ComputerBase Menü
Aktuelles

Bitlocker - Was wenn TPM defekt ist

geohei

geohei

Ensign
Registriert
Apr. 2008
Beiträge
168
Hallo.

Windows 7 Ultimate

Wenn ich TPM zwecks Bitlocker Verschlüsselung benutze und das TPM Modul nicht mehr ansprechbar ist (= defekt), komme ich dann noch mit dem Bitlocker Recovery Key an meine Daten?

Danke!
 
mit dem Recovery-Key sollte der Datenträger auf jeden Fall (unabhängig von der Hardware) zu entschlüsseln sein
 
Alles klar. Danke für die Antwort!

In der Zwischenzeit habe ich aber ein anderes Problem. Beim Versuch Bitlocker mit TPM zu benutzen, bekam ich folgende Meldung als ich die Systempartition einschalten wollte.

The BIOS did not correctly communicate with the Trusted Platform Module (TPM). Contact the computer manufacturer for BIOS upgrade instructions.
Zum Vergrößern anklicken....
1. Das Mobo ist 3 Jahre alt (Gigabyte) und das BIOS ist up-to-date.
2. Im BIOS wird das TPM erkannt.
3. Das TPM ist im BIOS enabled, active und owned.
4. Über Windows 7 kann ich das TPM ansprechen (einschalten, ausschalten, Passwort ändern, löschen, resetten, ...).

Windows 7 erkennt das TPM und redet auch mit dem Teil, nur Bitlocker scheint sich anzuecken.

Was läuft hier schief?
 
Wow ... vielen Dank für die Links! Toll!

Aber ... all diese Aktionen funktionieren. Das ist ja gerade das Sonderbare! Ich habe mittels tpm.msc die volle Kontrolle über das TPM, nur BitLocker meckert (siehe Meldung im Artikel oben)!

Der Device Manager zeigt auch keine Fehler an. Der Teiber ist 6.1.7600.16385 von Microsoft vum 21.06.2006.

Das TPM ist auch die Platine gesteckt (also nicht vom Hersteller drauf gelötet)!
https://www.alternate.de/GIGABYTE/TPM-Module-GCTPMR-00-Gl/html/product/982529?

Zusätzliche TPM Software habe ich nicht installiert (wusste nicht einmal, dass es sowas gibt).

Hier noch Einzelheiten zum TPM Modul:
Manufacturer Name: IFX
Manufacturer Version : 3.19
Specification Version : 1.2

Kann es sein dass ein Command im tpm.msc geblockt ist welches erlaubt sein soll?
 
Zuletzt bearbeitet:
Seltsam! Probier doch mal einen (möglichst kleinen, damit es schneller geht) USB-Stick mittels Bitlocker zu verschlüsseln, vll. liegt es ja irgendwie an der Systempartition.
 
Genau das habe ich bereits probiert (kein USB Stick, aber eine kleine Datenpartition auf dem gleichen HDD). Hat funktioniert. Das ist aber nicht das gleiche wie die Verschlüsselung der Systempartition.

Die angezeigte Fehlermeldung sagt klar, dass es sich um ein Kommunikationsproblem zwichen TPM und BIOS handelt. Was ich nicht verstehe ist, dass ich mittels Windows 7 trotzdem die administrative Kontrolle über das TPM habe. Also muss die Kommunikation zwischen TPM und BIOS funktionieren!

Wenn es an der Systempartition läge, was könnte denn da genau falsch sein?

Auch habe ich den TPM gelöscht (Clear TPM) und wieder neu initialisiert (Initialize TPM). Noch immer der gleiche Fehler!

Mir gehen die Ideen aus ...
Ergänzung ()

Habe da noch einige Tests gefahren ... und einige Fragen.

Die Systempartition ist auf einer SSD Samsung 840 Pro. Alle bordeigenen Security Features der SSD sind ausgeschaltet! Sollte da etwas eingeschaltet sein? Das kann doch fast nicht sein da es testweise ohne TPM mit dem USB Stick ja fuktioniert hat.

Kann es nicht an einer falsch eingestellten BIOS Funktion liegen?

Wenn ich über die Group Policies TPM Startup nicht erlaube, beginnt der BitLocker Wizard wie üblich. Die Systempartition wird um 250 MB verkleinert und die Windows RE Recovery Partition (250 MB) wird dahinter erzeugt. Beim Anschliessenden Verschlüsseln wird jedoch wieder die Meldung mit dem BIOS/TPM Kommunikationsproblem angezeigt ... und das obwohl das TPM ja gar nicht benutzt werden soll.

Ich übersehe hier etwas Grundlegendes ... !!!???
Ergänzung ()

Ich bin nicht allein ...
https://www.computerbase.de/forum/t...icht-aktivieren-windows-8-pro-x64bit.1234191/
 
Zuletzt bearbeitet:
Korrekt du bist nicht alleine mit dem Problem.
Mir konnte leider nur der Gigabyte Support weiterhelfen. Mir wurden nicht freigegebene BIOS Versionen zukommen gelassen.

Was für ein Mainboard verwendest du den?
 
Das gleiche wie du. GA-Z77X-UD5H (rev. 1.0)

Also liegt es am BIOS?

Ich bin aber auch nicht sonderlich warm meine Daten mit nicht freigegebenen BIOS Versionen mittels TPM zu verschlüsseln.

Wie inoffiziell sind diese BIOS Versionen?
Gibt es Infos dazu?
Hast du den deutschen Gigabyte Support angeschrieben?
Ist mein Problem das gleiche wie bei dir?
Hattest du keine Probleme mit dem neuen BIOS?
Läuft F14/F15q mit einem anderen TPM Modul denn?

Danke!
 
Zuletzt bearbeitet:
Glaube nicht das es am Modul liegt, weil der Chip auf dem Modul bei allen gleich ist.

Ich hatte mit der Version keine Probleme, jedoch habe ich das Board auch nicht mehr im Einsatz.

Ich kann morgen gerne nochmal checken, ob ich die BIOS Datei noch habe.

Ist jetzt auch ein weilchen her...
Der Gigabyte Support, deutsch, sollte zu not aber weiterhelfen können.
 
geohei schrieb:
Ich bin aber auch nicht sonderlich warm meine Daten mit nicht freigegebenen BIOS Versionen mittels TPM zu verschlüsseln.
Zum Vergrößern anklicken....
Du kannst (via Gruppenrichtlinie) als Alternative auch umstellen, dass beim Systemstart ein Bitlocker-Passwort eingegeben werden muss. Dann läuft das auch alles wunderbar ohne TPM.
 
M@rsupil@mi schrieb:
Du kannst (via Gruppenrichtlinie) als Alternative auch umstellen, dass beim Systemstart ein Bitlocker-Passwort eingegeben werden muss. Dann läuft das auch alles wunderbar ohne TPM.
Zum Vergrößern anklicken....
Das ist der PIN, richtig?
Als Alternative werde ich mir das merken wenn das mit dem TPM jetzt nicht klappen sollte.
Dann wäre da auch noch der USB Stick ...

Zuerst einmal möchte ich jetzt aber den TPM zum Rennen bringen.

Sonderbar ist jedoch, dass es anscheinend Leute gibt wo dieser TPM mit meinem Mobo funkltioniert.

https://www.alternate.de/html/product/information/ratings/allRatings.html?articleId=982529
Bewertung vom 19.08.2013
" Der Chip funktioniert mit meinem Gigabyte z77x-ud5h zur Verschlüsselung der Festplatte mit Bitlocker. "

Bei einem weiteren Käufer hat es auch funktioniert!

Wie ist so etwas möglich?!
 
Ohne TPM geht es nur mit einem USB Stick wo die Schlüssel Datei abgelegt ist.
Diese Information ist sonst im TPM Modul hinterlegt.
 
x-Timmey-x schrieb:
Ohne TPM geht es nur mit einem USB Stick wo die Schlüssel Datei abgelegt ist.
Diese Information ist sonst im TPM Modul hinterlegt.
Zum Vergrößern anklicken....
Ja, so habe ich das auch gelesen.

Nur PIN (wie M@rsupil@mi schreibt) sollte somit nicht gehen. TPM oder USB Stick muss sein. Zusätzlich kann (man muss nicht) dann noch mit PIN absichern. Ist das so korrekt?

Ich finde es sehr sonderbar, dass BitLocker bei einigen Usern mit dieser TPM/Mobo Kombination fuktioniert hat!

BTW ... hattest du die Systempartition auf HDD oder SSD liegen (Samsung 830 wenn ich richtig lese)?
 
Zuletzt bearbeitet:
Bei der USB Stick Variante muss zusätzlich zum einstecken des USB Sticks auch ein Start Passwort bzw. eine PIN eingeben.
Wobei hier kein bitte kein klassischer vierstelliger zahlencode eingetragen werden soll, sondern ein komplexes Passwort!
 
geohei schrieb:
TPM oder USB Stick muss sein.
Zum Vergrößern anklicken....
In der Gruppenrichtlinie kannst du auch einstellen, dass Pin allein auch reicht. Pin dabei nicht nur als 1234-Zahlenfolge sehen, wie man es mit Pin normal verbindet. Da kann man auch was mit allen Sonderzeichen verwenden, was die Tastatur im US-Layout hergibt. 30-40+ Stellen beim Pin sind auch kein Problem. (Komplexe Pins in der Gruppenrichtlinie aktivieren.)
 
M@rsupil@mi schrieb:
In der Gruppenrichtlinie kannst du auch einstellen, dass Pin allein auch reicht. Pin dabei nicht nur als 1234-Zahlenfolge sehen, wie man es mit Pin normal verbindet. Da kann man auch was mit allen Sonderzeichen verwenden, was die Tastatur im US-Layout hergibt. 30-40+ Stellen beim Pin sind auch kein Problem. (Komplexe Pins in der Gruppenrichtlinie aktivieren.)
Zum Vergrößern anklicken....
Danke für die Klarstellung.

Meine aktuelle TPM/Mobo Konstellation verbiegt mir alles dermassen, dass wenn ich in gpedit.msc "Require additional authentification at startup" einschalte nicht einmal gefragt werde ob och auf USB oder PIN ausweichen will. Wenn ich den TPM aus dem Rechner entferne werde ich das mit der Nur-PIN Konfiguration testen. Danke für den Vorschlag.

Büsse ich mit Nur-PIN nichts an Sicherheit ein?
 
Primär leidet die Bequemlichkeit, weil es nach dem BIOS erst einmal nicht weitergeht, bis der Bitlocker PIN eingegeben wurde. Das Passwort sollte halt gut (Groß-, Kleinbuchstaben, Zahlen & Sonderzeichen beinhalten und lang sein; wobei es auch nicht nur "kryptisch" sein muss. ob man jetzt am Ende %37hzmk oder einfach äääääää hat ist eher zweitrangig, wenn Groß-, Kleinbuchstaben, Zahlen & Sonderzeichen verwendet werden) sein.

Ein Keylogger zwischen Tastatur und Gerät oder eine Kamera, die heimlich filmt, was man eingibt, kann man zwar als Bedrohung sehen, aber in dem Fall hat man doch eher ganz andere Probleme. Ein TPM würde da auch nicht so viel mehr bringen. Da wäre lokal lediglich das Windows PW die Hürde, die genommen werden muss. Und auch da würde Keylogger bzw. Kamera die Hürde nehmen lassen.

Für den Privatanwender IMO also nicht wirklich das große Bedrohungsszenario.


TPM, Pin & Windows-PW spielen auch keine Rolle mehr, wenn ein Angreifer den Wiederherstellungsschlüssel in die Hände bekommt, den man aber im Notfall selbst benötigt und irgendwie gut sichern muss.
 
Zuletzt bearbeitet:
Ok ... danke!

Zurück zum TPM ...

Seit Anfang an hatte ich BIOS Einstellungen im Verdacht. Daher habe ich hier noch etwas herumgewühlt.

Ich habe nirgends gefunden, daß Windows 7 im UEFI in Zusammenhang mit TPM gestartet werden muß (was bei mir aber trotzdem der Fall ist). Auch fand ich nichts über einen Secure Boot Zwang in Zusammenhang mit Windows 7. Also sollte Thema UEFI und Secure Boot Zwang in meinem Fall vom Tisch sein.

Mein Mobo scheint auch Windows 10 kompatibel zu sein da die Treiber dazu angeboten werden.
http://www.gigabyte.de/products/product-page.aspx?pid=4139#dl
Also sollte die Hardware dem z.Z. "sichersten" (bitte jetzt nicht hier anecken) Windows gewachsen sein.

Testweise habe ich im BIOS trotzdem aber einmal "CSM Support" auf "Never" gesetzt. Der Rechner hat dann nicht mehr gebootet.
File: \EFI\Microsoft\Boot\BCD
Status: 0xc000000d
Info: An error occurred while attempting to read the boot configuration data.
Zum Vergrößern anklicken....

Bitlocker funktioniert ja prinzipiell (mit USB Stick als Startup Key device), nur eben nicht mit TPM.

Ich habe immer mehr das Gefühl dass ich hier etwas übersehe!

BTW ... Google sagt es gäbe "inoffizielle" F16 (mod xx) Firmwares für mein Mobo. Die werde ich aber nicht draufspielen bis ich mit Sicherheit weiss an was das hier liegt!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Mit Bitlocker verschlüsselte System-SSD auf neues Mainboard mitnehmen/umziehen/einbauen – ohne Datenverlust möglich?
2 3
Antworten
58
Aufrufe
1.770
tollertyp
T
Humbold
Bitlocker: Keine Aktivierung in Win11 Pro möglich - TPM?
2
Antworten
23
Aufrufe
1.939
Humbold
Humbold
16-Bit
Bitlocker kann nicht auf TPM zugreifen
Antworten
2
Aufrufe
757
16-Bit
16-Bit
LoreFipsum
Was genau macht BitLocker?
2
Antworten
37
Aufrufe
3.144
LoreFipsum
LoreFipsum
W
USB Laufwerk welches mit Bitlocker verschlüsselt ist sicher aushängen
Antworten
3
Aufrufe
804
Evil E-Lex
Evil E-Lex
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz