13
Verschlüsselung mit TPMBitlocker auch möglich bei wechselnder Notebook-Festplatte
Hallo,
über den Wechselfestplattenschacht in meinem Notebook boote ich mal von der einen und mal von der anderen Platte. Je nach dem welche ich also benötige wechsel ich die physikalische Festplatte im Schacht.
Nun wollte ich aber meine beiden Platten verschlüsseln. Wie mache ich das mit Bitlocker und eingebautem TPM-Chip?
Dann müssten doch beide Schlüssel im Chip gespeichert werden? Wie erkennt Windows 8.1 beim Boot welchen Schlüssel er benötigt?
Geht das ganze überhaupt?
Danke!
über den Wechselfestplattenschacht in meinem Notebook boote ich mal von der einen und mal von der anderen Platte. Je nach dem welche ich also benötige wechsel ich die physikalische Festplatte im Schacht.
Nun wollte ich aber meine beiden Platten verschlüsseln. Wie mache ich das mit Bitlocker und eingebautem TPM-Chip?
Dann müssten doch beide Schlüssel im Chip gespeichert werden? Wie erkennt Windows 8.1 beim Boot welchen Schlüssel er benötigt?
Geht das ganze überhaupt?
Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 259016
Url: https://administrator.de/contentid/259016
Printed on: April 25, 2024 at 15:04 o'clock
13 Comments
Latest comment
Hi,
das TPM wird auf der zweiten Platte einfach "so wie es ist" als Bitlocker-Protector verwendet. Wenn Du ein neues/zurückgesetztes TPM hast läuft das so ab:
Beim Verschlüsseln der ersten Platte wirst du den Besitz über das TPM übernehmen müssen, um das TPM zur Verwendung vorzubereiten. Dabei wird eine Besitzkennwortdatei generiert. Um im zweiten System das TPM verwenden zu können, gibst du einfach auf die entsprechende Nachfrage diese Kennwortdatei an.
Grüße
Richard
das TPM wird auf der zweiten Platte einfach "so wie es ist" als Bitlocker-Protector verwendet. Wenn Du ein neues/zurückgesetztes TPM hast läuft das so ab:
Beim Verschlüsseln der ersten Platte wirst du den Besitz über das TPM übernehmen müssen, um das TPM zur Verwendung vorzubereiten. Dabei wird eine Besitzkennwortdatei generiert. Um im zweiten System das TPM verwenden zu können, gibst du einfach auf die entsprechende Nachfrage diese Kennwortdatei an.
Grüße
Richard
Moin.
Das sollte gehen, ohne Weiteres. Ein TPM kann mehrere Schlüssel speichern, dabei ist es ihm egal, ob es nun für mehrere Partitionen der selben oder von verschiedenen Platten ist, ebenso wenig, ob es eine Bootplatte ist, oder nicht.
Das sollte gehen, ohne Weiteres. Ein TPM kann mehrere Schlüssel speichern, dabei ist es ihm egal, ob es nun für mehrere Partitionen der selben oder von verschiedenen Platten ist, ebenso wenig, ob es eine Bootplatte ist, oder nicht.
Hallo!
Soweit so gut. Jedoch habe ich schon ein Problem bei der ersten Platte. Ich habe einen Laptop (Win 8.1) mit drehbarem Display. Also wie ein Surface um quasi ein Tablet draus zu machen.
Da bietet mit Bitlocker nun nur nach Verschlüsselung einen Usb Stick als Start-Authentifizierung. Einen Preboot-PIN lässt Windows gar nicht zu. Es meckert dann das es einen Richtlinien Konflikt gibt weil mein System über keine Tastatur verfügen soll - hat es ja aber doch...
Hat jmd. einen Rat?
Soweit so gut. Jedoch habe ich schon ein Problem bei der ersten Platte. Ich habe einen Laptop (Win 8.1) mit drehbarem Display. Also wie ein Surface um quasi ein Tablet draus zu machen.
Da bietet mit Bitlocker nun nur nach Verschlüsselung einen Usb Stick als Start-Authentifizierung. Einen Preboot-PIN lässt Windows gar nicht zu. Es meckert dann das es einen Richtlinien Konflikt gibt weil mein System über keine Tastatur verfügen soll - hat es ja aber doch...
Hat jmd. einen Rat?
Nenn doch mal den genauen Wort der Fehlermeldung - ich denke, es lassen sich Leidensgenossen samt Lösungen ergooglen.
Hallo,
unter "gpedit.msc" habe ich im entsprechenden Pfad bei Betriebssystemlaufwerke unter "Zusätzliche Authentifizierung beim Start anfordern" folgendes gewählt:
[TPM-Start konfigurieren:] TPM erforderlich
[TPM-Systemstart-PIN konfigurieren:] Start-PIN bei TPM erforderlich
[TPM-Systemstartschlüssel konfigurieren:] Systemstartschlüssel bei TPM nicht zulassen
[TPM-Systemstartschlüssel und -PIN konfigurieren:] Systemstartschlüssel und PIN bei TPM nicht zulassen
"Verwendung der BitLocker-Authentifizierung mit erforderlicher Tastatureingabe vor dem Start auf Slates aktivieren" ist aktiviert.
Wenn ich dann in den Systemeinstellungen unter Bitlocker die "Ändern, wie das Laufwerk beim Start entsperrt wird" Option klicke, bekomme ich folgende Fehlermeldung:
*
Die Gruppenrichtlinieneinstellungen für Bitlocker-Startoptionen stehen in Konflikt und können nicht angewendet werden. Weitere Informationen erhalten Sie vom Systemadministrator.
*
Wähle ich bei der "Authentifizierung beim Start anfordern" folgende Paramter:
[TPM-Start konfigurieren:] TPM ZULASSEN
[TPM-Systemstart-PIN konfigurieren:] Start-PIN bei TPM ZULASSEN
[TPM-Systemstartschlüssel konfigurieren:] Systemstartschlüssel bei TPM nicht zulassen
[TPM-Systemstartschlüssel und -PIN konfigurieren:] Systemstartschlüssel und PIN bei TPM nicht zulassen
Erhalte ich zwar keine Fehlermeldung mehr bei der Option "Ändern, wie das Laufwerk beim Start entsperrt wird" in den Systemeinstellungen, jedoch ist das "PIN eingeben" immer ausgegraut (USB-Speicherstick anschliessen auch, aber das will ich ja auch nicht).
Ich habe es auch schon gehabt -das konnte ich jetzt aber nicht reproduzieren- das dort als Fehlermeldung bei der Option stand: ...es ist möglicherweise beim Start keine Tastatur vorhanden, sodass kein Passwort eingegeben werden kann...
Mein Laptop (Win 8.1) hat aber eine Tastatur und man kann durch Displaydrehen quasi ein Tablet draus machen.
Vielen Dank für Hilfe!
unter "gpedit.msc" habe ich im entsprechenden Pfad bei Betriebssystemlaufwerke unter "Zusätzliche Authentifizierung beim Start anfordern" folgendes gewählt:
[TPM-Start konfigurieren:] TPM erforderlich
[TPM-Systemstart-PIN konfigurieren:] Start-PIN bei TPM erforderlich
[TPM-Systemstartschlüssel konfigurieren:] Systemstartschlüssel bei TPM nicht zulassen
[TPM-Systemstartschlüssel und -PIN konfigurieren:] Systemstartschlüssel und PIN bei TPM nicht zulassen
"Verwendung der BitLocker-Authentifizierung mit erforderlicher Tastatureingabe vor dem Start auf Slates aktivieren" ist aktiviert.
Wenn ich dann in den Systemeinstellungen unter Bitlocker die "Ändern, wie das Laufwerk beim Start entsperrt wird" Option klicke, bekomme ich folgende Fehlermeldung:
*
Die Gruppenrichtlinieneinstellungen für Bitlocker-Startoptionen stehen in Konflikt und können nicht angewendet werden. Weitere Informationen erhalten Sie vom Systemadministrator.
*
Wähle ich bei der "Authentifizierung beim Start anfordern" folgende Paramter:
[TPM-Start konfigurieren:] TPM ZULASSEN
[TPM-Systemstart-PIN konfigurieren:] Start-PIN bei TPM ZULASSEN
[TPM-Systemstartschlüssel konfigurieren:] Systemstartschlüssel bei TPM nicht zulassen
[TPM-Systemstartschlüssel und -PIN konfigurieren:] Systemstartschlüssel und PIN bei TPM nicht zulassen
Erhalte ich zwar keine Fehlermeldung mehr bei der Option "Ändern, wie das Laufwerk beim Start entsperrt wird" in den Systemeinstellungen, jedoch ist das "PIN eingeben" immer ausgegraut (USB-Speicherstick anschliessen auch, aber das will ich ja auch nicht).
Ich habe es auch schon gehabt -das konnte ich jetzt aber nicht reproduzieren- das dort als Fehlermeldung bei der Option stand: ...es ist möglicherweise beim Start keine Tastatur vorhanden, sodass kein Passwort eingegeben werden kann...
Mein Laptop (Win 8.1) hat aber eine Tastatur und man kann durch Displaydrehen quasi ein Tablet draus machen.
Vielen Dank für Hilfe!
Teste es bitte mal ohne eine PIN anzufordern, also diese Policy wieder zurück auf "nicht konfiguriert" stellen.
Hallo,
dann kann ich folgende Parameter festlegen "wie das Laufwerk beim Start entsperrt werden soll":
PIN eingeben (empfohlen) / AUSGEGRAUT
USB-Speicherstick anschließen/ AUSGEGRAUT
Das Laufwerk soll von BitLocker automatisch entsperrt werden /// <- dies ist die einzig auswählbare Option.
dann kann ich folgende Parameter festlegen "wie das Laufwerk beim Start entsperrt werden soll":
PIN eingeben (empfohlen) / AUSGEGRAUT
USB-Speicherstick anschließen/ AUSGEGRAUT
Das Laufwerk soll von BitLocker automatisch entsperrt werden /// <- dies ist die einzig auswählbare Option.
Stell mal auf
[TPM-Start konfigurieren:] TPM erforderlich
[TPM-Systemstart-PIN konfigurieren:] Start-PIN bei TPM erforderlich
[TPM-Systemstartschlüssel konfigurieren:] Systemstartschlüssel bei TPM zulassen
[TPM-Systemstartschlüssel und -PIN konfigurieren:] Systemstartschlüssel und PIN bei TPM zulassen
[TPM-Start konfigurieren:] TPM erforderlich
[TPM-Systemstart-PIN konfigurieren:] Start-PIN bei TPM erforderlich
[TPM-Systemstartschlüssel konfigurieren:] Systemstartschlüssel bei TPM zulassen
[TPM-Systemstartschlüssel und -PIN konfigurieren:] Systemstartschlüssel und PIN bei TPM zulassen
Guten Morgen!
Dann gibts diese Meldung hier:
Die Gruppenrichtlinieneinstellungen für Bitlocker-Startoptionen stehen in Konflikt und können nicht angewendet werden. Weitere Informationen erhalten Sie vom Systemadministrator.
Dann gibts diese Meldung hier:
Die Gruppenrichtlinieneinstellungen für Bitlocker-Startoptionen stehen in Konflikt und können nicht angewendet werden. Weitere Informationen erhalten Sie vom Systemadministrator.
Sag mal, kann es sein, dass Du die lokale Richtlinie modifizierst, aber per Domänen-GPO Einstellungen gesetzt werden, die dazu in Konflikt stehen? Schon mal mit rsop.msc geprüft?
Hallo,
ich bin nach dieser Anleitung (Pfad) vorgegangen. Also nur den Pfad aus der Anleitung genommen.
http://stadt-bremerhaven.de/bitlocker-laufwerkverschluesselung-unter-wi ...
Windows ist in keiner Domäne!
ich bin nach dieser Anleitung (Pfad) vorgegangen. Also nur den Pfad aus der Anleitung genommen.
http://stadt-bremerhaven.de/bitlocker-laufwerkverschluesselung-unter-wi ...
Windows ist in keiner Domäne!
Du verlinkst eine Anleitung, die zu den TPM-Optionen nichts schreibt. Auch ist nach diesem Anleitungstitel unklar, ob Du nun TPM nutzen willst, oder nicht.
Bitte mach ein
gpresult /h %temp%\resultat.html und kopiere die Bitlocker-Sektion aus dieser Datei, dann stell ich das nach und löse es.
Bitte mach ein
gpresult /h %temp%\resultat.html und kopiere die Bitlocker-Sektion aus dieser Datei, dann stell ich das nach und löse es.
Hallo,
ich hatte mittlerweile Bitlocker abgeschaltet, entschlüsselt und TPM neu gemacht.
Dann klappte es aufeinmal wie am Schnürchen.
In dem Report kann ich aber auch nichts zu Bitlocker finden... Aber wie gesagt, die PIN Abfrage kommt jetzt!
ich hatte mittlerweile Bitlocker abgeschaltet, entschlüsselt und TPM neu gemacht.
Dann klappte es aufeinmal wie am Schnürchen.
In dem Report kann ich aber auch nichts zu Bitlocker finden... Aber wie gesagt, die PIN Abfrage kommt jetzt!
