In Windows 7 ist wie schon in Vista eine Unterstützung der BitLocker Drive Encryption integriert. So lässt sich die Festeplatte “mit Hausmitteln” verschlüsseln, was insbesondere bei mobilen Notebooks relevant ist. Durch eine Kombination eines im PC integrierten TPM-Chips mit einem weiteren Authentifizierungsmechanismus lässt sich ein rechner hervoragend absichern. Standardmässig unterstützt Windows 7 hier die zusätzliche Authentifizierung über einen External Key, der auf einem Speichermedium, typischerweise einem USB-Stick, gespeichert wird. In der Praxis ist hier aber oftmals der Einsatz einer PIN sinnvoll. Bei der Konfiguration der Kombination aus TPM und PIN gibt das Befehlszeilentool manage-bde.exe folgende Fehlermeldung zurück:
ERROR: An error occurred (code 0x80310060):
Group Policy settings do not permit the use of a PIN at startup. Please choose a different BitLocker startup option.
Daher müssen in der lokalen Group Policy (erreichbar über gpedit.msc) im folgenden Pfad Einstellungen verändert werden:
> Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives
Require Additional Authentication at Startup > Enable
Diese Einstellung ermöglicht die maximale Flexibilität bei der BitLocker Konfiguration. Nach dem Setzen dieser Einstellung ist eine Konfiguration der Protectors über Manage-BDE problemlos möglich. Die Hilfe des Tools gibt alle weiteren Informationen.
In Unternehmensumgebungen ist ein zentrales Management der Gruppenrichtlinien und der BitLocker-Konfiguration über das Active Directory zu empfehlen. Der Einsatz von BitLocker auf Desktop-PCs und Serversystemen ist in sicherheitskritischen Umgebungen durchaus zu überlegen, denn nicht selten wird ein ganzer Rechner oder gar ein Standortserver entwendet.
hallo Christoph! lang habe ich gesucht, nun hab ichs bei dir gefunden, wie man die PIN-sache bei BL aktiviert. viele anleitungen sind ja noch auf vista bezogen, da hat sich u.a. ja auch die notwendigkeit einer händischen umpartitionierung erübrigt.
die GP´s hab ich jetzt entsprechend geändert (“enabled”).
Jetzt bin ich mir aber nicht sicher, wie es mit manage-bde weitergehen soll..
-protectors -add c: -TPMAndPIN
TPMAndStartupKey
-Startupkey
-Password
was will ich:) ?
ich glaube, startupkey will ich nicht. gemäß dem frauenhofer-pdf -leitladen will ich TPM+PIN.
Momentan ists wohl verschlüsselt aber es wird nach keinem pin etc gefragt. vermutlich ist damit die platte nur gegen aus-/wiedereinbau in ein anderes system (weil dort ander tpm?) geschützt.
gruß