Zwei Fragen zu Bitlocker und den Richtlinien

[Richard Wagner]

Ich möchte das Systemlaufwerk (Win 10) mit Bitlocker verschlüsseln und über TPM mit PIN absichern.

Erste Frage: Ich gehe in die Richtlinien für Lokale Computer - Computerkonfiguration - Administrative Vorlagen - Windows Komponenten - Bitlocker Laufwerksverschlüsselung - Betriebssystemlaufwerke. Dort wähle ich "Zusätzliche Authentifizierung beim Start anfordern".

Das Häckchen bei "Bitlocker ohne kompatibles TPM zulassen" ist nicht gesetzt, alles weiter steht auf "zulassen", also

TPM-Start konfigurieren: TPM zulassen​

TPM-Systemstart-PIN konfigurieren: Systemstart-PIN bei TPM zulassen​

TPM-Systemstartschlüssel konfigurieren: Systemstartschlüssel bei TPM zulassen​

TPM-Systemstartschlüssel und PIN konfigurieren: Systemstartschlüssel und PIN bei TPM zulassen​

Mit dieser Einstellung kann ich ein Laufwerk verschlüsseln und für das Systemlaufwerk auch eine PIN festlegen.

Ändere ich "TPM-Systemstart-PIN konfigurieren" aber in "Systemstart-PIN bei TPM erforderlich", kann ich kein Laufwerk verschlüsseln, auch kein Datenlaufwerk, weil:

"Die Gruppenrichtlinieneinstellungen für Bitlocker-Startpartitionen stehen in Konflickt und können nicht angewendet werden. Weitere Informationen erhalten Sie vom Systemadministrator."

Nun bin ich letzterer ja selbst und habe versucht, mir die weiteren Informationen zu geben, womit ich aber nicht weit gekommen bin.

Es ist egal, was ich oben als erforderlich konfiguriere, es geht nicht. Aber wenn ich doch eine PIN festlegen kann, solange die nur zulässig ist, warum funktioniert es dann nicht, wenn ich das als erforderlich einstelle?

Bevor jetzt Bemerkungen kommen in der Art, Du kannst doch mit PIN verschlüsseln, also wo ist das Problem, hier die Antwort: Ich will es einfach verstehen!


Zweite Frage: Solange ich der einzige bin, der den Computer benutzt (und mein Benutzerkonto somit das einzige ist, das eingerichtet wird) müßte der Start-PIN für das TPM doch genügen, und ich kann auf ein Benutzerkennwort für die Windowsanmeldung verzichten, richtig? Oder habe ich etwas übersehen?

 

[Rubb]

Habe mit Bitlocker keine Erfahrung, war nur gerade noch einmal über die "Features" vom Win 10 gestolpert, kannst Du dort hilfreiche Infos finden?

(hatte in Open-Shell-Menü den Begriff "Bitlocker" angegeben und bekam diese Hinweise des Win 10)

Systemsteuerung\Alle Systemsteuerungselemente\BitLocker-Laufwerkverschlüsselung

Weiterhin öffnete sich der Brauser mit folgender Adresse ...

https://docs.microsoft.com/de-de/wi...ation-protection/bitlocker/bitlocker-overview

 

[Richard Wagner]

Die Docs von Microsoft helfen mir leider nicht weiter, das Phänomen zu verstehen. Der Punkt, um den es hier geht, wird an dieser Stelle genau beschrieben:
https://docs.microsoft.com/de-de/wi...tlocker-group-policy-settings#bkmk-unlockpol1

Dort heißt es unter Konflikte:

Wenn eine Authentifizierungsmethode erforderlich ist, können die anderen Methoden nicht zugelassen werden. ...

Im Konfigurationsdialog wird es etwas präzieser formuliert:

Beim Start kann nur eine der zusätzlichen Authentifizierungsoptionen erforderlich sein, da andernfalls ein Richtlinienfehler aufritt.

Ich kann aber keine einzige der zusätzlichen Authentifizierungsoptionen als erforderlich konfigurieren...

 

[Dorwyn]

Ich bin nun ein bisschen verwirrt:
Gibst du die Richtlinie per GPO über die AD runter oder hast du das lokal über gpedit eingetragen?!
Bzw. ist da evtl. das Problem zu suchen? Sich gegenseitig ausschließende Richtlinien?!

 

[Richard Wagner]

Lokal über gpedit!

Ich bin gerade in einer Ausprobierphase und habe Windows noch einmal neu installiert, clean von dem aktuellen MS-ISO. Ich habe als Einziges nur den Schnellstart ausgeschaltet und Windows neu gestartet. Dann bin ich in den Richtlinieneditor und habe das eingestellt:

Sonst habe ich absolut nichts am System gemacht, und es funktioniert, das heißt, Bitlocker erlaubt mir, Laufwerke zu verschlüsseln und dazu auch einen PIN festzulegen.

Dann habe ich die Einstellung geändert

und erhalte das:

.

 

[Dorwyn]

Ohne jetzt genauer nachgeforscht zu haben:
Rechts im Hinweis steht: "Beim Start kann nur eine der zusätzlichen Authentifizierungsoptionen erforderlich sein, da anderenfalls ein Richtlinienfehler auftritt"

Und weiter unten steht dann noch ein Hinweis:
"Wenn Sie die Verwendung einer Systemstart-PIN und eines USB-Speichersticks erzwingen möchten, müssen Sie die Bitlocker-Einstellungen mithilfe des Befehlszeilentools "manage-bde" und nicht über den Setup-Assistenten der Bitlocker-Laufwerksverschlüsselung konfigurieren."

Riecht so ein bisschen danach dass man das nur übers manage-bde und nicht über die GUI machen kann. Generell hast du über manage-bde deutlich mehr Optionen für die Verschlüsselung als mit der GUI. So kannst du bspw. auch die 256 Bit Verschlüsselung anstatt der Standard 128 Bit Verschlüsselung wählen. War zumindest unter der 19xx Version noch so. Hab mich mit Bitlocker die letzten 1,5 Jahre nicht mehr beschäftigt.

 

[Richard Wagner]

Richtig, "Beim Start kann nur eine der zusätzlichen Authentifizierungsoptionen erforderlich sein." Wenn man sich das genau ansieht, was da angeboten wird, ergibt sich das eigentlich auch von selbst.
Man sollte aber annehmen, das es auch tatsächlich möglich ist, daß genau eine der zusätzlichen Authentifizierungsoptionen möglich wäre. Anders ergibt das ja keinen Sinn. Doch genau das ist der Punkt:
Es ist genau keine der zusätzlichen Authentifizierungsoptionen möglich! Somit ist die gesamte Auswahl überflüssig.

Solange ich eh der einzige bin, der bei mir ein Systemlaufwerk verschlüsselt, ist das zumindest kein Sicherheitsrisiko. Man muß mich nicht zwingen, eine PIN festzulegen. Ich mache das freiwillig. Die Richtlinie ist dabei aber dennoch wichtig, denn nur, wenn sie aktiviert ist, kann ich eine PIN festlegen! Wird die Richtlinie nicht aktiviert, startet Windows nach der Verschlüsselung genau so durch, als wäre nichts verschlüsselt. Das TPM regelt dann alles, ohne zusätzliche Authentifizierung.

Ich gehe davon aus, daß es sich hier um einen Bug in Windows handelt!

Mit einem USB-Stick hat das zunächst nichts zu tun. Der Hinweis bezieht sich nur auf den Fall, daß ein solcher zusätzlich zu einer PIN erforderlich sein soll.

 

[Dorwyn]

Hast du es denn über die manage-bde versucht?

 

[Richard Wagner]

Was genau meinst Du, sollte ich da versuchen?