T5xx (T500-550 ohne "p") Bitlocker mit TPM, beim Boot soll ein USB-Stick mit Startschlüssel notwendig sein

rene_froh

New member
Registriert
2 Apr. 2012
Beiträge
2
Hallo User, habe meinem neuen T520 ein OS-Upgrade auf Ultimate gegönnt und die Festplatte unter TPM mit Bitlocker verschlüsselt. Soweit ist alles schick! Nur bekomme ich es nicht hin, dass beim Booten auch zwingend ein USB-Stick mit dem Bitlocker-Startschlüssel verlangt wird. Weder mit "gpedit.msc" noch unter der Konsole mit "manage-bde.exe" bekomme ich die Gruppenrichtlinien fehlerlos geändert. Kann mir hier jemand bei der Problemlösung helfen. René
 

Multi2

Member
Registriert
18 Feb. 2008
Beiträge
200
BitLocker benötigt eine eigene Partition der Festplatte. Es startet vor dem Betriebssystem und greift standardmäßig auf ein Trusted Platform Module zu, um zu prüfen ob die Hardware unverändert und somit vertrauenswürdig ist. Microsoft empfiehlt, zusätzlich die Eingabe einer PIN zu erzwingen. Alternativ oder zusätzlich zur PIN kann das Starten des Systems davon abhängig gemacht werden, ob ein USB-Stick mit einer Schlüsseldatei eingesteckt ist. Wenn keines von beidem konfiguriert wird, tritt BitLocker nicht in Erscheinung, solange die Umgebung der Festplatte unverändert bleibt. Bei Computern ohne Trusted Platform Module kann keine Eingabe einer PIN vorgesehen werden, sondern nur eine Schlüsseldatei auf einem USB-Stick zum Einsatz kommen. Um das Laufwerk zu verschlüsseln, auf dem Windows installiert ist, muss der Computer über folgende zwei Partitionen verfügen: eine Systempartition (die alle Dateien enthält, die zum Starten des Computers erforderlich sind) und eine Betriebssystempartition (auf der Windows installiert ist). Die Betriebssystempartition wird verschlüsselt, aber die Systempartition verbleibt unverschlüsselt, damit der Computer gestartet werden kann. Wenn der Computer mit einem TPM-Mikrochip (Trusted Platform Module) ausgestattet ist, wird dieser von BitLocker verwendet, um die zum Entsperren des verschlüsselten Betriebssystemlaufwerks verwendeten Schlüssel zu versiegeln. Beim Starten des Computers werden die Schlüssel für das Laufwerk beim TPM angefordert, und das Laufwerk wird von BitLocker entsperrt.

Wenn Sie Datenlaufwerke (eingebaute Laufwerke oder Wechseldatenträger) verschlüsseln, können Sie ein verschlüsseltes Laufwerk mit einem Kennwort oder einer Smartcard entsperren. Sie können auch festlegen, dass das Laufwerk automatisch entsperrt wird, wenn Sie sich am Computer anmelden.
Sie können BitLocker jederzeit entweder vorübergehend durch Anhalten oder dauerhaft durch Entschlüsseln des Laufwerks deaktivieren.


http://windows.microsoft.com/de-AT/windows7/products/features/bitlocker
http://blogs.technet.com/b/sieben/archive/2009/07/06/du-sollst-bitlocker-verwenden.aspx
Voraussetzungen für die Bitlocker-Verschlüsselung:
1. Datenpartition: Für das Verschlüsseln einer Datenpartition oder eines USB-Laufwerks (oder generell einer beliebigen Partition, die nicht das Betriebssystems enthält) gibt es keinerlei Einschränkungen. Es ist nicht einmal nötig, dass das Laufwerk ein bestimmtes Dateisystem benutzt - Bitlocker verschlüsselt NTFS, FAT32, FAT16 oder exFAT.
2. Systempartition: Für den Bitlocker-Einsatz auf der Systempartition ist hingegen ein TPM-Chip der Version 1.2 oder höher notwendig (TPM=Trusted Platform Module). Fehlt dem Rechner dieser Hardware-Chip, lässt sich über die Gruppenrichtlinie erzwingen (gpedit.msc, 'Computerkonfiguration, Administrative Vorlagen, Windows-Komponenten, Bitlocker-Laufwerksverschlüsselng, Operating System Drives, Require aditional athentication at startup'), dass Bitlocker den Schlüssel statt auf das TPM auf einen USB-Stick speichert.
Zusätzlich benötigt eine Bitlocker-Verschlüsselung der Systempartition eine zweite Partition auf der selben Festplatte. Dies lässt sich über die Datenträgerverwaltung (Diskmgmt.msc) durch nachträgliches Verkleinern der Systempartition erreichen.
 
Zuletzt bearbeitet:

rene_froh

New member
Themenstarter
Registriert
2 Apr. 2012
Beiträge
2
Danke Multi2 für die ausfühliche Hilfe. Ein Bildschirmfoto vom zweiten Link brachte mich auf eine Idee!
Im original Neuzustand war der TPM-Chip inaktiv. Als ich die Festplatte das erstemal mit Bitlocker verschlüsseln wollte, hat Bitlocker den TPM selbständig aktiviert. Dann verschlüsselte Bitlocker fleissig mit der Standard Gruppenrichtlinie. Jedenfalls erhielt ich kein Auswahlfenster TPM, Bitlocker mit PIN oder auch Startschlüssel auf USB-Stick (wie im Foto Link2).
Also Problem gelöst, danke :thumbup:.
 
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Oben