illusionfactory
Goto Top

Bitlocker auf Windows 11 nicht verfügbar

Hallo, zusammen,

ich muss ein Notebook zur Reparatur einschicken und möchte es dafür Bitlocker-Verschlüsseln. Es läuft Win11 Pro.

Leider habe ich weder die Option "Geräteverschlüsselung" noch die den Button "Bitlocker aktivieren" neben dem Startaufwerk. Die Gruppenrichtlinie "Zusätzliche Authentifizierung beim Start anforder" von ....>Betriebssystemlaufwerke habe ich gesetzt und mit gpupdate /force eingelesen.

Das TPM ist im BIOS aktiviert (ich möchte aber PIN-Verschlüsselung machen, so weit komme ich aber gar nicht)

Mir fällt nix mehr ein, mag die Platte aber nicht einfach plattmachen...

Danke face-smile

Content-ID: 7590323884

Url: https://administrator.de/forum/bitlocker-auf-windows-11-nicht-verfuegbar-7590323884.html

Ausgedruckt am: 21.12.2024 um 17:12 Uhr

6376382705
6376382705 20.06.2023 um 07:40:21 Uhr
Goto Top
Hi.

Bau die Platte aus!? Garantie darfst Du deswegen nicht verlieren.
So mache ich das da die Hersteller die Platte häufig direkt formatieren ...

VG
Lochkartenstanzer
Lochkartenstanzer 20.06.2023 aktualisiert um 07:58:27 Uhr
Goto Top
Moin,

  • Image ziehen
  • Speicher löschen (secure erase)
  • Nach Reparatur restaurieren.

Ich würde auch verschlüsselte Medien nicht zur Reparatur einschicken wollen, weil ordentliche Betriebe immer Backups machen (sollten) und die Daten eventuell dann in 5 oder 10 Jahren, wenn Bugs oder genügend Rechenleistung da sind immer noch "leaken" können.

lks
IllusionFACTORY
IllusionFACTORY 20.06.2023 aktualisiert um 08:00:59 Uhr
Goto Top
Ja, geht zur Not auch, ich habe für den Fall auch vorher ein Image aufs Netz gezogen, dachte nur, Bitlocker wäre das Einfachste (war bisher auch auf allen Rechnern total easy)

Trotzdem würde mich die Lösung interessieren, da wir unsere Maschinen hier vor Ort auch mit Bitlocker verschlüsseln wollen und ich bestimmt nochmal auf das Problem treffe
JasperBeardley
Lösung JasperBeardley 20.06.2023 um 08:24:44 Uhr
Goto Top
Moin,

hast du es mal in der administrativen CMD versucht?

Hier die MS Doku dazu

und hier noch ein paar weitere Befehle

Gruß
Jasper
IllusionFACTORY
IllusionFACTORY 20.06.2023 aktualisiert um 08:45:21 Uhr
Goto Top
Danke! Damit konnte ich den Bitlocker schon einmal einschalten! Vielleicht komme ich von da weiter.

Ich bin als Domänenadmin auf der Maschine eingeloggt. Mir kommt gerade der Gedanke, dass der vielleicht nicht automatisch lokaler Admin ist...
DerWoWusste
DerWoWusste 21.06.2023 um 12:44:04 Uhr
Goto Top
Moin.

...Windows 11...Ich bin als Domänenadmin auf der Maschine eingeloggt
Auf die Gefahr hin, dass du den Hinweis unpassend findest: nimm doch bitte einen lokalen Admin und auf gar keinen Fall den Domänenadmin für die Clientadministration. Der Löwenanteil aller Hackerangriffe fängt mit solchen leichtsinnigen Aktionen an; ist erstmal der Hash des Domänenadmins am Client gespeichert, dann kann er wegkommen und dann fällt das Netzwerk schnell auseinander.
IllusionFACTORY
IllusionFACTORY 21.06.2023 um 13:08:49 Uhr
Goto Top
Zitat von @DerWoWusste:
st erstmal der Hash des Domänenadmins am Client gespeichert, dann kann er wegkommen und dann fällt das Netzwerk schnell auseinander.

Ich lerne immer gerne dazu face-smile

Allerdings würde ich, sollte das stimmen, das ganz klar als Sicherheitslücke in der Windows Authentifizierung sehen, oder?
DerWoWusste
DerWoWusste 21.06.2023 um 13:17:45 Uhr
Goto Top
Nicht wirklich. Die Architektur von Windows setzt eben auf single sign on und das bedeutet, dass die Anmeldeinfos im RAM sind. Und wenn am Client, an dem Du dich befindest, etwas/jemand Adminrechte hat, kann er diesen RAM auslesen und Domänenadmin werden.
IllusionFACTORY
IllusionFACTORY 21.06.2023 um 13:25:06 Uhr
Goto Top
Zitat von @DerWoWusste:

Nicht wirklich. Die Architektur von Windows setzt eben auf single sign on und das bedeutet, dass die Anmeldeinfos im RAM sind. Und wenn am Client, an dem Du dich befindest, etwas/jemand Adminrechte hat, kann er diesen RAM auslesen und Domänenadmin werden.

Warum ist ein Login mit dem Domänenadmin dann überhaupt möglich?
DerWoWusste
DerWoWusste 21.06.2023 um 14:01:04 Uhr
Goto Top
Warum ist ein Login mit dem Domänenadmin dann überhaupt möglich?
Dass MS dies an Clients per default möglich macht, ist quasi die Ursünde. Sie raten davon ab und schlagen vor, GPOs zu nutzen, um das, was sie per Default ermöglichen, unmöglich zu machen.
Damals (Windows 2000) war MS noch nicht so streng mit Ihren Konzepten, wie jetzt. Das wäre heute undenkbar. Aber dennoch haben sie es beibehalten, um ein riesiges Chaos zu vermeiden bei Betrieben, die sich eben genau verlassen auf: "mit dem Domadmin bin ich überall Gott"