Anzeige

Am Puls von Microsoft

Anzeige

[gelöst] Probleme mit Trusted Platform Module (TPM)

LeVence

bekommt Übersicht
Guten Tag,

ich möchte gerne Bitlocker nutzen, um meine System-Festplatte, sowie eine externe Festplatte zu verschlüsseln.

Das Problem ist nur, dass das System zwar ein TPM-Modul erkennt, es aber irgendwie nicht nutzen kann.

In den BIOS-/UEFI Einstellungen musste ich TPM aktivieren, indem ich "TPM Device Selection" auf "Firmware TPM" gesetzt habe. Da ich die Möglichkeit habe TPM 2.0 zu nutzen, dachte ich mir warum nicht, und habe das ebenfalls dort eingestellt.

Ich habe nochmal einige Bilder gemacht, welche ihr hier finden könnt: https://imgur.com/a/aKIBdaA

Das System hat unter Anderem auch Probleme die Speicher-Integrität der Kernisolierung zu aktivieren.

Hardware ist mehr als zeitgerecht und sollte TPM 2.0 eigentlich bestens unterstützen - ich verweise auf das Wort eigentlich ..

Ich hoffe, jemand hat da mehr Erfahrung, was die Nutzung von TPM angeht.

Grüße
Chris
 
Anzeige
Bei dir scheint SecureBoot nicht zu funktionieren. Mach mal ein UEFI Update und setz danach das UEFI auf Standardwerte zurück.

Das Windows wird nicht zufällig über einen speziellen Loader gestartet?
 
Guten Tag,

leider konnten mir die angegebenen Seiten nicht weiterhelfen.

Laut dem Geräte-Manager ist der letzte Treiber installiert und das Gerät "funktioniert einwandfrei".

Grüße
Chris

================

Guten Tag,

die letzte Version vom UEFI ist bereits installiert - ich könnte versuchen das Ganze, wie du sagst, auf die Standardwerte zurücksetzen zu lassen.

"Das Windows wird nicht zufällig über einen speziellen Loader gestartet?"

Ich habe für die Verschlüsselung früher VeraCrypt verwendet, der soweit ich weiß den Bootloader für Pre-boot authentication überschreibt.

Grüße
Chris
 
Zuletzt bearbeitet von einem Moderator:
Das kann nicht klappen. Du bootest UEFI only. Windows erwartet dann ein GPT Partitionsschema. Da hast du dann dein Problem.
 
TPM 2.0 geht nur im UEFI-Modus. Entweder TPM 1.2 benutzen oder Partitionierung nach GPT konvertieren. Die meisten Helfer hier werden jetzt eine Neuinstallation empfehlen. Es geht auch ohne, aber dafür unbedingt vorher eine Datensicherung ausführen! Ist das ein W7 nach W10 Upgrade?
 
Das Firmware-TPM dürfte aber nur TPM 2.0 sprechen, nehme ich stark an.

An sich dürfte die Sache so wie sie jetzt ist nicht einmal booten. Vermutlich sind also noch irgendwelche Reste des Veracrypt Loaders vorhanden. Wenn Veracrypt schon an den Partitionen war, würde ich jeden, der hier keine Neupartitionierung empfiehlt, als ziemlich mutig ansehen. Um nicht zu sagen völlig verrückt. ;)
 
Mein PC startet auch ohne Änderung MBR, steht in der Bootreihenfolge unter UEFI. Das wird da wohl auch so sein.

Außerdem, wer auf Sicherheit setzt und Bitlocker verwendet sollte dann auch Secure Boot nicht außen vor lassen.
 
Zuletzt bearbeitet von einem Moderator:
Also ich konnte beide Festplatten (fast) problemlos von MBR auf GPT konvertieren. Um das ganze noch zum Laufen zu bringen, musste ich über "UEFI only" statt "UEFI and Legacy OPROM" booten.

Mir ist aufgefallen, sofern ich das richtig gelesen habe, dass Bitlocker für die Verschlüsselung der System-Festplatte leider kein PIV / Smartcard für die Pre-Boot Authentifizierung akzeptiert - ist das richtig? Dann müsste ich wohl doch zu EgoSecure wechseln.
 
Das ist korrekt. In der Bitlocker Preboot-Authentifizierung funktionieren nur HID-Devices um eine PIN einzugeben oder USB-Massenspeicher um statt oder zusätzlich zur PIN ein Keyfile auf einem USB-Stick zu benutzen.

Letzteres kommt noch von der Benutzung her am ehesten an eine Smartcard ran, da du einfach nur den USB-Stick stecken musst damit der PC bootet.
Technisch ist dann auf dem Stick einfach eine versteckte Systemdatei, in der ein sehr langes Passwort/Key drinsteht, nach dem Bitlocker dann beim Start auf allen USB-Speichern sucht.
Prinzipiell wie eine ungesicherte Smartcard. Eine Smartcard würde auch nur einen solchen Key enthalten, aber nicht zulassen, das man ihn im Klartext per Explorer auslesen und duplizieren kann, wie es beim USB-Startupkey für Bitlocker möglich ist.

Ich habe mir an meinen Schlüsselbund so einen Mini-USB-Stick drangemacht, der kaum stört, und den ich zum Start meines PCs einfach kurz einstecke.

Falls das für dich eine Option wäre, müsstest du die Verwendung eines USB-Startupkeys für Bitlocker zusätzlich zum TPM in den Gruppenrichtlinien freischalten.
 
Anzeige
Oben