10
Surface Pro 3 4 Bitlocker mit TPM und PIN aktivieren
Hallo,
ich möchte auf einem Surface Pro 3 oder auch Pro 4 Bitlocker + PIN aktivieren. Installiert habe ich Windows 10 Pro 1809. TPM Modul ist vorhanden. Soll baer zusätzlich noch per PIN gesichert werden!
Damit der Bitlocker PIN aktiviert werden kann, habe ich die GPO "Computerkonfiguration / Administrative Vorlagen / Windows Komponenten / Bitlocker-Laufwerksverschlüsselung / Betriebssystemlaufwerke Zusätzliche Authentifizierung beim Start anfordern" aktiviert und TPM-Start zulassen sowie bei TPM-Systemstart-PIN Konfigurieren den Punkt "Start-PIN bei TPM erforderlich" aktiviert.
Dann noch die Minimale PIN Länge aktiviert (default 4) und auf 6 eingestellt. GPO Update bzw. Neustart gemacht. Möchte ich nun Bitlocker für das LaufwerkC: aktivieren erhalte ich folgende Meldnung:
Die Gruppenrichtlinieneinstellungen erfordern die Einstellung einer Start-PIN, doch auf dem Gerät ist keine Pre-Boot-Tastatur verfügbar. Der Benutzer kann möglicherweise nicht die erforderlichen Angaben zum Entsperren des Volumes machen.
Somit dann noch die GPO "Verwendung der BitLocker-Authentifizierung mit erforderlicher Tastatureingabe vor dem Starten auf Slates" aktiviert.
Wenn ich dies aktiviere, dann erhalte ich folgeden Meldung beim Bitlocker aktivieren:
Die Gruppenrichtlinieneinstellungen für Bitlocker Startoptionen stehen in Konflikt und können nicht angewendet werden. Weitere Informationen erhalten Sie vom Systemadministrator.
Kennt dieses Problem jemand? Wie kann ich es lösen oder ist das ein defekt von WIndows 10?
Ich habe auch ein Type Cover am Surface Pro 3 angeschlossen. Aber ob dies dran ist oder nicht ist völlig egal, die Fehlermeldungen bleiben die gleichen. Zudem auch mit einer USB Tastatur...
ich möchte auf einem Surface Pro 3 oder auch Pro 4 Bitlocker + PIN aktivieren. Installiert habe ich Windows 10 Pro 1809. TPM Modul ist vorhanden. Soll baer zusätzlich noch per PIN gesichert werden!
Damit der Bitlocker PIN aktiviert werden kann, habe ich die GPO "Computerkonfiguration / Administrative Vorlagen / Windows Komponenten / Bitlocker-Laufwerksverschlüsselung / Betriebssystemlaufwerke Zusätzliche Authentifizierung beim Start anfordern" aktiviert und TPM-Start zulassen sowie bei TPM-Systemstart-PIN Konfigurieren den Punkt "Start-PIN bei TPM erforderlich" aktiviert.
Dann noch die Minimale PIN Länge aktiviert (default 4) und auf 6 eingestellt. GPO Update bzw. Neustart gemacht. Möchte ich nun Bitlocker für das LaufwerkC: aktivieren erhalte ich folgende Meldnung:
Die Gruppenrichtlinieneinstellungen erfordern die Einstellung einer Start-PIN, doch auf dem Gerät ist keine Pre-Boot-Tastatur verfügbar. Der Benutzer kann möglicherweise nicht die erforderlichen Angaben zum Entsperren des Volumes machen.
Somit dann noch die GPO "Verwendung der BitLocker-Authentifizierung mit erforderlicher Tastatureingabe vor dem Starten auf Slates" aktiviert.
Wenn ich dies aktiviere, dann erhalte ich folgeden Meldung beim Bitlocker aktivieren:
Die Gruppenrichtlinieneinstellungen für Bitlocker Startoptionen stehen in Konflikt und können nicht angewendet werden. Weitere Informationen erhalten Sie vom Systemadministrator.
Kennt dieses Problem jemand? Wie kann ich es lösen oder ist das ein defekt von WIndows 10?
Ich habe auch ein Type Cover am Surface Pro 3 angeschlossen. Aber ob dies dran ist oder nicht ist völlig egal, die Fehlermeldungen bleiben die gleichen. Zudem auch mit einer USB Tastatur...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 399875
Url: https://administrator.de/contentid/399875
Printed on: May 9, 2024 at 11:05 o'clock
10 Comments
Latest comment
Hi.
Lösche noch einmal HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE und mach danach ein
gpupdate /target:computer /force
und versuche es dann erneut.
Oft kommt die Meldung "Bitlocker Startoptionen stehen in Konflikt", wenn man von Hand in der Registry Dinge gesetzt hat, die Bitlocker betreffen.
Lösche noch einmal HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE und mach danach ein
gpupdate /target:computer /force
und versuche es dann erneut.
Oft kommt die Meldung "Bitlocker Startoptionen stehen in Konflikt", wenn man von Hand in der Registry Dinge gesetzt hat, die Bitlocker betreffen.
Gute Idee @DerWoWusste
...bringt leider nichts. Die Gruppenrichtlinieneinstellungen stehen weiterhin in einem Konflikt. Habe nun auch schon ein Test-Gerät mit komplett blankem WIndows 10 und auch da kommen die beiden Meldnungen :/
...bringt leider nichts. Die Gruppenrichtlinieneinstellungen stehen weiterhin in einem Konflikt. Habe nun auch schon ein Test-Gerät mit komplett blankem WIndows 10 und auch da kommen die beiden Meldnungen :/
Mach mal ohne PIN, die fügen wir nachträglich hinzu. Kriegen wir schon hin.
Ja ohne ist kein Problem. Also nur TPM.
Und dann die GPOs packe ich nicht an. Dann via CMD Befehle die PIN aktivieren oder wie meinst du das?
Und dann die GPOs packe ich nicht an. Dann via CMD Befehle die PIN aktivieren oder wie meinst du das?
Man muss die GPO setzen, um überhaupt eine PIN zu erlauben.
Ich denke, dass Du auf einen Bug gestoßen bist und hoffe, dass die andere Reihenfolge, nämlich
verschlüsseln - GPOs setzen - PIN setzen
einen Unterschied machen wird.
Auch würde ich auf "PIN erlauben" und nicht "PIN erfordern" stellen, zum Test.
Ich denke, dass Du auf einen Bug gestoßen bist und hoffe, dass die andere Reihenfolge, nämlich
verschlüsseln - GPOs setzen - PIN setzen
einen Unterschied machen wird.
Auch würde ich auf "PIN erlauben" und nicht "PIN erfordern" stellen, zum Test.
Schau bitte auch nach, ob Du die richtige Policy erwischt hast:
Das ist echt verhext. Auch das mit dem Verschlüsseln und dann anpassen bringt nichts.
Bekomme dann zwar nicht mehr die Fehlermeldungen, kann aber dnan auch nicht PIN auswählen. Es steht nur USB Speicherstick anschließen zu Verfügung.
Edit: Ja ich habe die richtige GPO!
Bekomme dann zwar nicht mehr die Fehlermeldungen, kann aber dnan auch nicht PIN auswählen. Es steht nur USB Speicherstick anschließen zu Verfügung.
Edit: Ja ich habe die richtige GPO!
Zunächst nochmal deutlich: ist die GPO wie bei mir eingestellt mit "allow" und nicht mit "require"?
Wenn ja, dann nimm mal die Kommandozeile (elevated):
Wenn ja, dann nimm mal die Kommandozeile (elevated):
manage-bde -protectors -add c: -tp
Genau. Auf deutsch dann erste der vier möglichkeiten: "TPM Start konfigurieren" TPM zulassen.
Dadrunter der Punkt Configure TPM startup PIN -> auf deutsch TPM-Systemstart-PIN konfigurieren: steht bei mir auf "Systemstart-PIN bei TPM zulassen"
cmd als admin..: Geben Sie dei PIN ein... zwei mal eine PIN eingegeben.. Fehlermeldung:
Es wurde keine Pre-Boot-Tastatur gefunden. Der Benutzer kann möglicherweise nicht die erforderlicehn Angaben zum Entsperren des Volumes machen.
Dadrunter der Punkt Configure TPM startup PIN -> auf deutsch TPM-Systemstart-PIN konfigurieren: steht bei mir auf "Systemstart-PIN bei TPM zulassen"
cmd als admin..: Geben Sie dei PIN ein... zwei mal eine PIN eingegeben.. Fehlermeldung:
Es wurde keine Pre-Boot-Tastatur gefunden. Der Benutzer kann möglicherweise nicht die erforderlicehn Angaben zum Entsperren des Volumes machen.
Ja, die Policy mit den Slates musst Du natürlich zusätzlich setzen. Mal sehen, was dann kommt.
