BitLocker ohne TPM funktioniert nicht

Shor

Shor

Abload Support
Thread Starter
Mitglied seit
25.06.2006
Beiträge
238
Ort
Berlin
Sonniges Hallo!

Seit einiger Zeit verschlüssle ich alle Windows 10 PCs, die ich verwalte, mit Bitlocker. Bei 20 Systemen hat das wunderbar funktioniert - egal, ob sie ein TPM-Modul hatten oder nicht. Wenn sie kein TPM-Modul hatten, musste ich halt - wie es alle möglichen Anleitungen im Netz ja auch zeigen - in den Gruppenrichtlinien-Einstellungen immer einen Haken bei "BitLocker ohne kompatibles TPM zulassen" setzen. Beim 21. System allerdings funktioniert es nicht. Ich habe den Haken gesetzt, da auch dieses System kein TPM-Modul hat, aber trotzdem kommt beim Versuch zu verschlüsseln immer:

"Auf diesem Gerät kann kein TPM (Trusted Platform Module) verwendet werden. Der Administrator muss für die Richtlinie "Zusätzliche Authentifizierung beim Start anfordern" für Betriebssystemvolumes die Option "BitLocker ohne kompatibles TPM zulassen" festlegen.

Genau das habe ich ja aber gemacht - und sonst hat das ja auch immer gereicht. Nur hier ist halt irgendwas im Argen.

Habt ihr irgendwelche Ideen?

Auf dem PC gibt es mehrere Nutzer und teilweise auch unter verschiedenen Domänen. Ich habe allerdings alle durchprobiert, sprich ich hab bei allen den Haken gemacht (bzw. war das schon automatisch bei allen, als ich es mit dem ersten Nutzer gemacht habe) und dann versucht, zu verschlüsseln. Es läuft immer wieder auf die Fehlermeldung hinaus. Alle Updates sind installiert. Eine Neuinstallation des Betriebssystems ist leider nicht möglich, da dort Software mit Lizenzen installiert ist, die nicht neu beschafft werden kann. Aus diesem Grunde wurde damals - gegen meinen Rat - auch ein Update von Windows 7 gemacht (ich bin eher immer für Neuinstallationen). Kann das vielleicht daran liegen?

Google wollte mir nicht helfen.

Vielen Dank im Voraus
Jens
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Vielen Dank für deine Antwort! Ich habe zwischenzeitlich in einem anderen Forum den entscheidenden Tipp bekommen.

In der Registry sollte im Ordner HKEY_LOCAL_MACHINE\ Software\ Policies\ Microsoft\ ein Ordner FVE sein, der diverse Einträge haben muss, wie hier zu sehen ist. Beim betroffenen System fehlt der FVE Ordner allerdings, samt der darin befindlichen Datei EnableBDEWithNoTPM (DWORD), die auf 1 stehen muss, damit auch ohne TPM verschlüsselt werden kann. Die Lösung war, dem FVE Ordner aus der Registry eines funktionierenden Systems zu exportieren und beim betroffenen zu importieren. Schon ging es!

Ohne Gewähr.

Jens
 
Ich hab soeben mal geschaut, der von dir genannte Schalter in der lokal GPO setzt normal exakt diesen Registry Schlüssel. Sprich bei diesem einen System wirkt die Richtline nicht. Und das nicht nur was das "Wirken" ansich angeht, sondern die Einstellung wird gar nicht gesetzt - weder richtig noch falsch, sondern gar nicht. Das kann nun alles und nichts sein - erster Anlaufpunkt für das Troubleshooting ist wie so oft die Ereignisanzeige.

Den Schlüssel da händisch in den Ordner reinkopieren ist klar eine Lösung - wie gesagt, die Richtline macht im Endeffekt nichts anderes als Einträge im Zweig "Policys" ändern - deswegen gibt es diesen ;)
Ob das mit dem Update auf 10 zusammen hängt, würde ich fast ausschließen, was aber klar sein kann, das die GPO-Files nicht aktuell sind oder nicht passen, vllt durch das Update bedingt. Das lässt sich ggf. einfach nachprüfen/fixen, wenn du die ADMX Files bei Microsoft passend zu deiner Windows Version runterlädst und im Ordner C:\Windows\PolicyDefinitions abkippst -> alten Stand sinnigerweise aber vorher mal sichern!

Möglicherweise liegt/lag aber auch nur ein Rechteproblem vor - sprich der Key muss auch geschrieben werden können in der Registry. Das kann durch was auch immer ggf. problematisch sein, speziell wenn da an den Rechten rumgefingert wird oder wurde.



PS: Bitlocker ohne TPM halte ich persönlich für ne sinnfreie Lösung - denn die Verschlüsslung taugt damit quasi nichts ;)
 
meine Vermutung: an "einer der verschiedenen Domänen" des PCs war die Gruppenrichtlinie gesetzt. Wenn Domänengruppenrichtlinien für Einstellungen aktiv sind, werden die lokalen ignoriert, bzw. nur die genommen, wo meinen den Domänenrichtlinien auf "Nicht konfiguriert" stehen.
 
******* schrieb:
Darf man fragen wie Du zu der Einschätzung aus dem letzten Satz kommst? Die Verschlüsselung dürfte genau so viel taugen wie mit Veracrypt und Truecrypt, nämlich ne ganze Menge. TPM wiederum waren in letzter Zeit in den Schlagzeilen...
Zum Vergrößern anklicken....

Das wollte ich auch gerade schreiben. Ich habe sogar dort, wo ein TPM-Modul installliert ist, stattdessen auf ein Passwort gesetzt, weil man mir ja auch das komplette Gerät klauen und so die Verschlüsselung umgehen könnte. Meines Wissens nach ist die Verschlüsselung über einen PIN (den ich im Übrigen "erweitert" habe; der also nicht nur aus bis zu 6 Zahlen, sondern bis zu 20 beliebigen Zeichen besteht) rechnerisch so sicher, dass es absolut gesehen im Vergleich zum TPM keinen Grund gibt, davon Abstand zu nehmen. Vorausgesetzt natürlich, man hat ein entsprechend gutes Passwort gewählt.

Jens
 
Zuletzt bearbeitet:
Kann jemand anderes vielleicht noch was zu dem Punkt sagen? ******* habe ich leider - auch per privater Nachricht - nicht erreicht. Wäre schon sehr wichtig für mich zu wissen, wie sich das nun verhält. Wenn Bitlocker-Verschlüsselungen ohne TPM jetzt aus irgendeinem Grunde wirklich "fürn Arsch" sind, hab ich ein Problem, das ich beheben muss.

Gruß und danke
Jens
 
Das ganze ist eine Computerkonfiguration, d.h. für BitLocker ohne TPM greifen nur die GPOs die für das Computerobjekt bzw. dessen OU in der entsprechenden Domäne.
Geh also mal nur die GPOs durch, die für den Rechner gelten, zeig dir die gesetzten Einstellungen in den GPOs an und stell erst mal sicher, dass die benötigte Option wirklich konfiguriert ist. Notier dir den Namen der GPO mit der Bitlocker Konfig und schau per "gpresult /r" ob die GPO auf dem Client überhaupt angewendet wird.
 
Hilfe. Ich versteh nur Bahnhof. ;)

Hier mal ein Screenshot, der hoffentlich alles zeigt, was du zur Bewertung bzw. Beantwortung meiner Frage benötigst:



Mein Ziel war und ist es, dass die Festplatten nicht ausgebaut und ausgelesen werden können ohne Passworteingabe.

Gruß und danke
Jens
 
Zuletzt bearbeitet:
Zumindest richtig eingestellt ist die GPO. Wichtig ist allerdings ob diese auch an das Computerobjekt verknüpft wird. Liegt das Computerobjekt in der OU an welcher diese GPO angebunden ist, bzw. an einem der UnterOUs und die Vererbung ist nicht unterbrochen?
Wird die GPO auch auf dem Computer angewendet (kannst du auf dem Computer mit "gpresult /r" nachschauen.
 
Ich versteh wieder fast nur Bahnhof - außer den ersten Satz. Ich würde mich freuen, wenn du deinen Beitrag noch mal auf einem etwas einfacheren Niveau schreibst.

Und lass mich meine Frage, um die sich alles dreht, noch mal anders formulieren: Besteht bei meinen oben "fotografierten" Einstellungen tatsächlich das Risiko, dass jemand meine Festplatte in ein anderes System baut und unverschlüsselt bzw. ohne Passworteingabe auslesen kann?
 
Solange du nicht aktiv BitLocker für die Startpartition und ggf. alle anderen auf den Clients aktivierst, dann nützt dir die GPO halt nichts und es wird nichts verschlüsselt. BitLocker via GPO aktivieren geht nicht direkt, sondern du setzt nur die Voraussetzungen das du auch ohne TPM Bitlocker auf dem Startvolume nutzen kannst. Musst allerdings dies aktiv am Client über die Systemsteuerung aktivieren.

Bzgl. einfacher schreiben:
Sorry, aber wenn du nicht weißt, was eine OU ist, wie man GPOs an diese verknüpft oder wie man ein Computerobjekt in der AD findet kann ich dir leider nicht viel helfen. Erst müssten diese Grundlagen da sein, sonst sitze ich morgen noch da mit erklären.
Du kannst mich gerne mal per PM anschreiben und ich erklär dir via Skype wie das geht (heute geht nur nicht, lasse mir mal bissl das Fressbrett zerbohren (Wurzelkanalbehandlung steht an)).
 
Zuletzt bearbeitet:
Danke für dein Angebot, aber vielleicht erübrigt sich das alles, wenn du erst mal einfach mit einem "ja" oder "nein" auf meine oben gestellt Frage anwortest. :d Hier nochmal:

"Und lass mich meine Frage, um die sich alles dreht, noch mal anders formulieren: Besteht bei meinen oben "fotografierten" Einstellungen tatsächlich das Risiko, dass jemand meine Festplatte in ein anderes System baut und unverschlüsselt bzw. ohne Passworteingabe auslesen kann?"

;)

Viel Erfolg bei deinem Eingriff!

Gruß
Jens
 
Hallo Morpheuz,

ich hoffe, bei deinem Eingriff ist alles gut verlaufen. Da ich noch nichts gehört habe, wollte ich noch mal nachfragen, ob du vielleicht noch eine konkrete "ja" oder "nein" Antwort hast auf meine oben genannte Frage. :)

LG
Jens
 
Da es hier ja keine vernüftigen Antworten im Forum gibt, bin ich dann mal raus.
 
1. Morpheuz ist davon ausgegangen, dass du die Einstellungen zentral per GPO konfiguriert hast, während du tatsächlich nur die lokale Richtlinie konfiguriert hast, nehme ich an (per gpedit.msc) - habt also ein wenig aneinander vorbei geredet.

2. So wie du es konfiguriert hast, sollte ja vor dem Booten eine Passwortabfrage kommen, um das Laufwerk zu entsperren. Das Passwort ersetzt im Prinzip den Schlüssel, der sonst im TPM gespeichert wäre. Somit bist du auf der sicheren Seite...
 
Hallo dapaul2,

danke für deine Antwort. Sorry, dass ich mich jetzt erst melde - ich war im Urlaub.

Ich bin wie folgt vorgegangen: gpedit -> Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> BotLocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke

Ergo bin ich auf der sicheren Seite?
 
Ja, beim Aktivieren von Bitlocker auf der Systempartition muss dann ja ein Kennwort festgelegt werden, welches vor dem Booten eingegeben werden muss, um die Platte zu entschlüsseln.
 
Super, danke. Also der ganze Wirbel hier umsonst. :d Zum Glück.

Danke an alle Beteiligten!

LG aus Neukölln
Jens
 
dapaul2 schrieb:
Ja, beim Aktivieren von Bitlocker auf der Systempartition muss dann ja ein Kennwort festgelegt werden, welches vor dem Booten eingegeben werden muss, um die Platte zu entschlüsseln.
Zum Vergrößern anklicken....


Jein (geht auch per Zertifikat auf z.B. nem USB Stick), aber nur wenn du BitLocker auch aktivierst. Nur alleine die GPO verteilen reicht nicht wie schon angesprochen. Man muss an jeder Kiste noch in Systemsteuerung -> BitLocker Laufwerksverschlüsselung -> und auf BitLocker für Laufwerk aktiveren klicken bei C:
 
Hallo Morpheuz,

danke für deine Antwort - auch wenn sie mich wieder eher verwirrt als dass sie mir zu helfen scheint. Denn: Natürlich muss Bitlocker auch aktiviert werden. Sonst müsste bzw. könnte ich ja auch gar kein/e PIN/Passwort eingeben - und das habe ich natürlich (beides) gemacht. Mehr ist doch nicht erforderlich, oder? Oder sprichst du noch von einem anderen Aktivieren? Denn dein Beitrag impliziert zumindest im Kontext dieses Threads, in dem ja recht klar wurde, dass ich ein Passwort gesetzt (und damit auch Bitlocker aktiviert habe), dass das nicht reichen könnte. Zumindest wirkt das auf mich so. ;)

Der Vollständigkeit wegen: Ich hab dazu "BitLocker verwalten" gesucht und gestartet und dann beim Betriebssystemlaufwerk die Verschlüsselung aktiviert, wodurch ich dann PIN/Passwort setzen musste. Mehr hab ich nicht gemacht.

Jens
 
Zuletzt bearbeitet:
Jo das reicht ja auch. Ich wollte nur ausdrücklich nochmal erwähnen das man mit der GPO nur die Vorrausetzungen für die Möglichkeit des Aktivierens von BitLocker auf Systemstartlaufwerken schafft.
Habe schon Leute gesehn, die dachten BitLocker is nur mit der GPO schon komplett fertig eingestellt/konfiguriert.
 
Perfekt - alles klar! Danke dir. Dann sind ja alle Systeme so sicher wie ich mir das vorgestellt hatte.

Noch mal herzlichen Dank für eure starke Mithilfe!

Gruß aus Neukölln
Jens
 
Anmelden, um zu antworten.

Ähnliche Themen

H
CPU AMD Ryzen7 2700X funktioniert nicht auf Gigabyte B450 AORUS Pro rev:1.0 (ab gewissem Bios/UEFI bzw. nach Bios/UEFI-Update)
Antworten
2
Aufrufe
905
Haum
H
Burnz84
[User-Review] QNAP 432X 4G mit 8TB Toschiba N300 HDDs
Antworten
3
Aufrufe
846
Burnz84
Burnz84
CanuVader
[User-Review] Lesertest AVM FRITZ!Box 5690 Pro - Ein Alltagstest am DSL-Anschluss
Antworten
4
Aufrufe
2K
CanuVader
CanuVader
mtheis1987
  • Artikel
[User-Review] FRITZ!Box 5690 Pro
Antworten
7
Aufrufe
4K
Zeitmangel
Z
Beinfreiheit
[User-Review] Lesertest mit ADATA/XPG und ASUS
Antworten
4
Aufrufe
941
FirstAid
FirstAid
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh