tc0719
Goto Top

Bitlocker ohne TPM über USB-Stick + Passwort sichern unter W10 möglich?

Hallo,

ich habe ein Notebook mit W10 ohne TPM und möchte hier Bitlocker aktivieren.
In den Gruppenrichtlinien hab ich den entsprechenden Eintrag gesetzt.
Nun wird mir bei der Aktivierung ja angeboten, entweder ein USB-Stick oder ein Passwort zu benutzen.
Ich möchte aber beides, allerdings nicht entweder oder, sondern in Abhängigkeit.
Soll heissen, der USB-Stick muss drin sein UND das Passwort muss auch eingegeben werden.
Geht das?

Vielen Dank vorab.

Alex

Content-Key: 479707

Url: https://administrator.de/contentid/479707

Ausgedruckt am: 29.03.2024 um 15:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 31.07.2019 um 09:49:24 Uhr
Goto Top
Moin.

Nein, das geht nicht. Diese Kombi geht nur mit zusätzlichem TPM.
Mitglied: tc0719
tc0719 31.07.2019 um 10:18:28 Uhr
Goto Top
Echt jetzt?

Ich hatte gestern schon mal recherchiert dazu und bin auf das hier gestossen:
https://security.stackexchange.com/questions/88886/bitlocker-usb-key-vs- ...

Why not both? If you enable BitLocker to without a TPM (group policy editor), then tell it to use "TPMAndPINAndStartupKey", it should require both the file-based startup key and the PIN (which, if you enable "Enhanced PINs" in group policy editor, can be actual passphrases).  

Ich hab dann ein paar Dinge probiert über die Konsole, habs aber nicht hinbekommen und dachte ich mach was falsch.
Mitglied: DerWoWusste
DerWoWusste 31.07.2019 aktualisiert um 11:31:55 Uhr
Goto Top
Ja, echt jetzt face-smile

Der Gedanke ist der: Kennwörter bei Bitlocker sind nicht so sicher wie TPM-PINs, da die PINs eben das TPM "aufschließen" und den echten, starken Schlüssel abrufen, welcher im TPM gespeichert ist. Zudem kannst Du PINs nur 32 mal versuchen zu erraten, dann folgt der TPM-Lockout. Deswegen sind PINs sicherer.

Kennwörter kannst Du beliebig häufig probieren, somit wäre jemand, der im Besitz des Sticks gelangt ist, in der Lage, beliebig lange zu bruteforcen.

Verständlich, warum Microsoft das nicht erlaubt? Es ergibt einfach keinen Sinn.
Mitglied: tc0719
tc0719 31.07.2019 um 10:34:19 Uhr
Goto Top
Naja, wenn aber nun kein TPM vorhanden ist, dann kann ich ja entweder die USB-Stick Methode ODER das Kennwort wählen beim einrichten. Dann wäre doch das ganze in Abhängigkeit ja allemal besser als nur eins davon.
Mitglied: DerWoWusste
DerWoWusste 31.07.2019 um 11:14:51 Uhr
Goto Top
Ein bißchen besser schon, ohne Zweifel. Dennoch hat sich Microsoft dagegen entscheiden und da gibt es nichts dran zu rütteln. Was Du in Foren findest, stammt von leuten, die leider fehlinformiert sind: es gibt ohne TPM keinen Weg, Kennwort+USB zu fordern.
Mitglied: tc0719
tc0719 31.07.2019 um 15:54:32 Uhr
Goto Top
Ok, dankeschön.