Zwei Fragen zu Bitlocker und den Richtlinien

[Richard Wagner]

Ich möchte das Systemlaufwerk (Win 10) mit Bitlocker verschlüsseln und über TPM mit PIN absichern.

Erste Frage: Ich gehe in die Richtlinien für Lokale Computer - Computerkonfiguration - Administrative Vorlagen - Windows Komponenten - Bitlocker Laufwerksverschlüsselung - Betriebssystemlaufwerke. Dort wähle ich "Zusätzliche Authentifizierung beim Start anfordern".

Das Häckchen bei "Bitlocker ohne kompatibles TPM zulassen" ist nicht gesetzt, alles weiter steht auf "zulassen", also

TPM-Start konfigurieren: TPM zulassen​

TPM-Systemstart-PIN konfigurieren: Systemstart-PIN bei TPM zulassen​

TPM-Systemstartschlüssel konfigurieren: Systemstartschlüssel bei TPM zulassen​

TPM-Systemstartschlüssel und PIN konfigurieren: Systemstartschlüssel und PIN bei TPM zulassen​

Mit dieser Einstellung kann ich ein Laufwerk verschlüsseln und für das Systemlaufwerk auch eine PIN festlegen.

Ändere ich "TPM-Systemstart-PIN konfigurieren" aber in "Systemstart-PIN bei TPM erforderlich", kann ich kein Laufwerk verschlüsseln, auch kein Datenlaufwerk, weil:

"Die Gruppenrichtlinieneinstellungen für Bitlocker-Startpartitionen stehen in Konflickt und können nicht angewendet werden. Weitere Informationen erhalten Sie vom Systemadministrator."

Nun bin ich letzterer ja selbst und habe versucht, mir die weiteren Informationen zu geben, womit ich aber nicht weit gekommen bin.

Es ist egal, was ich oben als erforderlich konfiguriere, es geht nicht. Aber wenn ich doch eine PIN festlegen kann, solange die nur zulässig ist, warum funktioniert es dann nicht, wenn ich das als erforderlich einstelle?

Bevor jetzt Bemerkungen kommen in der Art, Du kannst doch mit PIN verschlüsseln, also wo ist das Problem, hier die Antwort: Ich will es einfach verstehen!


Zweite Frage: Solange ich der einzige bin, der den Computer benutzt (und mein Benutzerkonto somit das einzige ist, das eingerichtet wird) müßte der Start-PIN für das TPM doch genügen, und ich kann auf ein Benutzerkennwort für die Windowsanmeldung verzichten, richtig? Oder habe ich etwas übersehen?

 

[Rubb]

Habe mit Bitlocker keine Erfahrung, war nur gerade noch einmal über die "Features" vom Win 10 gestolpert, kannst Du dort hilfreiche Infos finden?

(hatte in Open-Shell-Menü den Begriff "Bitlocker" angegeben und bekam diese Hinweise des Win 10)

Systemsteuerung\Alle Systemsteuerungselemente\BitLocker-Laufwerkverschlüsselung

Weiterhin öffnete sich der Brauser mit folgender Adresse ...

https://docs.microsoft.com/de-de/wi...ation-protection/bitlocker/bitlocker-overview

 

[Richard Wagner]

Die Docs von Microsoft helfen mir leider nicht weiter, das Phänomen zu verstehen. Der Punkt, um den es hier geht, wird an dieser Stelle genau beschrieben:
https://docs.microsoft.com/de-de/wi...tlocker-group-policy-settings#bkmk-unlockpol1

Dort heißt es unter Konflikte:

Wenn eine Authentifizierungsmethode erforderlich ist, können die anderen Methoden nicht zugelassen werden. ...

Im Konfigurationsdialog wird es etwas präzieser formuliert:

Beim Start kann nur eine der zusätzlichen Authentifizierungsoptionen erforderlich sein, da andernfalls ein Richtlinienfehler aufritt.

Ich kann aber keine einzige der zusätzlichen Authentifizierungsoptionen als erforderlich konfigurieren...

 

[Dorwyn]

Ich bin nun ein bisschen verwirrt:
Gibst du die Richtlinie per GPO über die AD runter oder hast du das lokal über gpedit eingetragen?!
Bzw. ist da evtl. das Problem zu suchen? Sich gegenseitig ausschließende Richtlinien?!

 

[Richard Wagner]

Lokal über gpedit!

Ich bin gerade in einer Ausprobierphase und habe Windows noch einmal neu installiert, clean von dem aktuellen MS-ISO. Ich habe als Einziges nur den Schnellstart ausgeschaltet und Windows neu gestartet. Dann bin ich in den Richtlinieneditor und habe das eingestellt:

Sonst habe ich absolut nichts am System gemacht, und es funktioniert, das heißt, Bitlocker erlaubt mir, Laufwerke zu verschlüsseln und dazu auch einen PIN festzulegen.

Dann habe ich die Einstellung geändert

und erhalte das:

.

 

[Dorwyn]

Ohne jetzt genauer nachgeforscht zu haben:
Rechts im Hinweis steht: "Beim Start kann nur eine der zusätzlichen Authentifizierungsoptionen erforderlich sein, da anderenfalls ein Richtlinienfehler auftritt"

Und weiter unten steht dann noch ein Hinweis:
"Wenn Sie die Verwendung einer Systemstart-PIN und eines USB-Speichersticks erzwingen möchten, müssen Sie die Bitlocker-Einstellungen mithilfe des Befehlszeilentools "manage-bde" und nicht über den Setup-Assistenten der Bitlocker-Laufwerksverschlüsselung konfigurieren."

Riecht so ein bisschen danach dass man das nur übers manage-bde und nicht über die GUI machen kann. Generell hast du über manage-bde deutlich mehr Optionen für die Verschlüsselung als mit der GUI. So kannst du bspw. auch die 256 Bit Verschlüsselung anstatt der Standard 128 Bit Verschlüsselung wählen. War zumindest unter der 19xx Version noch so. Hab mich mit Bitlocker die letzten 1,5 Jahre nicht mehr beschäftigt.

 

[Richard Wagner]

Richtig, "Beim Start kann nur eine der zusätzlichen Authentifizierungsoptionen erforderlich sein." Wenn man sich das genau ansieht, was da angeboten wird, ergibt sich das eigentlich auch von selbst.
Man sollte aber annehmen, das es auch tatsächlich möglich ist, daß genau eine der zusätzlichen Authentifizierungsoptionen möglich wäre. Anders ergibt das ja keinen Sinn. Doch genau das ist der Punkt:
Es ist genau keine der zusätzlichen Authentifizierungsoptionen möglich! Somit ist die gesamte Auswahl überflüssig.

Solange ich eh der einzige bin, der bei mir ein Systemlaufwerk verschlüsselt, ist das zumindest kein Sicherheitsrisiko. Man muß mich nicht zwingen, eine PIN festzulegen. Ich mache das freiwillig. Die Richtlinie ist dabei aber dennoch wichtig, denn nur, wenn sie aktiviert ist, kann ich eine PIN festlegen! Wird die Richtlinie nicht aktiviert, startet Windows nach der Verschlüsselung genau so durch, als wäre nichts verschlüsselt. Das TPM regelt dann alles, ohne zusätzliche Authentifizierung.

Ich gehe davon aus, daß es sich hier um einen Bug in Windows handelt!

Mit einem USB-Stick hat das zunächst nichts zu tun. Der Hinweis bezieht sich nur auf den Fall, daß ein solcher zusätzlich zu einer PIN erforderlich sein soll.

 

[Dorwyn]

Hast du es denn über die manage-bde versucht?

 

[Richard Wagner]

Was genau meinst Du, sollte ich da versuchen?

 

[VanFlusen]

Ich habe vergeblich versucht, den Unterschied zwischen "Start-PIN bei TPM erforderlich" und "Systemstart-PIN bei TPM zulassen" herauszufinden.
Selbst MS äußert sich nur, dass verschiedene Einstellungen zur Verfügung stehen.
Dell zB. beschreibt in der Vorgehensweise "Start-PIN bei TPM erforderlich" auszuwählen, aber natürlich auch ohne Erklärung.

Ich denke die Grundvoraussetzung ist, zuerst Bitlocker aktivieren und danach die Einstellungen über den Gruppenrichtlinien-Editor vorzunehmen.
Bei der Einstellung "Systemstart-PIN bei TPM zulassen" kann die PIN über das Setup der Bitlocker - Laufwerksverschlüsselung eingegeben werden.

Bei der Einstellung "Start-PIN bei TPM erforderlich" muß die PIN per Eingabeaufforderung eingegeben werden: manage-bde -protectors -add c: -TPMAndPIN
Achtung: Die PIN - Eingabe wird nicht angezeigt!

Zum Fehler aus Post #6

Die Einstellungen über den Gruppenrichtlinien-Editor auf "Nicht konfiguriert" setzen und Bitlocker aktivieren.
Im nachhinein können die Einstellungen geändert werden.

Beide Einstellungen führen letztendlich zum gleichen Ergebnis.
Evtl. ist die eine oder andere Einstellung notwendig, wenn eine der zusätzlichen Optionen gewählt wird???

 

[Richard Wagner]

"PIN zulassen" ist Voraussetzung, um bei der Aktivierung von Bitlocker für das Systemlaufwerk eine PIN vergeben zu können. Standardmäßig ist die Richtlinie nicht konfiguriert, und dann kann man auch keine PIN festlegen, selbst wenn man es wollte. Das geht dann nur nachträglich über die Konsole, oder man muß vorher die Richtlinie aktivieren.

Wenn eine PIN zulässig ist, heißt das aber nicht, daß ich eine verwenden müßte. Ich kann das Systemlaufwerk dann trotzden ohne PIN verschlüsseln. "Zulassen" heißt also einfach nur, daß mir die Wahl frei steht. Solange ich selbst der einzige bin, der das Systemlaufwerk verschlüsseln will, reicht mir das. Ich benutze dann einfach eine PIN.

"PIN erforderlich" kann in dem Zusammenhang doch nur heißen, daß mir die Wahl genommen wird, und ich eine PIN verwenden MUSS. Aber dann geht halt gar nichts. Und die Einstellung heißt "PIN erforderlich" und nicht "Konsole benutzen". Somit ist diese Einstellung ziemlich idiodisch oder halt kaputt.

 

[VanFlusen]

So wird es sein.
Mit "PIN bei TPM zulassen" hat der User die freie Wahl, mit "PIN bei TPM erforderlich" wird etwas erzwungen, evt. auf Unternehmensebene.

Ich habe mal unter TPM-Start konfigiurieren: "TPM nicht zulassen" eingestellt, da ja schon unter TPM-Systemstart-PIN konfigurieren: "Systemstart-PIN bei TPM zulassen" eingestellt ist.

Dadurch kann lediglich der Eintrag: "Laufwerk soll von Bitlocker automatisch entsperrt werden" im Setup der Bitlocker-Laufwerksverschlüsselung nicht genutzt werden.
Klar, alleiniges TPM wird nicht zugelassen.
Wenn diese Option benötigt wird, kann die Einstellung auf "TPM zulassen" geändert werden.
Ich denke dabei an deine Wartezeit für die PIN-Eingabe.
Evtl. hängt es, weil in der Standard-Einstellung einmal per TPM gestartet werden kann und zusätzlich mit PIN und TPM.
Ist nur eine Idee, Hardware reagiert nicht immer gleich.

 

[Richard Wagner]

Für mich klingt das wie ein Widerspruch: "TPM nicht zulassen" und trotzdem "Systemstart-PIN bei TPM zulassen"
PIN geht nur mit TPM, und das Systemlaufwerk muß immer automatisch entschlüsselt werden, weil Du es sonst gar nicht starten kannst. Von daher ist es nur logisch, daß die Option ausgegraut ist.
Wichtig: Diese Einstellung in den GPO bezieht sich nur auf Systemlaufwerke.

Für die Datenlaufwerke (egal ob intern oder Bitlocker zum Gehen) spielt TPM nach meiner Erkenntnis keine Rolle. Da kann man ggf. die Option aktivieren, daß diese Laufwerke automatisch entsperrt werden. Dazu wird der Schlüssel von Windows verwaltet, und deswegen kann man diese Option nur aktivieren, wenn das Systemlaufwerk (wo die Schlüssel abgelegt werden) geschützt, also verschlüsselt ist.

Man kann das System auch ohne TPM verschlüsseln. Dann muß man zwingend ein Kennwort benutzen, um das System zu starten. Mit TPM wird der Schlüssel (und nach meinem Kenntnisstand NUR der für das Systemlaufwerk) im TPM abgelegt. Das TPM gibt den Schlüssel nur frei, wenn bestimmte Startparameter unverändert sind (was man auch in den GPOs konfigurieren kann). Mit einer PIN kannst Du einen zusätzlichen Schutz aktivieren, dann muß beides stimmen, Startparameter und PIN-Eingabe, damit das TPM den Schlüssel frei gibt. Ohne PIN genügt es, wenn die Startparameter passen. Auf einem anderen Mainboard z.B. funktioniert es dann nicht. Da reicht dann auch die PIN nicht, dann ist die Wiederherstellung fällig.

Also: Mit TPM ohne PIN kann jeder den Computer anmachen und Windows hochfahren. Das TPM gibt den Schlüssel frei, der dann in den Arbeitsspeicher geladen wird. Das ist das Sicherheitsrisiko. Aber es ist immer noch ein guter Schutz gegen Gelegenheitsdiebe und neugierigen Übernachtungsbesuch, denn ohne Windows-Kennwort kann man sich in Windows nicht anmelden. Und wenn man den Computer von einem Livesystem startet, um das Windos-Kennwort zu kompromitieren, gibt das TPM den Schlüssel nicht frei, weil die Startparameter nicht passen. Mit PIN verhindert man lediglich zusätzlich, daß der Bitlockerschlüssel in den Arbeitsspeicher geladen wird, wenn ein Unbefugter den Computer anmacht und die PIN nicht kennt.

Ohne TPM wird der Schlüssel garnicht auf dem Gerät gespeichert und man muß ein Kennwort benutzen, das dann entsprechend länger und/oder komplizierter sein sollte als eine PIN. Das Kennwort kann man nämlich mit Bruteforce knacken. Das TPM macht dicht, wenn man mehrmals die falsche PIN probiert hat. Anders als bei der Geldkarte am Bankautomaten wird der Computer in diesem Fall aber nicht eingeogen.

Zurück zu den Datenlaufwerken: Der Schlüssel für diese wird, wenn ich das richtig verstanden habe, nicht im TPM abgelegt, so daß es egal ist, wie das Systemlaufwerk geschützt wird, mit oder ohne TPM, mit oder ohne PIN. Bedinnung für ein automatisches Entsperren der Datenlaufwerke ist nur, daß das System geschützt ist. Andernfalls wäre die Verschlüsselung der Datenlaufwerke ja sinnlos.

(Vielleicht sind diese Infos auch für Silent Reader interessant, die sich gerade mit Bitlocker vertraut machen...)

Obwohl ich es für einen Widerspruch hielt, "TPM nicht zulassen" und trotzdem "Systemstart-PIN bei TPM zulassen", habe ich das mal ausprobiert. Das funktioniert tatsächlich und ich kann auch dann wählen, ob ich mit PIN oder USB-Stick entschlüsseln will. Die anderen Optionen sind dann weg. An meiner merkwürdigen Wartezeit ändert das leider nichts...

 

[romeo]

An die Bitlocker-Profis hier:
Habe ich eine Chance da reinzukommen?
Es wurde nie ein Bitlocker eingestellt, kam irgendwann automatisch.

 

[Dorwyn]

@romeo
Jepp, indem du den Schlüssel eingibst. Welches OS spricht dich da an? Wenn es sich nicht um Win11 handelt kann es nur durch die AD automatisch drauf gekommen sein. Oder jemand hat mit einer Deployment Software im Unternehmen das drauf gemacht. Im Falle der AD sollte der Key auch in der AD gespeichert sein. Im Falle der Software _kann_ der Key in der AD gespeichert sein, eher aber hat sich der Verteiler den Key selber gezogen... hoffe ich für ihn.
Mir wäre keine Software bekannt die das mal eben entschlüsseln könnte. Ich kenne mich mit solchen pöhsen Tools aber auch nicht wirklich aus

 

[Richard Wagner]

Die Frage ist ja erst einmal, warum Du überhaupt nach dem Wiederherstellungsschlüssel gefragt wirst.

Ist es Dein eigener Rechner oder ist der in ein Netzwerk eingebunden und wird von dort administriert? Ich vermute, nicht, sonst würdest Du den Admin fragen. Also gehe ich davon aus, daß Du der Herrscher über das Gerät bist.

Hast Du etwas an der Booteinstellung geändert? Dann mach das mal rückgängig. Wenn Du Glück hast funktioniert es, und dann sicher Dir den Schlüssel!

Windows 10 Pro (und 11 Pro?) verschlüsselt automatisch und legt den Schlüssel im TPM ab. Davon bekommst Du aber nichts mit. Das passiert automatisch im Hintegrund. Die Verschlüsselung wird allerdings erst aktiviert, wenn Windows den Schlüssel außer im TPM noch an einem zweiten Ort ablegen kann. Das ist, wie @Dorwyn schreibt, bevorzugt ein AD (Active Directory). Meines Wissens kann es aber auch Dein Microsoft-Konto sein, wenn Du Dich darüber in Windows anmeldest. Such den Widerherstellungsschlüssel also dort.

Du kannst entweder den 48-stelligen Zifferncode aus einer Textdatei abtippen, oder die Schlüsseldatei (*.bek) auf ein USB-Laufwerk ins Root ablegen und den Rechner mit angeschlossenem USB-Laufwerk neu starten.

Viel Erfolg!

 

[Dorwyn]

Noch ne Anmerkung:
Ich bin mir relativ sicher dass Windows 10 nicht automatisch verschlüsselt, lass mich da aber gerne belehren

Wenn es ein Privatrechner ist und ein MS Konto benutzt wurde, dann kann es tatsächlich sein dass MS das in deinem Account hinterlegt hat.

Die meisten Änderungen im BIOS führen zu einem solchen Screen da das TPM Passwort unter anderem aus den Einstellungen im BIOS generiert. Ja, da gehört auch UEFI dazu
Also gerade so übliche Verdächtige wie Bootreihenfolge, Secureboot ausschalten, TPM ausschalten, etc. können dazu führen.

Solltest du, aus welchen Gründen auch immer, im Reparaturmodus gestartet haben, begrüßt dich dasselbe Bild. Hattest du evtl. Bootprobleme und bist in die Rep Konsole rein?

 

[Richard Wagner]

Doch! Wenn die technischen Voraussetzungen gegeben sind (UEFI! TPM! GPT?), verschlüsselt Windows automatisch! Verhindern kann man das durch einen Registry-Eintrag, unmittelbar nach Abschluß der Installation, bzw. Erstanmeldung.

Prevent Bitlocker Auto Encryption - Der Windows Papst - IT Blog Walter

Verhindern das Windows 10 OEM die Festplatte oder Partition automatisch verschlüsselt. BitLocker PreventDeviceEncryption Registry-Key.

(https://www.der-windows-papst.de/2019/07/13/prevent-bitlocker-auto-encryption/)

BIOS! Genau! Das vergaß ich noch zu erwähnen...

 

[romeo]

Nach etwas Recherche bin ich auf folgenden Bios-Hinweis gestossen und siehe da, kein Bitlocker mehr Scheint wohl doch keine so sichere Methode zu sein..Microschrott eben

 

[romeo]

Nur beim C-Laufwerk konnte ich diese Einstellung nicht finden..

Ich hoffe das Problem tritt langfristig nicht erneut auf da wäre der Schlüssel dann doch noch hilfreich

 

[Dorwyn]

Nur beim C-Laufwerk konnte ich diese Einstellung nicht finden..

Du meinst den Key für das verschlüsselte Laufwerk c:\ ?

Unter Windows 10 hatte ich folgendes Skript verwendet um automatisiert zu Bitlockern:

============
C:\
============

set ARCHIVNAME=Bitlocker-%COMPUTERNAME%-%date:~-4%-%date:~-7,2%-%date:~-10,2%

manage-bde -tpm -o 49dFC;s8l=buklSV;?5geP(e2$p>GDr

manage-bde -on c: -em xts_aes256 -recoverypassword >> "\\computername\Freigabe\Bitlocker Keys\%ARCHIVNAME%.txt"


===========
D:\
===========

set ARCHIVNAME=Bitlocker-%COMPUTERNAME%-%date:~-4%-%date:~-7,2%-%date:~-10,2%

manage-bde -on d: -em xts_aes256 -recoverypassword >> "\\computername\Freigabe\Bitlocker Keys\%ARCHIVNAME%.txt"

manage-bde -autounlock -enable d:

Der -o Option folgt ein Passwort. Das habe ich zufällig erstellen lassen (und ist auch nur ein Beispiel ). Bspw. mit Keepass geht das.

 

[Richard Wagner]

Scheint wohl doch keine so sichere Methode zu sein..Microschrott eben

Nein, kein Schrott! Ihr habt es nur nicht verstanden!

Die Bitlockereinstellungen findest Du in der Systemsreuerung, die MS leider etwas versteckt hat. Daher:

Einstellungen aufrufen (Windows-Taste + I) / System / Info
Dort dann oben rechts "Bitlocker-Einstellungen"

Damit landest Du in der Systemsteuerung für Bitlocker. Da kannst Du ganz ohne Scripte einfach den Wiederherstellungsschlüssel sichern oder Bitlocker deaktivieren (Du haßt es ja sowieso).

Achtung: Bitlocker anhalten gilt nur bis zur nächsten Anmeldung in Windows. Das mußt Du vor einem BIOS-Update machen!

Den Pfad zur Systemsteuerung kannst Du auch direkt in die Adresszeile des Explorers eingeben und Dir auch als Verknüpfung speichern:
Systemsteuerung\Alle Systemsteuerungselemente\BitLocker-Laufwerkverschlüsselung

Tip am Rande: Wenn Du Bitlocker verstehen willst, dann such nicht dort, wo darüber geläßtert wird, weil man es nicht verstanden hat. Such dort, wo man weiß, wie es funktioniert...

z.B. hier:

Windows Bitlocker Benutzer Handbuch User Guide Vorlage - Der Windows Papst - IT Blog Walter

Unter Windows 10 kommt die XTS-AES-256 Bit Verschlüsselung zum Einsatz. Diese Schlüssellänge wird für Daten eingesetzt die als Streng Geheim

(https://www.der-windows-papst.de/2018/01/06/windows-bitlocker-benutzer-handbuch-user-guide)

oder hier:

Meine Wissenssammlung zu Bitlocker

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte dieses Thema hat und wie ...

(https://administrator.de/contentid/387449)

oder hier:

Windows 10: BitLocker aktivieren (TPM + PIN)

Das Windows Feature BitLocker (verfügbar auf Windows 10 Pro, Windows 10 Enterprise und Windows 10 Education) verschlüsselt Festplatten. Auf eine verschlüsselte Festplatte kann nur dann zugegriffen …

(https://sid-500.com/2017/05/04/windows-10-bitlocker-aktivieren-tpm-pin/)

oder bei Microsoft:

manage-bde

Referenzartikel für den Befehl manage-bde, der BitLocker aktiviert oder deaktiviert, Entsperrmechanismen angibt, Wiederherstellungsmethoden aktualisiert und durch BitLocker geschützte Datenlaufwerke entsperrt.

(https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/manage-bde)

 

[romeo]

Scheint wohl doch keine so sichere Methode zu sein..Microschrott eben

Nein, kein Schrott! Ihr habt es nur nicht verstanden!

Die Bitlockereinstellungen findest Du in der Systemsreuerung, die MS leider etwas versteckt hat. Daher:

Einstellungen aufrufen (Windows-Taste + I) / System / Info
Dort dann oben rechts "Bitlocker-Einstellungen"

Damit landest Du in der Systemsteuerung für Bitlocker. Da kannst Du ganz ohne Scripte einfach den Wiederherstellungsschlüssel sichern oder Bitlocker deaktivieren (Du haßt es ja sowieso).

Achtung: Bitlocker anhalten gilt nur bis zur nächsten Anmeldung in Windows. Das mußt Du vor einem BIOS-Update machen!

Den Pfad zur Systemsteuerung kannst Du auch direkt in die Adresszeile des Explorers eingeben und Dir auch als Verknüpfung speichern:
Systemsteuerung\Alle Systemsteuerungselemente\BitLocker-Laufwerkverschlüsselung

Tip am Rande: Wenn Du Bitlocker verstehen willst, dann such nicht dort, wo darüber geläßtert wird, weil man es nicht verstanden hat. Such dort, wo man weiß, wie es funktioniert...

z.B. hier:

Windows Bitlocker Benutzer Handbuch User Guide Vorlage - Der Windows Papst - IT Blog Walter

Unter Windows 10 kommt die XTS-AES-256 Bit Verschlüsselung zum Einsatz. Diese Schlüssellänge wird für Daten eingesetzt die als Streng Geheim

(https://www.der-windows-papst.de/2018/01/06/windows-bitlocker-benutzer-handbuch-user-guide)

oder hier:

Meine Wissenssammlung zu Bitlocker

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte dieses Thema hat und wie ...

(https://administrator.de/contentid/387449)

oder hier:

Windows 10: BitLocker aktivieren (TPM + PIN)

Das Windows Feature BitLocker (verfügbar auf Windows 10 Pro, Windows 10 Enterprise und Windows 10 Education) verschlüsselt Festplatten. Auf eine verschlüsselte Festplatte kann nur dann zugegriffen …

(https://sid-500.com/2017/05/04/windows-10-bitlocker-aktivieren-tpm-pin/)

oder bei Microsoft:

manage-bde

Referenzartikel für den Befehl manage-bde, der BitLocker aktiviert oder deaktiviert, Entsperrmechanismen angibt, Wiederherstellungsmethoden aktualisiert und durch BitLocker geschützte Datenlaufwerke entsperrt.

(https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/manage-bde)

Kann man es dauerhaft verhindern, dass es nicht wieder auftritt?
Oder muss man den Schlüssel rausfinden und dann regelmässig eingeben?
Kommt es durch ein bestimmtes Update?

Danke für die Links, sehr interessant, werde ich mir nächste freie Tage in Ruhe zu Gemüte führen.

 

[Richard Wagner]

Mit dem Registryschlüssel aus dem in #18 verlinkten Beitrag kannst Du die automatische Verschlüsselung deaktivieren. Natürlich gilt das dann dauerhaft. Sonst wäre es doch wohl unsinnig:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker]
“PreventDeviceEncryption”=dword:00000001

In der Systemsteuerung Bitlocker anzuhalten, wirkt nur bis zum nächsten Neustart von Windows (über die Manage-Konsole kann man es für bis zu 15 Neustarts anhalten, wobei 1x in der Regel reicht).
Gedacht ist das für BIOS-Updates oder Änderungen an den Booteinstellungen. Das erspart Dir die Frage nach dem Widerherstellungsschlüssel, die Du oben gepostet hast.

Auch für Upgradeinstallationen (z.B. Windoes 10 auf Windows 11) kannst Du Bitlocker anhalten. Nach entsprechenden Meldungen aus dem Internet, hält Windows den Bitlocker während einen Upgrades aber automatisch an. Egal, auch wenn Du das manuell machst genügt auch in diesem Falle die Option über die Systemsteuerung, obwohl Windows beim Upgrade mehrfach neu startet. Für "normale" Updates braucht man Bitlocker nicht zu pausieren.

Wenn Du Bitlocker anhältst, bleibt das System weiter verschlüsselt! Es wird lediglich jedem den Zugriff auf verschlüsselte Daten ermöglicht, indem der Verschlüsselungsschlüssel auf dem Laufwerk ungesichert abgelegt wird. Sobald Bitlocker fortgesetzt wird, wird der ungesicherte Schlüssel gelöscht.

Bitlocker anhalten bedeutet also, nicht, das Laufwerk zu entschlüsseln, sondern lediglich den Zugriffsschutz zu pausieren. Dann kann man z.B. auch mit einer Rettungs-CD auf das verschlüsselte Laufwerk zugreifen.

Aufpassen muß man mit der Begrifflichkeit: "Anhalten" in der Systemsteuerung ist in der manage-bde "-disable". Das ist aber etwas anderes, als "Deaktivieren" in der Systemsteuerung. Das ist in der manage-bde "–off". In den Diskussionen im Internet werden diese Begriffe schon mal durcheinander gebracht.

"Deaktivieren" in der Systemsteuerung entschlüsselt alle Daten und schaltet Bitlocker aus. Das ist dann im Ergebnis so, als wäre das Laufwerk nie verschlüsselt gewesen. Ich möchte keinen Meineid darauf schwören, gehe aber davon aus, daß das Laufwerk anschließend nicht automatisch neu verschlüsselt wird, was natürlich dämlich wäre. Wenn Du ganz sicher gehen willst, importierst Du den Registrykey von oben.

 

[Dorwyn]

Und willst du zukünftige Verschlüsselungen vermeiden könntest du den TPM NACHDEM entschlüsselt wurde einfach im BIOS deaktivieren. Dann sollte es damit keine Probleme mehr geben. Das ist aber nur meine Theorie. Getestet hab ich das nicht.

 

[Richard Wagner]

Das ist richtig. Die automatische Verschlüsselung geht nur mit TPM. Manchmal führen mehrere Wege nach Rom.
Und auf einem neuen Computer könnte man das TPM auch schon deaktivieren, bevor man Windows installiert oder das vorinstallierte Windows das erste mal startet, wenn man die Sicherheitsfunktion der Verschlüsselung unbedingt vermeiden will...

 

[Richard Wagner]

Und willst du zukünftige Verschlüsselungen vermeiden könntest du den TPM NACHDEM entschlüsselt wurde einfach im BIOS deaktivieren. Dann sollte es damit keine Probleme mehr geben. Das ist aber nur meine Theorie. Getestet hab ich das nicht.

Weil die Diskussion hier so schön ist, noch ein Nachtrag. Wenn Du Bitlocker loswerden und ein verschlüsseltes System-Laufwerk wieder entschlüsseln willst, dann kannst Du das TPM im BIOS auch schon abschalten, BEVOR Du das Laufwerk entschlüsselt hast! Du brauchst dann halt den Wiederherstellungsschlüssel oder den USB-Stick, und du mußt zum Entschlüsseln auch nicht das verschlüsselte System selbst starten. Das geht auch, wenn Du die Festplatte an einem anderen Rechner anschließt oder von einem PE-Medium startest. Voraussetzung ist halt nur, daß Du den Wiederherstellungsschlüssel oder den USB-Stick hast...

Das ist aber etwas Grundsätzliches und gilt nicht nur für den Fall, daß Du das Laufwerk entschlüsseln willst. Mit dem Wiederherstellungsschlüssel oder dem USB-Stick kannst Du es entsprerren, und dann kannst Du machen, was Du willst, z.B. ein neues TPM-Modul auf das Mainboard löten oder um die alte Festplatte herum einen neuen PC bauen.

 

[Dorwyn]

@Richard Wagner
Erbsenzähler
Stimmt, geht auch so. Entspannter ist es allerdings wenn man zuerst entschlüsselt als anschließend. Ich hab mich nämlich schon sehr oft beim 36-stelligen Passwort vertippt

 

[Richard Wagner]

48-stellig, wenn wir schon beim Ersebzählen sind. Und spannender ist das sorum doch auch, oder. Es soll doch auch Spaß machen!

 

[romeo]

An die Bitlocker-Profis...

Habe eine Festplatte angeschlossen, die ist mit Bitlocker verschlüsselt

Nach etwas Recherche bin ich auf folgenden Bios-Hinweis gestossen und siehe da, kein Bitlocker mehr Scheint wohl doch keine so sichere Methode zu sein..Microschrott eben

Ob der Trick wohl auch funktioniert^^, wenn das mainboard vom Laptop kaputt ist und ich die Festplatte jetzt an meinen PC anschliesse?
Oder muss die Platte im Original-Laptop starten?

Bisher noch nicht erfolgreich.

 

[DrSnuggles]

Der "Trick" hat noch nie funktioniert.
Ohne Wiederherstellungsschlüssel gibt's keine Daten. Einzige Ausnahme: SATA Encryption war aktiviert und schlecht implementiert, dann hilft ein Datenrettungslabor

 

[romeo]

Der "Trick" hat noch nie funktioniert.
Ohne Wiederherstellungsschlüssel gibt's keine Daten. Einzige Ausnahme: SATA Encryption war aktiviert und schlecht implementiert, dann hilft ein Datenrettungslabor

Also #19 ging tatsächlich mit PPT aktivieren, aber wie gesagt im Original Laptop und nicht die Platte woanders angeschlossen..

 

[Richard Wagner]

Ich verstehe zwar nicht ganz, von was @romeo redet, aber: Wenn man den Schlüssel für Bitlocker im TPM speichert und keine zusätziche Sicherung aktiviert hat...
Und wenn Du alles, was von MS kommt für Schrott hältst, dann nimm doch etwas aus Edelstahl...
Verschlüsselung bring nicht nur Sicherheit, sondern auch Fallen, wenn man es falsch macht. Da ist es völlig egal, welche Software Du verwendest. Und je komplexer die Software ist, desto kniffliger die Fallen...

 

[romeo]

Ich verstehe zwar nicht ganz, von was @romeo redet, aber: Wenn man den Schlüssel für Bitlocker im TPM speichert und keine zusätziche Sicherung aktiviert hat...
Und wenn Du alles, was von MS kommt für Schrott hältst, dann nimm doch etwas aus Edelstahl...
Verschlüsselung bring nicht nur Sicherheit, sondern auch Fallen, wenn man es falsch macht. Da ist es völlig egal, welche Software Du verwendest. Und je komplexer die Software ist, desto kniffliger die Fallen...

Nein so radikal bin ich nicht, war eher ein Wortwitz mit Mikroschrott
Darfst nicht gleich alles auf die Goldwaage legen, habe ich den Smilie vergessen? Mensch ist doch ein schmiley sogar dabei

Der "Trick" hat noch nie funktioniert.
Ohne Wiederherstellungsschlüssel gibt's keine Daten. Einzige Ausnahme: SATA Encryption war aktiviert und schlecht implementiert, dann hilft ein Datenrettungslabor

Welches Datenlabor ist denn zuverlässig?
Habt ihr da Empfehlungen?

 

[Dorwyn]

Welches Datenlabor ist denn zuverlässig?

Wenn verschlüsselt ist und du den Key nicht mehr hast? Keines. Wenn nicht verschlüsselt ist und einfach nur die Platte im Arsch ist musst du dich fragen ob es die Daten auf der Platte wert sind. Die Preise gehen bei ca. 1500€ ohne Erfolgsgarantie los. Wir hatten das mal vor ein paar Jahren angefragt als bei einem Kollegen alle auf der lokalen Platte gespeicherten Daten futsch waren nachdem es die Platte zerlegt hatte.

 

[DrSnuggles]

@Dorwyn
Wenn SATA Encryption genutzt wurde bestehen Chancen

 

[romeo]

Nach etwas Recherche bin ich auf folgenden Bios-Hinweis gestossen und siehe da, kein Bitlocker mehr Scheint wohl doch keine so sichere Methode zu sein..Microschrott eben

Hier steht auch dass es ein typisches Dell-Problem ist und nach einem Update entsteht^^
Beide Lappys mit diesem Problem waren von Dell. Diesmal habe ich aber nur die Festplatte, das mainboard ist abgeschmiert
Leider kein anderer Dell-Laptop hier..bleibt nur noch Labor