BitLocker unter Windows 7 mit TPM und PIN

BitLocker unter Windows 7 mit TPM und PIN

In Windows 7 ist wie schon in Vista eine Unterstützung der BitLocker Drive Encryption integriert. So lässt sich die Festeplatte “mit Hausmitteln” verschlüsseln, was insbesondere bei mobilen Notebooks relevant ist. Durch eine Kombination eines im PC integrierten TPM-Chips mit einem weiteren Authentifizierungsmechanismus lässt sich ein rechner hervoragend absichern. Standardmässig unterstützt Windows 7 hier die zusätzliche Authentifizierung über einen External Key, der auf einem Speichermedium, typischerweise einem USB-Stick, gespeichert wird. In der Praxis ist hier aber oftmals der Einsatz einer PIN sinnvoll. Bei der Konfiguration der Kombination aus TPM und PIN gibt das Befehlszeilentool manage-bde.exe folgende Fehlermeldung zurück:

ERROR: An error occurred (code 0x80310060):
Group Policy settings do not permit the use of a PIN at startup. Please choose a different BitLocker startup option.

Daher müssen in der lokalen Group Policy (erreichbar über gpedit.msc) im folgenden Pfad Einstellungen verändert werden:

> Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives

Require Additional Authentication at Startup > Enable

Gruppenrichtlinien-Einstellungen für BitLocker mit TPM und PIN

Diese Einstellung ermöglicht die maximale Flexibilität bei der BitLocker Konfiguration. Nach dem Setzen dieser Einstellung ist eine Konfiguration der Protectors über Manage-BDE problemlos möglich. Die Hilfe des Tools gibt alle weiteren Informationen.

In Unternehmensumgebungen ist ein zentrales Management der Gruppenrichtlinien und der BitLocker-Konfiguration über das Active Directory zu empfehlen. Der Einsatz von BitLocker auf Desktop-PCs und Serversystemen ist in sicherheitskritischen Umgebungen durchaus zu überlegen, denn nicht selten wird ein ganzer Rechner oder gar ein Standortserver entwendet.

 
Kommentare

hallo Christoph! lang habe ich gesucht, nun hab ichs bei dir gefunden, wie man die PIN-sache bei BL aktiviert. viele anleitungen sind ja noch auf vista bezogen, da hat sich u.a. ja auch die notwendigkeit einer händischen umpartitionierung erübrigt.

die GP´s hab ich jetzt entsprechend geändert (“enabled”).

Jetzt bin ich mir aber nicht sicher, wie es mit manage-bde weitergehen soll..

-protectors -add c: -TPMAndPIN
TPMAndStartupKey
-Startupkey
-Password

was will ich:) ?

ich glaube, startupkey will ich nicht. gemäß dem frauenhofer-pdf -leitladen will ich TPM+PIN.

Momentan ists wohl verschlüsselt aber es wird nach keinem pin etc gefragt. vermutlich ist damit die platte nur gegen aus-/wiedereinbau in ein anderes system (weil dort ander tpm?) geschützt.

gruß

So, ich habs dann noch gelöst bekommen, eigentlich auch ganz einfach, wenngleich ich mir diese Funktionen per GUI gewünscht hätte!

manage-bde -protectors -add -TpmAndPin c:

Super Info. Danke

Hallo,
ich habe leider in meinem Notebook kein TMP Modul und habe deshalb die GP so bearbeitet, dass für bitlocker nicht das TPM Modul verwendet wird, sondern ein externer usb stick. Nun würde ich aber gerne noch eine PIN für den Systemstart definieren.
Wie kann ich das einstellen?
Obwohl ich in der GP einstelle “PIN bei Systemstart erforderlich” kommt keine Abfrage bzw. ich finde keine Option, wo ich einen PIN setzen könnte.

Funktioniert evtl. die PIN Funktion nur bei Systemen mit TPM Modul?

Eine PIN ist meines Erachtens nur mit TPM Chip möglich. Aber vielleicht hilft Dir ein Kennwort weiter? Das würde man mit diesem Befehl setzen:

manage-bde -protectors -add x: -pw

Kommentieren