11
Bitlocker verweigert, obwohl TPM + UEFI Boot
Hi zusammen,
ich suche den Fehler in meiner Bitlocker-GPO: manche Geräte in der Domain verweigern die Verschlüsselung.
Was ich bereits geprüft habe:
Bei dem Lenovo-Gerät von dem ich die Screenshots gezogen hab will BitLocker einfach nicht den TPM Chip verwenden.
Was überseh ich?
Besten Dank für die Hilfe im Voraus
LiGrü aus Österreich,
JuliusTiberius
Screenshots eines der betroffenen Systeme:
GPO-Einstellungen:
ich suche den Fehler in meiner Bitlocker-GPO: manche Geräte in der Domain verweigern die Verschlüsselung.
Was ich bereits geprüft habe:
- GPO wird am Client übernommen. GPO-Report anbei
- TPM ist vorhanden und einsatzbereit (siehe Screenshot)
- UEFI-Boot ist aktiv (siehe Screenshot)
- Eventlog Anwendungs- und Dienstprotokolle\Microsoft\Windows\Bitlocker-API zeigt nur Warnungen, dass Software-BitLocker von der GPO deaktiviert wurde (ist so gewollt).
Bei dem Lenovo-Gerät von dem ich die Screenshots gezogen hab will BitLocker einfach nicht den TPM Chip verwenden.
Was überseh ich?
Besten Dank für die Hilfe im Voraus
LiGrü aus Österreich,
JuliusTiberius
Screenshots eines der betroffenen Systeme:
GPO-Einstellungen:
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 730235514
Url: https://administrator.de/contentid/730235514
Printed on: April 29, 2024 at 15:04 o'clock
11 Comments
Latest comment
Moin,
spannend wäre tatsächlich die Fehlermeldung.
Hast du mal im BIOS das TPM resettet und den Besitz zurückgesetzt?
Vielleicht ist da noch alter Schmu drin.
spannend wäre tatsächlich die Fehlermeldung.
Hast du mal im BIOS das TPM resettet und den Besitz zurückgesetzt?
Vielleicht ist da noch alter Schmu drin.
Hi.
Bei dem Lenovo-Gerät von dem ich die Screenshots gezogen hab will BitLocker einfach nicht den TPM Chip verwenden.
Woraus entnimmst Du das, kannst Du das hier mitteilen?Software-BitLocker von der GPO deaktiviert wurde (ist so gewollt).
Du willst Hardwareverschlüsselung? Das müssen die Platten können, sprich, schon vor der Installation von Windows dafür vorbereitet worden sein - hast Du das gemacht?
Hi,
hast du mal versucht Bitlocker per Hand anzuschieben?
Hatte auch nen Lenovo Laptop gestern bei mir auf dem Tisch. Bitlocker konnte nicht gestartet werden war die Meldung.
In einer Administrativen Shell habe ich dann per hand
eingegeben. Und schon lief es.
Gruß
hast du mal versucht Bitlocker per Hand anzuschieben?
Hatte auch nen Lenovo Laptop gestern bei mir auf dem Tisch. Bitlocker konnte nicht gestartet werden war die Meldung.
In einer Administrativen Shell habe ich dann per hand
manage-bde -on c:Gruß
Hi,
ansonsten die Anforderungen noch mal vergleichen mit dem aktuellen gerät:
https://support.microsoft.com/de-de/windows/ger%C3%A4teschutz-in-windows ...
Gruß
kh
ansonsten die Anforderungen noch mal vergleichen mit dem aktuellen gerät:
https://support.microsoft.com/de-de/windows/ger%C3%A4teschutz-in-windows ...
Gruß
kh
Diese Anfordwerungen haben nichts mit Bitlocker zu tun.
Stimmt, bin bischen beim Lesen von der Spur abgekommen ;)
Servus,
dass er kein Hardware-TPM nimmt erkenn ich daran, dass er beim manuellen antoßen der Verschlüsselung er auf Software-TPM zurückfallen will (sorry, den Sreenshot hab ich nicht dazu gemacht).
Der Tipp mit der Platten-Vorbereitung ist gut - dem geh ich mal nach! Das könnte das Detail sein, das ich übersehn hab
Besten Dank nochmal,
LiGrü aus Österreich,
JuliusTiberius
dass er kein Hardware-TPM nimmt erkenn ich daran, dass er beim manuellen antoßen der Verschlüsselung er auf Software-TPM zurückfallen will (sorry, den Sreenshot hab ich nicht dazu gemacht).
Der Tipp mit der Platten-Vorbereitung ist gut - dem geh ich mal nach! Das könnte das Detail sein, das ich übersehn hab
Besten Dank nochmal,
LiGrü aus Österreich,
JuliusTiberius
Hardware-TPM, Software-TPM? Wovon sprichst Du?
Bitlockerverschlüsselung ist entweder Softwarebasiert (da verschlüsselt die CPU und das ist der Default, hat aber mit dem TPM rein gar nichts zu tun) oder hardwarebasiert (da verschlüsselt die Festplatte selbst, hat auch mit dem TPM rein gar nichts zu tun).
Bitlockerverschlüsselung ist entweder Softwarebasiert (da verschlüsselt die CPU und das ist der Default, hat aber mit dem TPM rein gar nichts zu tun) oder hardwarebasiert (da verschlüsselt die Festplatte selbst, hat auch mit dem TPM rein gar nichts zu tun).
Hello again,
Ich hab via GPO definiert, dass
Funktioniert auch bei rund 80% der Clients wie gewünscht.
Aber dann hab ich eben noch ein paar, die sich wehren.
Laut https://docs.microsoft.com/en-us/windows/security/information-protection ...
muss in BIOS/UEFI die interne HDD als erste Startup-Option hinterlegt sein.
Das werd ich als nächstes überprüfen.
Die System-Disk ist GPT und hat auch die 260MB als erste Partition. Schaut also auch gut aus.
LiGrü aus Österreich,
JuliusTiberius
Ich hab via GPO definiert, dass
- Bitlocker die System-Disk verschlüsselt und
- Hardware-TPM die pre-startup verification gewährleistet
Funktioniert auch bei rund 80% der Clients wie gewünscht.
Aber dann hab ich eben noch ein paar, die sich wehren.
Laut https://docs.microsoft.com/en-us/windows/security/information-protection ...
muss in BIOS/UEFI die interne HDD als erste Startup-Option hinterlegt sein.
Das werd ich als nächstes überprüfen.
Die System-Disk ist GPT und hat auch die 260MB als erste Partition. Schaut also auch gut aus.
LiGrü aus Österreich,
JuliusTiberius
Bitte lass den Begriff "Hardware-TPM" raus. Es gibt hier keine Unterscheidung Hardware-TPM/Software-TPM.
Zwar gibt es Firmware TPMs ("fTPM"), die im Gegensatz zu diskreten TPMs ("dTPM") keine eigenen CHips auf dem Mainboard sind, aber das hat mit deinen Einstellungen gar nichts zu tun.
Mit Sicherheit liegt es daran, dass du die Installation nicht frisch auf eine bereits vorbereitete Festplatte gemacht hast.
Ergo, die wirst Du entweder neu installieren müssen, oder softwarebasierte Verschlüsselung aktivieren.
Zwar gibt es Firmware TPMs ("fTPM"), die im Gegensatz zu diskreten TPMs ("dTPM") keine eigenen CHips auf dem Mainboard sind, aber das hat mit deinen Einstellungen gar nichts zu tun.
Mit Sicherheit liegt es daran, dass du die Installation nicht frisch auf eine bereits vorbereitete Festplatte gemacht hast.
Ergo, die wirst Du entweder neu installieren müssen, oder softwarebasierte Verschlüsselung aktivieren.
Manchmal muss man etwas Abstand gewinnen um das Problem zu lösen:
Schuld war die Einstellung bei "Configure use of hardware-based encryption for operating system drives".
Die kann man so verbiegen, dass nur verschlüsselt wird, wenn ein eigener Verschlüsselungschip vorhanden ist.
Wenn man es wie folgt konfiguriert, verwendet Windows den Verschlüsselungschip sofern vorhanden - und ansonsten macht's eben die Software (zu Lasten der CPU):
Jetzt tut das Ding so, wie ich wollte
Schuld war die Einstellung bei "Configure use of hardware-based encryption for operating system drives".
Die kann man so verbiegen, dass nur verschlüsselt wird, wenn ein eigener Verschlüsselungschip vorhanden ist.
Wenn man es wie folgt konfiguriert, verwendet Windows den Verschlüsselungschip sofern vorhanden - und ansonsten macht's eben die Software (zu Lasten der CPU):
Jetzt tut das Ding so, wie ich wollte
