port, kann den Rechner starten.

Soweit ich in Anleitungen gelesen habe, übernimmt der Yubikey nur die Eingabe des (Teil-)Passwortes.

Also die Entsperrung dürfte hier auch ohne eingestecktem Yubikey gehen, nur dass eben das komplette Passwort eingegeben werden muss?

 

[DocWindows]

@PC295 Ja, man kann auch das komplette Passwort selber eingeben. Es ist in meinem Fall dummerweise eine Kombination aus Groß- und Kleinbuchstaben mit Zahlen und Sonderzeichen dabei und > 16 Stellen.
Hier ist die Frage nicht ob du die Hürde überspringen kannst, sondern wie hoch du springen musst um es zu schaffen. Wie eigentlich bei jedem anderen Passwort auch.