Zwei Fragen zu Bitlocker und den Richtlinien

[Richard Wagner]

Ich möchte das Systemlaufwerk (Win 10) mit Bitlocker verschlüsseln und über TPM mit PIN absichern.

Erste Frage: Ich gehe in die Richtlinien für Lokale Computer - Computerkonfiguration - Administrative Vorlagen - Windows Komponenten - Bitlocker Laufwerksverschlüsselung - Betriebssystemlaufwerke. Dort wähle ich "Zusätzliche Authentifizierung beim Start anfordern".

Das Häckchen bei "Bitlocker ohne kompatibles TPM zulassen" ist nicht gesetzt, alles weiter steht auf "zulassen", also

TPM-Start konfigurieren: TPM zulassen​

TPM-Systemstart-PIN konfigurieren: Systemstart-PIN bei TPM zulassen​

TPM-Systemstartschlüssel konfigurieren: Systemstartschlüssel bei TPM zulassen​

TPM-Systemstartschlüssel und PIN konfigurieren: Systemstartschlüssel und PIN bei TPM zulassen​

Mit dieser Einstellung kann ich ein Laufwerk verschlüsseln und für das Systemlaufwerk auch eine PIN festlegen.

Ändere ich "TPM-Systemstart-PIN konfigurieren" aber in "Systemstart-PIN bei TPM erforderlich", kann ich kein Laufwerk verschlüsseln, auch kein Datenlaufwerk, weil:

"Die Gruppenrichtlinieneinstellungen für Bitlocker-Startpartitionen stehen in Konflickt und können nicht angewendet werden. Weitere Informationen erhalten Sie vom Systemadministrator."

Nun bin ich letzterer ja selbst und habe versucht, mir die weiteren Informationen zu geben, womit ich aber nicht weit gekommen bin.

Es ist egal, was ich oben als erforderlich konfiguriere, es geht nicht. Aber wenn ich doch eine PIN festlegen kann, solange die nur zulässig ist, warum funktioniert es dann nicht, wenn ich das als erforderlich einstelle?

Bevor jetzt Bemerkungen kommen in der Art, Du kannst doch mit PIN verschlüsseln, also wo ist das Problem, hier die Antwort: Ich will es einfach verstehen!


Zweite Frage: Solange ich der einzige bin, der den Computer benutzt (und mein Benutzerkonto somit das einzige ist, das eingerichtet wird) müßte der Start-PIN für das TPM doch genügen, und ich kann auf ein Benutzerkennwort für die Windowsanmeldung verzichten, richtig? Oder habe ich etwas übersehen?

 

[Rubb]

Habe mit Bitlocker keine Erfahrung, war nur gerade noch einmal über die "Features" vom Win 10 gestolpert, kannst Du dort hilfreiche Infos finden?

(hatte in Open-Shell-Menü den Begriff "Bitlocker" angegeben und bekam diese Hinweise des Win 10)

Systemsteuerung\Alle Systemsteuerungselemente\BitLocker-Laufwerkverschlüsselung

Weiterhin öffnete sich der Brauser mit folgender Adresse ...

https://docs.microsoft.com/de-de/wi...ation-protection/bitlocker/bitlocker-overview

 

[Richard Wagner]

Die Docs von Microsoft helfen mir leider nicht weiter, das Phänomen zu verstehen. Der Punkt, um den es hier geht, wird an dieser Stelle genau beschrieben:
https://docs.microsoft.com/de-de/wi...tlocker-group-policy-settings#bkmk-unlockpol1

Dort heißt es unter Konflikte:

Wenn eine Authentifizierungsmethode erforderlich ist, können die anderen Methoden nicht zugelassen werden. ...

Im Konfigurationsdialog wird es etwas präzieser formuliert:

Beim Start kann nur eine der zusätzlichen Authentifizierungsoptionen erforderlich sein, da andernfalls ein Richtlinienfehler aufritt.

Ich kann aber keine einzige der zusätzlichen Authentifizierungsoptionen als erforderlich konfigurieren...

 

[Dorwyn]

Ich bin nun ein bisschen verwirrt:
Gibst du die Richtlinie per GPO über die AD runter oder hast du das lokal über gpedit eingetragen?!
Bzw. ist da evtl. das Problem zu suchen? Sich gegenseitig ausschließende Richtlinien?!

 

[Richard Wagner]

Lokal über gpedit!

Ich bin gerade in einer Ausprobierphase und habe Windows noch einmal neu installiert, clean von dem aktuellen MS-ISO. Ich habe als Einziges nur den Schnellstart ausgeschaltet und Windows neu gestartet. Dann bin ich in den Richtlinieneditor und habe das eingestellt:

Sonst habe ich absolut nichts am System gemacht, und es funktioniert, das heißt, Bitlocker erlaubt mir, Laufwerke zu verschlüsseln und dazu auch einen PIN festzulegen.

Dann habe ich die Einstellung geändert

und erhalte das:

.

 

[Dorwyn]

Ohne jetzt genauer nachgeforscht zu haben:
Rechts im Hinweis steht: "Beim Start kann nur eine der zusätzlichen Authentifizierungsoptionen erforderlich sein, da anderenfalls ein Richtlinienfehler auftritt"

Und weiter unten steht dann noch ein Hinweis:
"Wenn Sie die Verwendung einer Systemstart-PIN und eines USB-Speichersticks erzwingen möchten, müssen Sie die Bitlocker-Einstellungen mithilfe des Befehlszeilentools "manage-bde" und nicht über den Setup-Assistenten der Bitlocker-Laufwerksverschlüsselung konfigurieren."

Riecht so ein bisschen danach dass man das nur übers manage-bde und nicht über die GUI machen kann. Generell hast du über manage-bde deutlich mehr Optionen für die Verschlüsselung als mit der GUI. So kannst du bspw. auch die 256 Bit Verschlüsselung anstatt der Standard 128 Bit Verschlüsselung wählen. War zumindest unter der 19xx Version noch so. Hab mich mit Bitlocker die letzten 1,5 Jahre nicht mehr beschäftigt.

 

[Richard Wagner]

Richtig, "Beim Start kann nur eine der zusätzlichen Authentifizierungsoptionen erforderlich sein." Wenn man sich das genau ansieht, was da angeboten wird, ergibt sich das eigentlich auch von selbst.
Man sollte aber annehmen, das es auch tatsächlich möglich ist, daß genau eine der zusätzlichen Authentifizierungsoptionen möglich wäre. Anders ergibt das ja keinen Sinn. Doch genau das ist der Punkt:
Es ist genau keine der zusätzlichen Authentifizierungsoptionen möglich! Somit ist die gesamte Auswahl überflüssig.

Solange ich eh der einzige bin, der bei mir ein Systemlaufwerk verschlüsselt, ist das zumindest kein Sicherheitsrisiko. Man muß mich nicht zwingen, eine PIN festzulegen. Ich mache das freiwillig. Die Richtlinie ist dabei aber dennoch wichtig, denn nur, wenn sie aktiviert ist, kann ich eine PIN festlegen! Wird die Richtlinie nicht aktiviert, startet Windows nach der Verschlüsselung genau so durch, als wäre nichts verschlüsselt. Das TPM regelt dann alles, ohne zusätzliche Authentifizierung.

Ich gehe davon aus, daß es sich hier um einen Bug in Windows handelt!

Mit einem USB-Stick hat das zunächst nichts zu tun. Der Hinweis bezieht sich nur auf den Fall, daß ein solcher zusätzlich zu einer PIN erforderlich sein soll.

 

[Dorwyn]

Hast du es denn über die manage-bde versucht?

 

[Richard Wagner]

Was genau meinst Du, sollte ich da versuchen?

 

[VanFlusen]

Ich habe vergeblich versucht, den Unterschied zwischen "Start-PIN bei TPM erforderlich" und "Systemstart-PIN bei TPM zulassen" herauszufinden.
Selbst MS äußert sich nur, dass verschiedene Einstellungen zur Verfügung stehen.
Dell zB. beschreibt in der Vorgehensweise "Start-PIN bei TPM erforderlich" auszuwählen, aber natürlich auch ohne Erklärung.

Ich denke die Grundvoraussetzung ist, zuerst Bitlocker aktivieren und danach die Einstellungen über den Gruppenrichtlinien-Editor vorzunehmen.
Bei der Einstellung "Systemstart-PIN bei TPM zulassen" kann die PIN über das Setup der Bitlocker - Laufwerksverschlüsselung eingegeben werden.

Bei der Einstellung "Start-PIN bei TPM erforderlich" muß die PIN per Eingabeaufforderung eingegeben werden: manage-bde -protectors -add c: -TPMAndPIN
Achtung: Die PIN - Eingabe wird nicht angezeigt!

Zum Fehler aus Post #6

Die Einstellungen über den Gruppenrichtlinien-Editor auf "Nicht konfiguriert" setzen und Bitlocker aktivieren.
Im nachhinein können die Einstellungen geändert werden.

Beide Einstellungen führen letztendlich zum gleichen Ergebnis.
Evtl. ist die eine oder andere Einstellung notwendig, wenn eine der zusätzlichen Optionen gewählt wird???

 

[Richard Wagner]

"PIN zulassen" ist Voraussetzung, um bei der Aktivierung von Bitlocker für das Systemlaufwerk eine PIN vergeben zu können. Standardmäßig ist die Richtlinie nicht konfiguriert, und dann kann man auch keine PIN festlegen, selbst wenn man es wollte. Das geht dann nur nachträglich über die Konsole, oder man muß vorher die Richtlinie aktivieren.

Wenn eine PIN zulässig ist, heißt das aber nicht, daß ich eine verwenden müßte. Ich kann das Systemlaufwerk dann trotzden ohne PIN verschlüsseln. "Zulassen" heißt also einfach nur, daß mir die Wahl frei steht. Solange ich selbst der einzige bin, der das Systemlaufwerk verschlüsseln will, reicht mir das. Ich benutze dann einfach eine PIN.

"PIN erforderlich" kann in dem Zusammenhang doch nur heißen, daß mir die Wahl genommen wird, und ich eine PIN verwenden MUSS. Aber dann geht halt gar nichts. Und die Einstellung heißt "PIN erforderlich" und nicht "Konsole benutzen". Somit ist diese Einstellung ziemlich idiodisch oder halt kaputt.

 

[VanFlusen]

So wird es sein.
Mit "PIN bei TPM zulassen" hat der User die freie Wahl, mit "PIN bei TPM erforderlich" wird etwas erzwungen, evt. auf Unternehmensebene.

Ich habe mal unter TPM-Start konfigiurieren: "TPM nicht zulassen" eingestellt, da ja schon unter TPM-Systemstart-PIN konfigurieren: "Systemstart-PIN bei TPM zulassen" eingestellt ist.

Dadurch kann lediglich der Eintrag: "Laufwerk soll von Bitlocker automatisch entsperrt werden" im Setup der Bitlocker-Laufwerksverschlüsselung nicht genutzt werden.
Klar, alleiniges TPM wird nicht zugelassen.
Wenn diese Option benötigt wird, kann die Einstellung auf "TPM zulassen" geändert werden.
Ich denke dabei an deine Wartezeit für die PIN-Eingabe.
Evtl. hängt es, weil in der Standard-Einstellung einmal per TPM gestartet werden kann und zusätzlich mit PIN und TPM.
Ist nur eine Idee, Hardware reagiert nicht immer gleich.

 

[Richard Wagner]

Für mich klingt das wie ein Widerspruch: "TPM nicht zulassen" und trotzdem "Systemstart-PIN bei TPM zulassen"
PIN geht nur mit TPM, und das Systemlaufwerk muß immer automatisch entschlüsselt werden, weil Du es sonst gar nicht starten kannst. Von daher ist es nur logisch, daß die Option ausgegraut ist.
Wichtig: Diese Einstellung in den GPO bezieht sich nur auf Systemlaufwerke.

Für die Datenlaufwerke (egal ob intern oder Bitlocker zum Gehen) spielt TPM nach meiner Erkenntnis keine Rolle. Da kann man ggf. die Option aktivieren, daß diese Laufwerke automatisch entsperrt werden. Dazu wird der Schlüssel von Windows verwaltet, und deswegen kann man diese Option nur aktivieren, wenn das Systemlaufwerk (wo die Schlüssel abgelegt werden) geschützt, also verschlüsselt ist.

Man kann das System auch ohne TPM verschlüsseln. Dann muß man zwingend ein Kennwort benutzen, um das System zu starten. Mit TPM wird der Schlüssel (und nach meinem Kenntnisstand NUR der für das Systemlaufwerk) im TPM abgelegt. Das TPM gibt den Schlüssel nur frei, wenn bestimmte Startparameter unverändert sind (was man auch in den GPOs konfigurieren kann). Mit einer PIN kannst Du einen zusätzlichen Schutz aktivieren, dann muß beides stimmen, Startparameter und PIN-Eingabe, damit das TPM den Schlüssel frei gibt. Ohne PIN genügt es, wenn die Startparameter passen. Auf einem anderen Mainboard z.B. funktioniert es dann nicht. Da reicht dann auch die PIN nicht, dann ist die Wiederherstellung fällig.

Also: Mit TPM ohne PIN kann jeder den Computer anmachen und Windows hochfahren. Das TPM gibt den Schlüssel frei, der dann in den Arbeitsspeicher geladen wird. Das ist das Sicherheitsrisiko. Aber es ist immer noch ein guter Schutz gegen Gelegenheitsdiebe und neugierigen Übernachtungsbesuch, denn ohne Windows-Kennwort kann man sich in Windows nicht anmelden. Und wenn man den Computer von einem Livesystem startet, um das Windos-Kennwort zu kompromitieren, gibt das TPM den Schlüssel nicht frei, weil die Startparameter nicht passen. Mit PIN verhindert man lediglich zusätzlich, daß der Bitlockerschlüssel in den Arbeitsspeicher geladen wird, wenn ein Unbefugter den Computer anmacht und die PIN nicht kennt.

Ohne TPM wird der Schlüssel garnicht auf dem Gerät gespeichert und man muß ein Kennwort benutzen, das dann entsprechend länger und/oder komplizierter sein sollte als eine PIN. Das Kennwort kann man nämlich mit Bruteforce knacken. Das TPM macht dicht, wenn man mehrmals die falsche PIN probiert hat. Anders als bei der Geldkarte am Bankautomaten wird der Computer in diesem Fall aber nicht eingeogen.

Zurück zu den Datenlaufwerken: Der Schlüssel für diese wird, wenn ich das richtig verstanden habe, nicht im TPM abgelegt, so daß es egal ist, wie das Systemlaufwerk geschützt wird, mit oder ohne TPM, mit oder ohne PIN. Bedinnung für ein automatisches Entsperren der Datenlaufwerke ist nur, daß das System geschützt ist. Andernfalls wäre die Verschlüsselung der Datenlaufwerke ja sinnlos.

(Vielleicht sind diese Infos auch für Silent Reader interessant, die sich gerade mit Bitlocker vertraut machen...)

Obwohl ich es für einen Widerspruch hielt, "TPM nicht zulassen" und trotzdem "Systemstart-PIN bei TPM zulassen", habe ich das mal ausprobiert. Das funktioniert tatsächlich und ich kann auch dann wählen, ob ich mit PIN oder USB-Stick entschlüsseln will. Die anderen Optionen sind dann weg. An meiner merkwürdigen Wartezeit ändert das leider nichts...