[gelöst] Korrekte Einrichtung der Laufwerksverschlüsselung mit Bit Locker

Moin.

Ich habe bisher keine Erfahrung mit der Laufwerksverschlüsselung BitLocker.

Es geht um einen neuen Rechner Lenovo X390 mit Win 10 Pro, alle aktuellen Updates sind eingespielt.

Der Nutzer ist mit einem Microsoftkonto angemeldet.

Im Dialog "BitLocker verwalten" habe ich Bitlocker aktiviert, die Option "Ganzes Laufwerk" gewählt, den Wiederherstellungsschlüssel ausgedruckt und zusätzlich gespeichert und dann entsprechend der Aufforderung des Dialoges einen Neustart durchgeführt.

Nach dem Neustart erscheint zu meinem Erstaunen keinerlei Fortschrittsdialog oder sonst eine Meldung zu BitLocker und dessen Status. Es war auch nur die normale Anmeldung des Nutzers nötig.

In "Bitlocker verwalten" wird nur lapidar angezeigt "Windows (C) BitLocker verschlüsselt

Ist all das ein Zeichen, dass alles geklappt hat? Muss ich noch etwas kontrollieren, beachten?

Danke.


P.S.: Fragen zu MS Office sind hier im Forum offtopic, richtig? Es geht nur um Windows, oder?
Falls ja: Könnt ihr ein deutschsprachiges Forum zu MS Office empfehlen?
Ich möchte etwas zu Volumenlizenzen fragen.

Hallo,

Im Dialog "BitLocker verwalten" habe ich Bitlocker aktiviert, die Option "Ganzes Laufwerk" gewählt, den Wiederherstellungsschlüssel ausgedruckt und zusätzlich gespeichert und dann entsprechend der Aufforderung des Dialoges einen Neustart durchgeführt.

Zum Vergrößern anklicken....

wenn du den Schlüssel auf einem USB-Stick gespeichert hast und dieser beim Booten angeschlossen ist , bekommst du auch keinerlei Meldungen !

1. Computer ohne TPM-Chip - Wenn im Computer kein TPM-Chip integriert ist, speichert BitLocker Daten auf einem USB-Stick. Dieser muss mit dem Computer verbunden sein, damit BitLocker booten kann.

2. Computer mit TPM-Chip - Hier entschlüsselt BitLocker die Daten mit der im TPM gespeicherten Prüfsumme.

3. TPM und PIN - Zusätzlich müssen Anwender bei jedem Neustart des Computers eine PIN eingeben.

4. TPM und Startschlüssel - Statt der PIN verwendet der Computer einen Startschlüssel, der von einem USB-Stick bezogen wird.

5. Recovery-Schlüssel - Diese Funktion benötigen Sie, wenn sich die Hardware des Computers ändert oder Anwender ihre PIN nicht mehr kennen.

Gruß

Ps. Fragen zu Office kein Problem !

Der USB-Stick steckt nicht.

Es erscheint dennoch keine Meldung beim Anmelden/Neustart.

Dann kann ich also davon ausgehen, dass die von Dir erwähnte Variante 3 automatisch verwendet wird?

Mit PIN ist also extra PIN für BitLocker gemeint, sondern die normale PIN, die Anwender verwenden, wenn sie für das Anmelden ein MS-Konto eingerichtet haben, richtig?

Hallo, dann ist bei dir die Nr:2 zuständig TPM-Chip !
hast du eine Pin erstellt ?

Gruß
Ps. Schnellstart deaktiviert ?

Ps. hast du das so gemacht wie hier beschrieben ?
Windows 10: BitLocker aktivieren (TPM + PIN) – SID-500.COM

Ich wurde beim Aktivierungsprozess von BL weder nach der Erstellung einer PIN gefragt, noch danach "Schnellstart" zu wählen.

Für die Anmeldung bei WIN 10 habe ich eine PIN eingerichtet.

Die Einrichtung habe ich ansonsten so vorgenommen, wie es in dem von Dir genannten Link gezeigt wird.

Nur die PIN habe ich nicht eingerichtet.

Und während des Einrichtungsprozesses wurde ich zu TPM nichts gefragt.

Verstehe ich es richtig, dass die PIN für Bitlocker nur eine Option und kein Muss ist?

Hallo,

Verstehe ich es richtig, dass die PIN für Bitlocker nur eine Option und kein Muss ist?

Zum Vergrößern anklicken....

JA ist nur eine Option aber totale Sicherheit !

Gruß
Ps. hast du TPM eingerichtet ?
muss die Version 2.0 sein !

Alles klar, vielen Dank.

Dann ist also nichts weiter zu tun.

TPM 2.0 ist aktiv. Lässt sich außer über den GM auch über über "Windows Einstellungen > Sicherheit > Gerätesicherheit > Sicherheitschip" einsehen.

Etwas schade, dass MS nach dem Neustart keine Meldung anzeigt "BL erfolgreich eingerichtet. Diese Optionen haben Sie noch."

Aber solche Kritik ist hier meiner Erfahrung nach nicht so beliebt, daher auch nur kurz als Statement, ohne jeden Diskussionswunsch

Die Windowsanmeldung hat mit Bitlocker nichts zu tun. Wie sollte das auch möglich sein, wenn alle Informationen zur Windowsanmeldung auf der bitlockerverschlüsselten Partition C: liegen. Auch die Windowsanmelde-PIN hat nichts mit Bitlocker zu tun.

Wird bei Bitlocker das TPM ohne PIN oder USB-Schlüssel verwendet, ist das nicht sicher, denn das sorgt eigentlich nur dafür, dass die Festplatte nur an diesem Rechner entschlüsselt werde kann. Entweder TPM mit PIN Windows 10: Zusatzliche PIN-Abfrage fur Bitlocker beim Windows-Start einrichten - TecChannel Workshop TPM mit USB-Schlüssel oder ganz auf TPM verzichten und ein Bitlocker-Kennwort verwenden. Lässt sich aber alles nicht im normalen Bitlocker-Dialog einstellen, sondern nur in den Gruppenrichtlinien

@build

Vielen Dank für die Infos!
Was genau ist bitte mit "denn das sorgt eigentlich nur dafür, dass die Festplatte nur an diesem Rechner entschlüsselt werde kann" gemeint.

Angenommen ein Dieb lässt die Festplatte in dem Rechner, aber er kann ja Windows mangels Login nicht starten.

Kann er dann von außen, die noch eingebaute Festplatte auslesen?

Zum USB-Schlüssel: der kann ja auch gestohlen werden.

Eine zweite zusätzliche PIN verwenden zu müssen, würde den Mitarbeitern jedenfalls nicht gefallen.

Angenommen ein Dieb lässt die Festplatte in dem Rechner, aber er kann ja Windows mangels Login nicht starten.

Zum Vergrößern anklicken....

Theoretisch ist das so wie du sagst, ja. Allerdings fällt dadurch eben eine Sicherheitsstufe weg, und du musst dich darauf verlassen, dass das Betriebssystem dann "dicht" ist und sich keiner unter Ausnutzung einer Sicherheitslücke etc. dran vorbeimogeln kann. Das ganze ist dann also genau so sicher wie deine Windows-Installation.

Darum ist "TPM only" ja auch Standard. Es sorgt dafür, dass nur das auf dem Bitlocker-Laufwerk installierte Windows im Zusammenspiel mit dem TPM in der Lage ist, das Laufwerk zu entsperren. Dafür nimmt die Windows-Installation ja das TPM in Besitz. D.h. schonmal, dass jemand, der mit einer Live-DVD oder Bootstick rangeht, von einem anderen gestarteten OS aus keinen Zugriff erhält, weil das TPM diesen eben nur für das eine installierte Windows freigibt. Genauso funktioniert es dann natürlich nicht, die Festplatte auszubauen und woanders auszulesen.

"TPM+PIN" sorgt dann eben einfach dafür, dass einem nicht authentifizierten Nutzer nicht mal genehmigt wird, das Laufwerk zu entsperren und Windows zu booten. Ist dann eine zusätzliche Sicherheitsstufe, wenn man sich nicht darauf verlassen will, dass die Software "hält".
Oder wenn man z.B. Windows Hello für biometrische Authentifizierung verwendet um tagsüber das Gerät schnell beim Aufwecken aus dem Standby, Rückkehr an den Arbeitsplatz etc. zu entsperren, aber dennoch möchte dass wenn man den PC ausmacht, dieser mit einer PIN abgeriegelt ist statt nur mit Fingerabdruck oder Gesichtsscan.

ibu schrieb:

kann ja auch gestohlen werden

Zum Vergrößern anklicken....

Durchaus. Es gibt keine 100%tige Sicherheit. Irgendwo ist immer eine Schwachstelle. (Etwa ein PW eingeben, wenn um einen herum X Leute stehen und ggf. interessiert auf den Monitor schauen.)

Man muss generell halt schauen, wo für einen selbst / den Anwendungsfall der Kompromiss aus Sicherheit & Bequemlichkeit liegt. Geht es zudem nicht mehr nur um die private Nutzung, dann kann es auch durchaus sein, dass es für Branche X / Anwendungsfall Y bestimmte Kriterien gibt, die eingehalten werden müssen. Da wäre es völlig egal, ob es dem Mitarbeiter gefallen würde oder nicht.

Zum Rest (TPM + PIN) hat mh001 ja schon alles Wichtige geschrieben.

Danke für eure Hinweise.

Weitere Logins zur Erhöhung der Sicherheit kann man natürlich machen.

Aber der Lenovo x390 hat einen Fingerabdrucksensor. Mal sehen, ob man den als zusätzliche Barriere einrichten kann. Aber vermutlich geht das nur als Ersatz eines textuellen Logins.

Auf meiner ToDo steht aber noch was anderes: Fido2

Ich möchte gerne herausfinden, ob man ein modernes Smartphone als Authentifizierung und zur Entsperrung eines Windows-Rechners verwenden.

Das erscheint mir sehr viel angenehmer in der Handhabung zu sein, als das Hantieren mit einem zusätzlichen Stick oder einem zusätzlichen Login.

Aber das wäre Thema für einen anderen Thread

Auf meiner ToDo steht aber noch was anderes: Fido2

Ich möchte gerne herausfinden, ob man ein modernes Smartphone als Authentifizierung und zur Entsperrung eines Windows-Rechners verwenden.

Zum Vergrößern anklicken....

Das sind zwei unterschiedlich Dinge.
Zu Fido2 gab es in jüngerer Zeit ein paar Artikel in der Zeitschrift c´t. Da kann man sich schlau lesen.

Das Smartphone kann man für die 2-Faktor-Authentifizierung einrichten. Ob das langfristig praktisch ist, muß man ausprobieren.

Yep. Die c't liegt hier schon

Bin gespannt, ob man einen PC mit TPM-Chip allein über ein geeignetes Smartphone entsperren kann.