TPM und BitLocker - Anfängerfragen

C

cunni

Erklär-Bär
Registriert
5 Okt. 2007
Beiträge
3.091
Hallo zusammen,

nachdem ich in den kommenden Wochen mein X220 aus der Wohnung "ausführen" werde, habe ich mir ein paar Gedanken zur Verschlüsselung der Festplatte gemacht.

Vor ein paar Jahren habe ich die Platte noch mit TrueCrypt verschüsselt - da leuchtete mir ein, wie das funktioniert. Nach der Beendigung des TrueCrypt-Projekts habe ich nun mein Glück mit BitLocker versucht, das ist ja bei Win 10 dabei.

Also einfach wie bei Chip beschrieben in Win10 die BitLocker verwaltung geöffnet und dann auf "Festplatte verschlüsseln" geklickt. Dabei sind mir folgende Fragen gekommen, bei deren Beantwortung ich mir Unterstützung aus dem Forum erhoffe:

1. Im Rahmen des Starts von Bitlocker bietet mir die Software an, einen Wiederherstellungsschlüssel zu sichern. Diesen habe ich ausgedruckt. In welchem Szenario genau benötigte ich diesen genau, d.h. wann kann ich damit was genau wiederherstellen?

2. Wie genau spielen TPM und Bitlocker zusammen? Ich habe gelesen, dass man aktiv ein TPM-Kennwort setzten kann, das habe ich jedoch nicht gemacht. Vielmehr soll beim Start einer Bitlocker-Verschlüsselung automatisch das TPM-Kennwort mit "gesetzt" und in der Wiederherstellungsschlüsseldatei abgelegt werden. Ich habe diesen Schüssel wie gesagt ausgedruckt. Dort ist ein langer Wiederherstellungschlüssel angegeben. Entspricht dieser Bitlocker-Wiederherstellungsschlüssel dem TPM-Kennwort?

3. Wie genau funktioniert der Schutz der Daten auf der Festplatte? Ich muss ja beim Systemstart nicht wie bei TrueCrypt ein Festplattenkennwort eingeben. Wird der Zugirff auf meine Daten also ausschließlich über das Windows-Kennwort gesteuert?

Ihr seht - wirklich durchblickt habe ich nicht... Ich freue mich über jede Hilfe!

Besten Dank und Grüße,
Cunni
 
1: Wenn du die Festplatte in einem anderem Gerät auslesen willst (dein X220 ist z.B. kaputt)
2: TPM sagt Bitlocker: Jo das Gerät ist das Richtige! Entschlüssel mal fein!

D.h. solange die Platte in dem x220 steckt wird sie entschlüsselt, kennt jemand dein Win-Password, kommt er automatisch an die Daten dran. Daher ist es Ratsam noch ein PowerOn / Bios-Password zu setzten.

3: Die Daten liegen verschlüsselt auf der Festplatte, ein externes Auslesen ist nicht mehr möglich, außer du hast den Key (den du ausgedruckt hast).

Grüße
 
Herzlichen Dank erstmal!

blafoo;2049274 D.h. solange die Platte in dem x220 steckt wird sie entschlüsselt schrieb:
Folgefragen: ;)

1. Power-On UND Bios-Passwort?

2. Was ist, wenn jemand über einen Stick bootet und die Platte im X220 steckt - kommt er dann an die Daten?

3. Was ist mit dem TPM-Passwort - kenne bzw. brauche ich das? Wie gesagt - habe kein eigenes gesetzt.

Danke und Grüße,
Cunni
Zum Vergrößern anklicken....
 
Moin,

1: joa, zweiteres ist nütlich, gerade wenn es verschiedene sind, aber du solltest erst gart nicht ins Bios kommen ohne PO-Password
2: Nein, da Bitlocker ein Windows-Programm ist, läuft dieses natürlich nicht wenn du was anderes als dein Windows bootest, außer du bootest ein andere Windows mit Bitlocker, dann brauchst du aber den Key, da TPM in zusammenarbeit mit dem Windows eine Checksumme bildet, die er zum verschlüsseln nutzt. D.h. sobald, warum auch immer, dein Windows versucht wird umgangen zu werden, wird der ausgedruckte Schlüssel gebraucht.
3: Joa, brauchst du nicht, einige machen es, weil sie sagen der Standard-key im TPM ist "irgendwem" bekannt (z.B. Lenovo bzw dem Hersteller) bzw berechenbar.

Grüße
 
Ich habe das so konfiguriert, dass beim booten automatisch Bitlocker nach dem Passwort (nicht PIN!) für das TPM fragt. Die Windows Anmeldung läuft danach automatisch, ein Passwort ist dennoch gesetzt, so dass ich den Bildschirm trotzdem kurzfristig sperren kann. Kommt der Truecrypt Variante recht nahe :)
 
dennker schrieb:
Ich habe das so konfiguriert, dass beim booten automatisch Bitlocker nach dem Passwort (nicht PIN!) für das TPM fragt. Die Windows Anmeldung läuft danach automatisch, ein Passwort ist dennoch gesetzt, so dass ich den Bildschirm trotzdem kurzfristig sperren kann. Kommt der Truecrypt Variante recht nahe :)
Zum Vergrößern anklicken....

Kannst du mir die Konfigurationsschritte dazu erklären? Klingt gut! Wie gesagt, ich kenn das Passwort für das TPM nicht. Und wo ist der Unterschied zwischen TMP Passwort und PIN? Fragen über Fragen ;)
 
Mal so aus dem Gedächtnis heraus:

Gruppenrichtlinien öffnen (Ausführen gpedit.msc)
-> Pfad öffnen: Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerksverschlüsselung\Betriebssystemlaufwerke
Zusätzliche Authentifizierung beim Start anfordern und Erweiterte PINs zulassen (Alphanumerisch statt numerisch) aktivieren.

Dann solltest du in der Bitlocker Verwaltung einstellen können, wie das Laufwerk beim Start entsperrt wird und ein beliebiges Passwort vergeben.

Dein Windows Konto stellst du danach noch auf automatisches Anmeldung beim Start.

Beim Booten kommt dann sowas hier


Gruß
 
Sehr gutes Gedächtnis! So funktioniert es - es dauerte nur einige Minuten, bis ich die Kennworteinstellung in der Bitlocker-Verwaltung angezeigt bekommen habe. Dann noch Win+R und netplwiz ausführen... das Häkchen bei "Benutzer müssen sich mit Kennwort anmelden" raus und Kennwort zum Speichern eingeben.

Herzlichen Dank für die Hilfe!



Noch eine Frage:

Das Fenster Screen.jpgbekomme ich, wenn ich nun auch die Datenpartition D: verschlüsseln will. Wunschszenario wäre, dass mit der Eingabe des Bitlocker-Passworts beim Start auch gleich Laufwerk D: mit entschlüsselt werden. Welche Option muss ich dafür angeben? Automatisch entsprerren? Oder Kennwort aktivieren und das Gleiche wie das Bitlocker-Startpasswort setzen?
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben