10
Bitlocker auf Windows 11 nicht verfügbar
Hallo, zusammen,
ich muss ein Notebook zur Reparatur einschicken und möchte es dafür Bitlocker-Verschlüsseln. Es läuft Win11 Pro.
Leider habe ich weder die Option "Geräteverschlüsselung" noch die den Button "Bitlocker aktivieren" neben dem Startaufwerk. Die Gruppenrichtlinie "Zusätzliche Authentifizierung beim Start anforder" von ....>Betriebssystemlaufwerke habe ich gesetzt und mit gpupdate /force eingelesen.
Das TPM ist im BIOS aktiviert (ich möchte aber PIN-Verschlüsselung machen, so weit komme ich aber gar nicht)
Mir fällt nix mehr ein, mag die Platte aber nicht einfach plattmachen...
Danke
ich muss ein Notebook zur Reparatur einschicken und möchte es dafür Bitlocker-Verschlüsseln. Es läuft Win11 Pro.
Leider habe ich weder die Option "Geräteverschlüsselung" noch die den Button "Bitlocker aktivieren" neben dem Startaufwerk. Die Gruppenrichtlinie "Zusätzliche Authentifizierung beim Start anforder" von ....>Betriebssystemlaufwerke habe ich gesetzt und mit gpupdate /force eingelesen.
Das TPM ist im BIOS aktiviert (ich möchte aber PIN-Verschlüsselung machen, so weit komme ich aber gar nicht)
Mir fällt nix mehr ein, mag die Platte aber nicht einfach plattmachen...
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7590323884
Url: https://administrator.de/contentid/7590323884
Printed on: April 27, 2024 at 06:04 o'clock
10 Comments
Latest comment
Hi.
Bau die Platte aus!? Garantie darfst Du deswegen nicht verlieren.
So mache ich das da die Hersteller die Platte häufig direkt formatieren ...
VG
Bau die Platte aus!? Garantie darfst Du deswegen nicht verlieren.
So mache ich das da die Hersteller die Platte häufig direkt formatieren ...
VG
1
Moin,
Ich würde auch verschlüsselte Medien nicht zur Reparatur einschicken wollen, weil ordentliche Betriebe immer Backups machen (sollten) und die Daten eventuell dann in 5 oder 10 Jahren, wenn Bugs oder genügend Rechenleistung da sind immer noch "leaken" können.
lks
- Image ziehen
- Speicher löschen (secure erase)
- Nach Reparatur restaurieren.
Ich würde auch verschlüsselte Medien nicht zur Reparatur einschicken wollen, weil ordentliche Betriebe immer Backups machen (sollten) und die Daten eventuell dann in 5 oder 10 Jahren, wenn Bugs oder genügend Rechenleistung da sind immer noch "leaken" können.
lks
Ja, geht zur Not auch, ich habe für den Fall auch vorher ein Image aufs Netz gezogen, dachte nur, Bitlocker wäre das Einfachste (war bisher auch auf allen Rechnern total easy)
Trotzdem würde mich die Lösung interessieren, da wir unsere Maschinen hier vor Ort auch mit Bitlocker verschlüsseln wollen und ich bestimmt nochmal auf das Problem treffe
Trotzdem würde mich die Lösung interessieren, da wir unsere Maschinen hier vor Ort auch mit Bitlocker verschlüsseln wollen und ich bestimmt nochmal auf das Problem treffe
Danke! Damit konnte ich den Bitlocker schon einmal einschalten! Vielleicht komme ich von da weiter.
Ich bin als Domänenadmin auf der Maschine eingeloggt. Mir kommt gerade der Gedanke, dass der vielleicht nicht automatisch lokaler Admin ist...
Ich bin als Domänenadmin auf der Maschine eingeloggt. Mir kommt gerade der Gedanke, dass der vielleicht nicht automatisch lokaler Admin ist...
1
Moin.
...Windows 11...Ich bin als Domänenadmin auf der Maschine eingeloggt
Auf die Gefahr hin, dass du den Hinweis unpassend findest: nimm doch bitte einen lokalen Admin und auf gar keinen Fall den Domänenadmin für die Clientadministration. Der Löwenanteil aller Hackerangriffe fängt mit solchen leichtsinnigen Aktionen an; ist erstmal der Hash des Domänenadmins am Client gespeichert, dann kann er wegkommen und dann fällt das Netzwerk schnell auseinander.Zitat von @DerWoWusste:
st erstmal der Hash des Domänenadmins am Client gespeichert, dann kann er wegkommen und dann fällt das Netzwerk schnell auseinander.
st erstmal der Hash des Domänenadmins am Client gespeichert, dann kann er wegkommen und dann fällt das Netzwerk schnell auseinander.
Ich lerne immer gerne dazu
Allerdings würde ich, sollte das stimmen, das ganz klar als Sicherheitslücke in der Windows Authentifizierung sehen, oder?
Nicht wirklich. Die Architektur von Windows setzt eben auf single sign on und das bedeutet, dass die Anmeldeinfos im RAM sind. Und wenn am Client, an dem Du dich befindest, etwas/jemand Adminrechte hat, kann er diesen RAM auslesen und Domänenadmin werden.
Zitat von @DerWoWusste:
Nicht wirklich. Die Architektur von Windows setzt eben auf single sign on und das bedeutet, dass die Anmeldeinfos im RAM sind. Und wenn am Client, an dem Du dich befindest, etwas/jemand Adminrechte hat, kann er diesen RAM auslesen und Domänenadmin werden.
Nicht wirklich. Die Architektur von Windows setzt eben auf single sign on und das bedeutet, dass die Anmeldeinfos im RAM sind. Und wenn am Client, an dem Du dich befindest, etwas/jemand Adminrechte hat, kann er diesen RAM auslesen und Domänenadmin werden.
Warum ist ein Login mit dem Domänenadmin dann überhaupt möglich?
Warum ist ein Login mit dem Domänenadmin dann überhaupt möglich?
Dass MS dies an Clients per default möglich macht, ist quasi die Ursünde. Sie raten davon ab und schlagen vor, GPOs zu nutzen, um das, was sie per Default ermöglichen, unmöglich zu machen.Damals (Windows 2000) war MS noch nicht so streng mit Ihren Konzepten, wie jetzt. Das wäre heute undenkbar. Aber dennoch haben sie es beibehalten, um ein riesiges Chaos zu vermeiden bei Betrieben, die sich eben genau verlassen auf: "mit dem Domadmin bin ich überall Gott"