Bitlocker unter Windows 10 Pro - wo lege ich das Passwort fest?

[marccccc]

Liebe Forengemeinde,

ich komme mir echt blöd vor, die Frage zu stellen. Aber ich habe auch nach einigem Suchen keine Lösung gefunden. Weder im Netz noch hier im Forum.

Harware/Software:
- Lenovo Notebook T440p mit Samsung EVO 512
- Windows 10 Pro

Was ich will:
- Eine Verschlüsselung der gesamten Festplatte mit Bitlocker
- Passwortabfrage für Bitlocker beim Starten des PCs, dabei soll kein Passwort für den Standarduser von Windows festgelegt werden (Standardbenutzer, kein Admin)

Was ich bisher gemacht habe:
- Verschlüsselung der gesamten Festplatte mit Bitlocker (Wiederherstellungsschlüssel gedruckt)
- Ich habe gelesen, dass man über Gruppenrichtlinien die Passwrotabfrage erzwingen kann, wenn man nicht TPM hat. Auf meinem PC sieht es für mich jedoch so aus, als ob ich TPM habe (bin nicht sicher). Daher habe ich hier nichts getestet, zumal ich ja auch für mein Verständnis irgendwo vorher ein Passwort festlegen müsste.

Was mein Problem ist:
- Ich finde keine Möglichkeit, ein Passwort für Bitlocker festzulegen und die Passwortwortabfrage dann zu erwzingen.

Kann mir jemand helfen?

Gruß und Dank im voraus
Jacob

 

[miac]

Ob du ein TPM hast, findest du im Gerätemanager oder auch im Bitlocker Menü heraus, in dem Du versuchst, das TPM einzurichten.

Wenn Du das TPM benutzen willst, solltest Du vorher sicher sein, daß Du es in Besitz nehmen kannst. Die Installation von Windows ist dann ebenfalls etwas spezieller. Damit Du z.B. OPAL nutzen kannst.

 

[marccccc]

Wenn Du das TPM benutzen willst, solltest Du vorher sicher sein, daß Du es in Besitz nehmen kannst. Die Installation von Windows ist dann ebenfalls etwas spezieller. Damit Du z.B. OPAL nutzen kannst.

Mmmh. Danke schon mal, klingt für mich jedoch kompliziert. Ich habe nicht den gringsten Schimmer, was mit "TPM in Besitz nehmen" gemeint ist, geschweige denn was hier die Auswirkungen sind.

Alternative Frage:
Was passiert, wenn ich einfach das Szenario ohne TPM nehme? Dazu gibt es ja Anleitungen. Ist das totaler Blödsinn?

Gruß
Jacob

 

[miac]

Ein TPM hat ja ein Kennwort. Das kennst du in der Regel erstmal nicht. Also mußt Du das TPM vorbereiten. das kannst Du im BIOS oder aus Windows heraus machen.

Zum Thema Verschlüsselung:
Wenn Du keine TPM Bindung möchtest, dann vergebe ein Paßwort für deinen Datenträger im BIOS. Deine SSD ist ja bereits von Haus aus verschlüsselt. Eine nochmalige Verschlüsselung via Bitlocker ist unnötig. Das Paßwort im BIOS reicht aus.

Ergänzung (14. Februar 2016)

Übrigens: In Samsung Magician Software findest Du im Punkt Data Security entsprechende Hinweise, auch zu eDrive.

 

[Tom_123]

Hi,

setze im UEFI einfach ein PowerOn Passwort. Dieses wird bei jedem Einschaltvorgang abgefragt. Wenn dieses nicht oder falsch eingegeben wird, fährt das Laptop nicht hoch. Ebenso hat dies den Vorteil, dass wen der Rechner gestohlen wird, dieser nicht ohne einen Mainboardtausch weiterverwendet werden kann.

 

[miac]

Aber dann kannst Du die SSD einfach ausbauen und lesen.

deswegen: HDD Pasßwort im BIOS vergeben.

 

[Tom_123]

Hi,

nein dies verhindert die Bitlockerverschlüsselung im Zusammenhang mit den TPM.

Hab ich bei mir mit meinem T440p mit Samsung SSD+ eDrive-Verschlüsselung via Bitlocker problemlos am Laufen.

 

[miac]

Opal geht ja nur mit Fremdsoftware. eDrive erfordert ein spezielles Vorgehen und geht nicht nachträglich.

Die TPM Bindung habe ich bereits erläutert.

 

[Tom_123]

Hi,

auch wenn die SSD "klassisch" mit Bitlocker verschüsselt wurde, kann nicht ohne wetieres durch einen Ausbau auf die Daten zugegriffen werden. Ansonsten könnte man sich ja die Verschlüsselung sparen

 

[miac]

Das ist richtig, wenn es so gemacht wird. Jedoch ist die Verschlüsselung unnötig und belastet sowohl Prozessor als auch die SSD unnötig.

Wenn Du Opal bzw. eDrive nutzt, wird die SSD auch nicht nochmal verschlüsselt (oder Du hast es falsch gemacht bzw. kein SED eingesetzt).

 

[marccccc]

Ergänzung (14. Februar 2016)

Übrigens: In Samsung Magician Software findest Du im Punkt Data Security entsprechende Hinweise, auch zu eDrive.

Danke schon mal.

Kurz der Stand auf meiner Seite:
Bei Magician sehe ich unter Security (oben unter der Festplattenbezeichnung) in roter Schrift "Auf dem ausgewählten Laufwerk konnte der Vorgang nicht ausgefürht werden.".
Daraufhin habe ich mal ein wenig rumgeklickt in Magician und habe festgestellt, dass ich auch die Festplatte nicht authentifizieren kann. Keine Ahnung, ob beides miteinander zusammenhängt.

Na prima. Von Hölzchen auf Stöckchen. Genau das richtige für mich.
Also habe ich mal mit dem Samsung Support gechattet (nach 15 Minuten Wartezeit), der mich an eine Firma verwies:
"HANARO
Florijn 8
5751 PC Deurne
The Netherlands
00800 8010 8011
Die Rufnummer ist kostenfrei und die Kollegen sprechen Deutsch.
Geschäftszeiten: Montag - Freitag von 08:30 - 17:00 Uhr.
ODD: samsungodd@hanaro.eu
SSD und SD-Karten: samsungmemory@hanaro.eu"
(Habe ich hier gepostet, damit sich jemand vielleicht die Wartezeit im Chat spart.)


Geht also erst morgen weiter.

Gruß
Jacob

 

[marccccc]

Update (bisher keine Lösung):

Der Samsung-Support hatte mir empfohlen, den Treiber "Intel 8 Series Chipset Family SATA AHCI Controller" zu löschen.
-> Das hob meinen Adrenalinspiegel beim nächsten Booten dann doch sehr, da nichts mehr ging (“inaccessable boot device”). Glücklicherweise hat mir Windows dann die Reaparaturoption des Zurücksetzens angeboten, was wunderbar funktioniert hat.
Also absolut gar keine Empfehlung.

Ohne ein Wort des Bedauerns wurde ich dann in der nächsten Mail gefragt, ob ich der zu löschende Treiber aktuell sei (merkwürdige Frage, da ich ihn ja löschen sollte) und ob alle Windows-Updates eingespielt seien. Beides habe ich bejaht.
Weiterhin wurde mir empfohlen: "please also check with another SATA port and/or cable", weil "SSD is not fully correct recognized by your computer". Keine Ahnung, worum es hier geht. Ich benutze ein fast neues Notebook und ich wüsste nicht, wie ich hier dem Vorschlag güberhaupt folgen könnte. Hinterlässt mich ratlos.

Bisher also ziemlich frustrierend. Mal sehen, ob es hier noch eine Lösung von Samsung gibt.

Gruß
Jacob

 

[miac]

Falls du nicht einen anderen Rechner hast, dann versuche da mal dein Glück.

Beachte, daß Magician von der SAMSUNG Seite heruntergeladen werden sollte, da es lange nicht mit Windows 10 kompatibel war. Beachte auch, daß ein korrektes Firmwareupgrade eventuell erst mit der aktuellen Version geladen werden kann.

So war es zumindest bei meiner 850 Evo. Version ist 4.9.5. Das Update wurde nicht mit der beigelegten CD Version angezeigt.

 

[marccccc]

Hallo miac,

danke für die Hinweise.
Ich habe nur ein Notebook von meinem Arbeitgeber. Dort habe ich Magician installiert und die SSD per USB angeschlossen. Habe von der SSD nicht gebootet, sondern von der eingebauten HDD des Notebooks. Mit Magician konnte ich die SSD sehen, jedoch keine Seriennummer identifieren oder gar ein FW-Update vornehmen (der Tab war inaktiv).

Magician-Verision war - auch bei den ersten Versuchen schon - die aktuelle Version 4.9.5. Leider keine heisse Spur. Trotzdem natürlich vielen Dank.

Gruß
Jacob

 

[miac]

Ist ja seltsam. Vielleicht ist es ein nicht authorisiertes Produkt oder Refurbished.

 

[marccccc]

Bei Cyberport online gekauft. Soweit ich weiss ein sehr seriöser Laden.
Die Seriennummer kennt der Samsung-Support auch durch die von mir gesendeten Screenshots. Dazu gab es keine Anmerkung.

Von Smasung habe ich auch noch nichts Neues gehört. Echt frustrierend. Ich hake gleich nochmal nach.

Gruß
Jacob

 

[marccccc]

Das Problem mit der Authentifzierung der Festplatte und des unmöglichen Firmware-Updates ist nun gelöst.
Hier steht es (habe die zweite Variante genommen, bei der der Treiber geupdated wird):
http://answers.microsoft.com/en-us/...chnology/e3c4b6d6-56ba-4ac5-be50-89843c9d9b22.

Mein bisheriger Treiber "Intel(R) 8 Series Chipset Family SATA AHCI Controller" für "IDE ATA/ATAPI-Controller" war offenbar ein Treiber IRST (Intel Rapid Storage Technology). Ich hatte schon davon gelesen, dass IRST diverse Probleme verursachen kann. Mir war nur nicht klar, dass ich einen IRST-Treiber hatte, und auch nicht, dass ich auf der Festplatte noch einen Standardtreiber habe, den ich auch nutzen kann.
Jetzt ist es der Standardtreiber und alles funktioniert wunderbar.

Der Samsung-Support war dabei eher durch Zufall hilfreich. Mir wurde nämlich empfohlen, auf den neuesten IRST-Treiber upzudaten. Meine Frage, welche Version (F6 oder CLI) denn die richtige sei, bekam ich keine Antwort. Auch auf meine explizite Frage, ob ich wirklich einen IRST-Treiber installieren soll, obwohl ich mehrfach gelesen hatte, dass diese Probleme verursachen, gab es keine Antwort.
Der Samsung-Support war in diesem Fall also leider eher chaotisch und nur durch Zufall hilfreich.

So, jetzt gucke ich mir das mit der Verschlüsselung nochmal an. Habe ja alles wieder vergessen mittlerweile.

Gruß
Jacob

 

[miac]

Interessant, wieder mal der Intel Treiber...

Benutzt Du nun die MS Treiber?

 

[marccccc]

yep:
"Standardmäßiger SATA AHCI- Controller", Version 10.0.10586.0, 21.06.2006, Microsoft.

Ergänzung (1. März 2016)

Zum Thema Verschlüsselung:
Wenn Du keine TPM Bindung möchtest, dann vergebe ein Paßwort für deinen Datenträger im BIOS. Deine SSD ist ja bereits von Haus aus verschlüsselt. Eine nochmalige Verschlüsselung via Bitlocker ist unnötig. Das Paßwort im BIOS reicht aus.

Das müsste ja der Datensicherungsmodus "Class 0" in Magician sein, richtig?
Paranoide Frage:
Wenn ich in diesem Szenario das Passwort im BIOS setzt, kann ich die SSD nicht einfach in einem anderen PC ohne PW lesen. Acuh richtig?

Gruß
Jacob