geohei
Ensign
- Registriert
- Apr. 2008
- Beiträge
- 168
Hallo.
Windows 7 Ultimate.
TPM Hardware
UEFI/GPT HDD
Ich möchte die Systempartition mittels TPM und PIN schützen. Der PIN soll bei jedem Reboot (zusätzlich zum TPM) neu gefragt werden.
Genau das funktioniert aber nicht wie gewünscht.
Artikel gibt es massenweise:
Google Suche : "bitlocker not asking for pin at startup"
Eine Lösung habe ich allerdings bisher nicht gefunden.
Ich habe das hier:
In gpedit.msc werden prinzipiell 2 Einstellungen akzeptiert ("akzeptiert" in dem Sinn, dass die GUI nicht über Group Policiy Konflikte meckert).
Configure TPM startup: Allow ...
Configure TPM startup PIN: Allow ...
Configure TPM startup key: Allow ...
Configure TPM startup key and PIN: Allow ...
Das ist die default Einstellung. Kein Group Policy Konflikt, aber der PIN wird nicht abgefragt.
Configure TPM startup: Allow ...
Configure TPM startup PIN: Require ...
Configure TPM startup key: Allow ...
Configure TPM startup key and PIN: Allow ...
Man sollte meinen das sollte sinnig sein, ist es aber nicht. Group Policy Konflikt! Microsoft versteht unter "Allow ..." anscheinend nicht das was es heißt, nämlich "Erlauben ...". Wenn eine Option "Required ..." ist müssen die anderen auf "Do not allow ..." stehen. Gut, dann machen wir das so. Der PIN wird übrigens auch so nicht abgefragt!
Configure TPM startup: Do not allow ...
Configure TPM startup PIN: Require ...
Configure TPM startup key: Do not allow ...
Configure TPM startup key and PIN: Do not allow ...
Die sprachlichen Missverständnisse sind somit behoben (= kein Group Policy Konflikt mehr), aber der PIN wird trotzdem nicht abgefragt.
Sackgasse !?
Interessanterweise funktionieren die obigen Überlegungen aber tadellos, wenn man statt dem PIN ein "Startup Key" (= USB Stick) benutzt. Dieser muss bei jedem Reboot im Rechner stecken.
Hat hier jemand noch eine Idee ... ?
Windows 7 Ultimate.
TPM Hardware
UEFI/GPT HDD
Ich möchte die Systempartition mittels TPM und PIN schützen. Der PIN soll bei jedem Reboot (zusätzlich zum TPM) neu gefragt werden.
Genau das funktioniert aber nicht wie gewünscht.
Artikel gibt es massenweise:
Google Suche : "bitlocker not asking for pin at startup"
Eine Lösung habe ich allerdings bisher nicht gefunden.
Ich habe das hier:
Code:
C:\Windows\System32>manage-bde -status C:
BitLocker Drive Encryption: Configuration Tool version 6.1.7601
Copyright (C) Microsoft Corporation. All rights reserved.
Volume C: [Windows_7]
[OS Volume]
Size: 99,76 GB
BitLocker Version: Windows 7
Conversion Status: Fully Encrypted
Percentage Encrypted: 100%
Encryption Method: AES 128 with Diffuser
Protection Status: Protection On
Lock Status: Unlocked
Identification Field: None
Key Protectors:
External Key
Numerical Password
TPM And PINConfigure TPM startup: Allow ...
Configure TPM startup PIN: Allow ...
Configure TPM startup key: Allow ...
Configure TPM startup key and PIN: Allow ...
Das ist die default Einstellung. Kein Group Policy Konflikt, aber der PIN wird nicht abgefragt.
Configure TPM startup: Allow ...
Configure TPM startup PIN: Require ...
Configure TPM startup key: Allow ...
Configure TPM startup key and PIN: Allow ...
Man sollte meinen das sollte sinnig sein, ist es aber nicht. Group Policy Konflikt! Microsoft versteht unter "Allow ..." anscheinend nicht das was es heißt, nämlich "Erlauben ...". Wenn eine Option "Required ..." ist müssen die anderen auf "Do not allow ..." stehen. Gut, dann machen wir das so. Der PIN wird übrigens auch so nicht abgefragt!
Configure TPM startup: Do not allow ...
Configure TPM startup PIN: Require ...
Configure TPM startup key: Do not allow ...
Configure TPM startup key and PIN: Do not allow ...
Die sprachlichen Missverständnisse sind somit behoben (= kein Group Policy Konflikt mehr), aber der PIN wird trotzdem nicht abgefragt.
Sackgasse !?
Interessanterweise funktionieren die obigen Überlegungen aber tadellos, wenn man statt dem PIN ein "Startup Key" (= USB Stick) benutzt. Dieser muss bei jedem Reboot im Rechner stecken.
Hat hier jemand noch eine Idee ... ?
Zuletzt bearbeitet:
