Enable Bitlocker TPM and PIN

Bitlocker lässt sich sehr einfach mit einem Knopfdruck aktivieren. Den recovery Key hinterlegt man an einem sicheren Ort, und die Verschlüsselung erfolgt im laufenden Betrieb. Ist der onboard TPM (Trusted Platform Module) Chip noch nicht aktiviert worden, wird der User noch zu einem Reboot aufgefordert. Zwischen dem POST und dem Bootloader muss das Einschalten quitiert werden, fertig!

Solange nun die Disk den Rechner nicht verlässt, erfolgt eine automatische Pre-Boot Entschlüsselung durch den auf dem TPM Chip hinterlegten Key. Ohne einen in der Hardware eingebauten TPM Chip wäre dieselbe Funktion mittels Startup Key z.B. mit einem USB Stick möglich.

Das ganze ist mit dem TPM Chip sehr komfortable und einfach einzurichten. Und bietet eine sehr hohe Sicherheit! Es ist jetzt nicht mehr möglich auf die Disk zugreifen, indem man Recovery Tools oder Live Distributionen bootet. Auch beim physischen einhängen der Disk hat man keinen Zugriff auf die Daten, bis der korrekte Key eingegeben wurde.

So schön der ganze Luxus ist, denn Dinge werden nur genutzt wenn sie funktionieren, ist nicht von der Hand zu weisen, dass das Betriebssystem fertig von der sich automatisch entschlüsselnden Disk gebootet wird. Einziges Hindernis zur ersehnten Beute ist nur noch die Überwindung eines User Account Passworts.

Die automatische Entschlüsselung lässt sich unterbinden mittels einer Pre-Boot Authentifizierung (two-factor Authentifizierung). Windows bietet hier mehrere Möglichkeiten, TPM und PIN ist überwiegend die beste Lösung. Die Konfiguration der Bitlocker Optionen geschieht über die Lokale Policy.

gpedit.msc –> Computer Configuration –> Administrative Templates –> Windows Components –> BitLocker Drive Encryption –> Operating System Drives –> Require addtional authentification at startup

gpedit.msc --> Computer Configuration --> Administrative Templates --> Windows Components --> BitLocker Drive Encryption --> Operating System Drives --> Require addtional authentification at startup

Nach Anwendung der Policy (gpupdate oder reboot) ist es möglich einen PIN zu setzen. Ein aktivierter TPM Chip, und Einschalten der Bitlocker Verschlüsselung ist Voraussetzung.

Aktivierung und Deaktivierung der Bitlocker PIN Option mit der GUI

Windows Bitlocker TPM PIN

Systemsteuerung / Bitlocker

Windows Bitlocker TPM PIN

Windows Bitlocker TPM PIN

zweimal PIN eingeben, fertig

 

Windows Bitlocker TPM PIN

in der Bitlocker Console lässt sich der PIN wieder deaktivieren sowie die PIN ändern

 

Windows Bitlocker TPM PIN

ein Click auf automatische Entsperrung nimmt die PIN wieder weg, und die Entschlüsselung erfolgt automatisch

Aktivierung und Deaktivierung der Bitlocker PIN Option mit der commandline

mit der commandline lässt sich der Status der Encryption ausgeben

 

mit folgendem Befehl wird der PIN Protector hinzugefügt, in der Abfrage muss zwei mal der neue PIN eingegeben werden

 

Lassen wir uns den aktuellen Status geben, sehen wir TPM And PIN als Protector

 

um den preBoot PIN wieder zu deaktivieren, wird nur TPM gesetzt

 

getestet mit Windows 8 Ent. und 8.1 Ent. + Pro

Holger Wache

Holger Wache

3 Comments

  1. Hallo Holger,
    ich habe in dem Zusammenhang mit dem Bitlocker eine Frage. Bei der Netzwerkentsperrung über die GPO’s hast du da auch Erfahrung? Ich habe bei mir ein Problem mit der Entsperrung der PIN.
    Wäre toll wenn du dich kurz meldest.
    Vielen Dank schon mal.
    Viele Grüße
    Roberto

  2. Hallo Holger,
    ich habe ein Problem mit Bitlocker nach einem Cleanistall über ein mit Bitlocker geschütztem Laufwerk.
    Leider bricht das Hinzufügen eines Protectors mit einem Fehler ab. Vielleicht kannst du mir weiterhelfen. Ich würde mich freuen, wenn du mir helfen kannst.
    Viele Grüße
    Uwe

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.