Anzeige

Am Puls von Microsoft

Anzeige

TPM/Bitlocker Verschlüsselung

a.jorysch

treuer Stammgast
Hallo zusammen

Ich bin vorgegangen, wie auf der Internetseite beschrieben:
1. Geben Sie unten in der Taskleiste unter "Web und Windows durchsuchen" den Begriff "BitLocker" ein.
2. Wählen Sie in der Ergebnisliste den Eintrag "BitLocker verwalten" aus.
3. Hier sind die Festplattenlaufwerke aufgelistet, die Sie mit "BitLocker" verschlüsseln können.
4. Sobald Sie neben der Festplatte auf "BitLocker aktivieren" klicken, können Sie die Verschlüsselung einrichten.
5. Erscheint nun jedoch die Fehlermeldung, dass Sie "BitLocker ohne kompatibles TMP zulassen" müssen, besitzt
Ihr Mainboard keinen TMP-Chip und Sie müssen einen Umweg gehen.

Die beiden Festplatten konnte ich wie unter 4. aktivieren und sind nun verschlüsselt; ich bekam keine Fehlermeldung, also muss alles i.o sein.

Was mich jedoch stutzig machte ist, dass beim Aufstarten des PC, kein Bitlocker Passwort verlangt wird.
Beim letzten PC war dies so, jedoch dort hatte es kein TPM Modul und ich konfigurierte das System dementsprechend.
Kann ja sein dass dies alles vollautomatisch läuft, es ist ja ein TPM vorhanden...dachte ich, bis ich im Internet zusätzliche Infos fand, dass das TPM zuerst im BIOS aktiviert werden muss und dass es eine TPM Konsole gäbe. Also hab ich als Laie mich damit etwas befasst, so gut ich konnte. anscheinend sollte man mit "tpm.msc" das TPM initialisieren können, jedoch finde ich diese Aktion nicht in der TPM Verwaltung nur Besitzerkennwort ändern, TPM löschen, TPM Sperre zurücksetzen und TPM vorbereiten ist ausgegraut.
Im Diagnosetool SisoftwareSandra, bekomme ich folgende Meldung:
Tipp T2513 - TPM wurde nicht erkannt. Einige Sicherheitsfunktionen stehen nicht zur Verfügung.
Im Internet heisst es auch, dass man das TPM im BIOS aktivieren müsse. Ich wurde im BIOS zwar fündig, bei Security, System Security. Jedoch kann man dort nur bei Virtualization Technology (VTx/VTd) eine Einstellung vornehmen jedoch nicht bei TPM. Ein aktuelleres BIOS als das bestehende hab ich nicht gefunden. Also wenn schon ein TPM vorhanden ist, muss es auch aktiviert werden können, wo mache ich dies? Oder kann es sein, dass HP zwar ein TPM verbaut, aber nicht vorgesehen hat, dieses auch anzusteuern? Das wäre aber wirklich ein schlechter Witz, das würde mich nerven.....Interessant ist, dass ich Bitlocker auf beiden Laufwerken in der Systemsteuerung aktivieren konnte, Systemwiederherstellungsschlüssel speichern, ein Passwort definieren, jedoch wie eingangs gesagt, beim Aufstarten des PC, kein Eingabebildschirm erscheint, wo ich das BitLockler-PW eingeben muss; also frage ich mich, obwohl in der Systemsteuerung aktiv, ob die Festplatten wirklich verschlüsselt, geschützt sind...

Kann mir jemand was dazu sagen, mich beraten?

Danke
Gruss Armand
 
Anzeige
Schade, bekam leider noch keine Antwort :(

Gestern hab ich folgendes erlebt und schliess daraus dass Bitlocker/TPM funktionieren muss....
Ich konfigurierte eine USB-Festplatte als Win-to-go. Diese konnte ich jedoch nicht starten und fand auch im Bootmenü (F9) keinen Hinweis auf diese angeschlossene Festplatte.
Deshalb änderte ich im BIOS unter Secure boot configuration: a) Legacy Support und b) Secure boot / a) war defaultmässig auf Disable und b) auf Enable. Ich änderte a) auf Enable und b) auf Disable, sorry fürs schlechte Bild

1.jpg

Nun sieht F9 anders aus und man kann explizit das gewünschte «Gerät» ansteuern. In diesem Fall das WD Elements 1048

2.jpg

Als ich diese Festplatte bzw. Win-to-go heruntergefahren habe und den PC mit seinem Betriebssystem startete bekam ich plötzlich einen Bildschirm, hab kein Foto davon, wo mir bewusst wurde, dass im Hintergrund Bitlocker über TPM doch funktionieren muss.
Der Bitlocker Wiederherstellungsschlüssel wude verlangt.
Das blöde nur… den verlangten Wiederherstellungsschlüssel muss anscheinend von Hand eingegeben werden, man kann nicht einen USB-Stick anschliessen und von dort einlesen lassen. Dieser 48 stellige Zahlen Code muss man sich also irgendwo extern vom PC aufbewahren, z.B. im Smartphone.— Was ich nicht ausprobiert habe ist, anstatt den Wiederherstellungsschlüssel einzugeben, das BIOS wieder umzustellen; vielleicht würde es dann ohne diesen Schlüssel funktionieren, der besagte Bildschirm nicht mehr anzeigen.
- Jedoch ist somit der Beweis erbracht, dass TPM/Bitlocker aktiv ist, funktioniert.
Die offene Frage dazu ist aber nach wie vor: Warum kann man im BIOS, TPM nicht konfigurieren? Siehe folgendes Bild:

3.jpg

Also wenn TPM/Bitlocker funktioniert, dann müsste man aber auch Konfigurationen vornehmen können.
Leider finde ich die Internetseite nicht mehr, wo geschrieben stand, dass man mit dem TPM Manager, Konfigurationen vornehmen könne, z.B, dass man einen PIN generieren könne um die Sicherheit zu erhöhen und diesen PIN dann jeweils beim Systemstart eingeben muss.
Ich finde keine Konfigurationsmöglichkeit beim TPM-Manager (tpm.msc), siehe folgenden Screenshot.

4.jpg

Beim weiter recherchieren, bin ich dann drauf gestossen, dass man die Gruppenrichtlinien für die BitLocker-Laufwerkverschlüsselung anpassen könne und dann Konfigurationsmöglichkeiten bezugnehmend auf TPM und BIOS.
Da möchte ich mir die Finger nicht verbrennen, kenne mich da nicht aus, aber kann mir gut vorstellen, dass je nach Einstellung in der Gruppenrichtlinie, auch im Verwaltungstool des TPM zusätzliche Möglichkeiten freigeschalten werden, aber eben, ich bin Laie und daher bin ich hier im Forum von Dr. Windows in der Hoffnung, dass mir jemand weiterhelfen kann. ;)
HP verkauft PC’s mit TPM. Im BIOS anscheinend nicht konfigurierbar und doch vorhanden… Gruppenrichtlinien abhängig?
Ich möchte ja nichts anderes als BitLocker verwenden und sicher sein, dass diese Verschlüsselung auch wirklich so funktioniert, wie sie sollte.
Da das System nicht von mir konfiguriert wurde sondern von HP, ist klar, dass mir deswegen Fragen entstehen, denn in der TPM-Verwaltung (tpm.msc), kann ich nichts ändern, sehe als Laie nicht, ob alles ok und im BIOS sehe ich zwar wie oben aufgezeigt TPM, kann aber auch da nichts ändern. Und in den Gruppenrichtlinien sehe ich, dass nichts konfiguriert ist, siehe folgenden Screenshot.
Ich werde mich auch an den HP-Support wenden, bin jedoch nicht unbedingt optimistisch eine zufriedene Antwort zu bekommen. Da Windows auf dem System vorinstalliert war, also eine OEM Version, gibt Microsoft keine Auskunft, sondern verweist auf die Verkaufsfirma. Ich möchte lediglich wissen, ob auf meinem neuen PC alles korrekt eingerichtet ist, damit BitLocker korrekt und sicher funktioniert. Möchte wissen, ob und wie man TPM im BIOS und in der TPM-Konsole anpassen/konfigurieren kann und das Tüpfelchen auf dem i wäre, wenn mir jemand gute Tipps für die Gruppenrichtlinien geben könnte.

5.jpg

Ich warte also gespannt weiter und wenn ich wieder Zeit finde, werde ich mal im Netz ausschau halten nach dem Stichwort Bitlocker, TPM, Gruppenrichtlinien
 
Anzeige
Oben