heavytones
Goto Top

Bitlocker ohne PIN Eingabe

Hallo zusammen. Ich wollte für einige Rechner den Bitlocker aktivieren, ohne PIN Eingabe und dachte eine einfache Aufgabe hiermit zu haben face-smile
Ich habe jenen aktiviert, jedoch fragt er mich jedes mal beim Hochfahren nach dem Wiederherstellungskey...
Das Bios bei den Rechner hatte ich vor OS Installation (WIN10) auf legacy Boot ein und UEFI aus geschaltet. Ich nehme an, dass bei diesen Einstellung der Haken ist. Ich finde aber auch keine eindeutigen Einstellungen im Netz, die ich anwenden muss. Ich bin für jede Hilfe wirklich sehr dankbar .....

Content-ID: 363618

Url: https://administrator.de/forum/bitlocker-ohne-pin-eingabe-363618.html

Ausgedruckt am: 23.12.2024 um 11:12 Uhr

Penny.Cilin
Penny.Cilin 05.02.2018 um 17:26:52 Uhr
Goto Top
Hallo,

mal blöde gefragt:
Was soll Bitlocker OHNE PIN bringen?
Weil, das ist doch der Sinn, daß beim Einschalten eine Abfrage nach Passwort, PIN erfolgt.

Oder verstehe ich das falsch?

Gruss Penny
HeavyTones
HeavyTones 05.02.2018 um 17:36:07 Uhr
Goto Top
Habe ich mich auch gefragt, Es soll nicht mehr auf die Daten zugegriffen werden können, wenn auf den TPM nicht zugegriffen werden kann. Die Vorgabe kommt nicht von mir, deswegen kann ich wegen Sinn und Unsinn nichts sagen.
nonit11
nonit11 05.02.2018 um 17:36:22 Uhr
Goto Top
Bitlocker bietet

PIN or Password

face-wink
HeavyTones
HeavyTones 05.02.2018 um 17:42:39 Uhr
Goto Top
Hmm. Also kann ich so nicht bestätigen face-smile
nonit11
nonit11 05.02.2018 um 17:45:48 Uhr
Goto Top
Ich auch nicht - irgendwie verwechsle ich das.
emeriks
emeriks 05.02.2018 aktualisiert um 17:53:54 Uhr
Goto Top
Hi,
bei vorhandener TPM-Hardware macht Bitlocker ohne PIN durchaus Sinn. Allerdings nur gegen das Entwenden der HDD aus dem Gehäuse. Oder wenn man eine HDD mal - ohne Computer! - einfach so verschrottet.
Wenn man damit aber z.B. ein Notebook sichern will, dass beim Entwenden dieses nicht einfach das OS starten kann, dann muss schon eine PIN her.
Bei Bitlocker ToGo natürlich auch.

E.
HeavyTones
HeavyTones 05.02.2018 um 18:01:10 Uhr
Goto Top
Zitat von @nonit11:

Ich auch nicht - irgendwie verwechsle ich das.

face-big-smile

@ emeriks. Genau..

Aber was ist jetzt mit meinem Problem, dass immer der Wiederherstellungskey gefragt wird?
Pjordorf
Pjordorf 05.02.2018 aktualisiert um 19:46:48 Uhr
Goto Top
Hallo,

Zitat von @HeavyTones:
Aber was ist jetzt mit meinem Problem, dass immer der Wiederherstellungskey gefragt wird?
Wieso soll das ein Problem sein? Das wolltest du doch so haben oder etwa nicht? Du verrätst nichts über deine verwendete HW oder deren TPM usw. Und da du nicht hinterfragst was dir aufgetragen wird.... keiner weiß hier wirklich was dein Ziel sein soll noch wie du dein BitLocker eingerichtet hast...
https://countuponsecurity.com/2014/06/23/bitlocker-with-tpm-in-10-steps/
https://www.howtogeek.com/howto/6229/how-to-use-bitlocker-on-drives-with ...
https://www.gruppenrichtlinien.de/artikel/bitlocker-mit-tpm-einrichten-s ...
http://www.windows-infrastructure.de/enable-bitlocker-tpm-and-pin/

Gruß,
Peter
Xerebus
Xerebus 05.02.2018 um 18:57:15 Uhr
Goto Top
Alleine durch das Starten können keine Daten abgezogen werden ohne Windows Passwort.
Bei KonBoot und anderen Tools bricht die Verschlüsselung und es muss der Recovery Key eingegeben werden.

Macht also auch ohne Pin Sinn.
DerWoWusste
DerWoWusste 05.02.2018 um 19:08:50 Uhr
Goto Top
Hi.

Es ist so: es macht einen Unterschied, ob TPM 1.2 oder 2.0 (man kann übrigens 2.0er oft auch auf 1.2 im Bios umstellen).
Mit TPM 2.0 MUSS man Windows im UEFI-Modus (also mit GPT-Partitionierung) installiert haben.
Wenn nicht, kommt immer wieder die Recoverykey-Abfrage.

Du kannst glücklicherweise noch nachträglich auf GPT wechseln: https://docs.microsoft.com/en-us/windows/deployment/mbr-to-gpt

Ob man eine PIN benötigt, oder nicht, muss jeder für sich entscheiden. Sicherer ist mit PIN, klar, aber auch unkomfortabler (man denke auch an geplante Reboots). Auf keinen Fall ein Passwort verwenden, dieses sollten User niemals bekommen, da sie damit entschlüsseln/manipulieren können - nicht so mit der PIN.
HeavyTones
HeavyTones 06.02.2018 aktualisiert um 09:43:04 Uhr
Goto Top
Hallo zusammen,
nein, ich wollte es nicht so, dass ich immer den Recovery Key eingeben muss Pjordorf. Und ohne PIN. Danke für die Links.

Ich habe ein Lenovo Thinkpad L570, installiert ohne GPT. Da mein Modell ein TPM2.0 hat und wenn ich DerWoWusstes Beitrag lese, muss ich wohl meine Notebooks nochmal bearbeiten.
Es war wohl ein Fehler die Notebooks um Legacy Mode zu installieren face-sad

Also Umstellen auf UEFi geht ja nicht, weil das NB sonst nicht mehr bootet. Also muss ich zunächst die Partition ändern und dann auf UEFI wechseln? Sorry, wenn es blöde Fragen sind.,
muftypeter
muftypeter 06.02.2018 um 09:58:12 Uhr
Goto Top
Hallo,
die PIN kommt bei aktivem TPM und Bitlocker nur bei Veränderungen im Bios. Also bitte prüfen was sich hier den verändern kann.

Besonders beliebt:
- Bootreihenfolge
alles raus bis auf die HDD/SSD des Gerätes selbst
(Docking, PXE, USB,... )

Dann sollte der Pin nicht mehr abgefragt werden

Grüße Peter
DerWoWusste
DerWoWusste 06.02.2018 aktualisiert um 10:05:10 Uhr
Goto Top
Hi Peter. Schau mal meinen vorigen Kommentar an.
HeavyTones
HeavyTones 06.02.2018 um 10:37:12 Uhr
Goto Top
Zitat von @DerWoWusste:

Hi Peter. Schau mal meinen vorigen Kommentar an.

Ja genau. Die Dinge hatte ich alle auch schon versucht face-smile Danke.
HeavyTones
HeavyTones 06.02.2018 um 12:14:52 Uhr
Goto Top
Habe das jetzt mal durchgeführt, er bootet jetzt im UEFI, Bitlocker sagt mir aber, er "kann die angegebene Datei nicht finden."
Ich habe zuvor den Befehl mbr2gpt /convert /disk:0 druchgeführt. Ich habe eine Festplatte drin.
Hat da jemand noch nen Tip?
DerWoWusste
Lösung DerWoWusste 06.02.2018 aktualisiert um 12:17:26 Uhr
Goto Top
Wann sagt Bitlocker das? Hattest Du zuvor entschlüsselt und wolltest nun wieder verschlüsseln? Dann bezieht sich die Meldung auf die Datei
REAgent.xml in C:\Windows\System32\Recovery - diese einfach löschen und erneut probieren.
HeavyTones
HeavyTones 06.02.2018 um 12:55:15 Uhr
Goto Top
Zitat von @DerWoWusste:

Wann sagt Bitlocker das? Hattest Du zuvor entschlüsselt und wolltest nun wieder verschlüsseln? Dann bezieht sich die Meldung auf die Datei
REAgent.xml in C:\Windows\System32\Recovery - diese einfach löschen und erneut probieren.

Ich kann Dir garnicht sagen, wie dankbar ich Dir bin face-smile Es funktioniert nun prima. face-smile