usercrash
Goto Top

HP Probook 430, TPM-2.0, Bitlocker

Guten Abend,
auf einem HP Probook 430 sind TPM-2.0 (Hardware) und Bitlocker in Win10prof aktiviert, die Windows-Partition C:\ ist damit verschlüsselt.

Zugriff z.B. via Win10Boot-CD (WinXPE) funktioniert nur, falls man den Bitlocker-Wiederherstellungsschlüssel für C:\ eingibt mit manage-bde -unlock C: -recoverypassword vv-bb-nn-mm-kk. Die Festplatte ist also außerhalb des HP Probooks verschlüsselt und unbrauchbar, gut so.

Zum Booten des Probook-Systems allerdings wird nur und ausschließlich das Windows-Passwort des jeweiligen Benutzers abgefragt.
Hier habe ich offen gestanden Verständnisfragen:

Sollte nicht vor der Windows-Anmeldung noch eine Passwortabfrage zum Entsperren von TPM/ Bitlocker erfolgen (analog z.B. Veracrypt)?

Und ersetzt der integrierte Fingerabdruckscanner nur das Windows-Passwort oder kann man hierüber die TPM/ Bitlocker-Entschlüsselung steuern?

Und kann man mit einem Passwort-Reset den Zugriff auf C:\ doch ermöglichen?

Ähnliches Thema unter:
TPM-Modul mit Bitlocker

Danke und schönen Abend, UC

Content-ID: 379184

Url: https://administrator.de/forum/hp-probook-430-tpm-2-0-bitlocker-379184.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

tomolpi
tomolpi 04.07.2018 aktualisiert um 21:21:47 Uhr
Goto Top
Zitat von @usercrash:

Guten Abend,
Moin,
Sollte nicht vor der Windows-Anmeldung noch eine Passwortabfrage zum Entsperren von TPM/ Bitlocker erfolgen (analog z.B. Veracrypt)?
Wenn du das so konfigurierst ja. Das kann eingestellt werden, dass er z.B. nach einem Passwort fragt bevor Windows geladen wird. Da gibts GPOs für oder schau mal hier.
Und ersetzt der integrierte Fingerabdruckscanner nur das Windows-Passwort oder kann man hierüber die TPM/ Bitlocker-Entschlüsselung steuern?
Ich meine das geht nicht. Aber hier lasse ich mich gerne eines besseren belehren face-wink
Schönen Abend!
DerWoWusste
DerWoWusste 05.07.2018 um 10:33:29 Uhr
Goto Top
Hi.

Default ist: TPM-only, keine zusätzliche PIN. Du kannst eine setzen, wenn Du meinst, die Special Agents sind hinter dir her.
Der Fingra kann nicht benutzt werden, um BL zu entsperren.
Und kann man mit einem Passwort-Reset den Zugriff auf C:\ doch ermöglichen?
Äh... dagegen schützt die Verschlüsselung doch gerade.
usercrash
usercrash 08.07.2018 um 10:43:55 Uhr
Goto Top
Hallo,
und danke allerseits.

Im Klartext: Bei TPM-only, keine zusätzliche PIN hängt die Zugriffssicherheit des Computers dann ausschließlich von der Stärke des vergebenen Windows-Passwortes ab?

Gruß, UC
DerWoWusste
Lösung DerWoWusste 09.07.2018, aktualisiert am 10.07.2018 um 17:30:30 Uhr
Goto Top
Ja.

Allerdings muss klar sein, dass niemand fürchten muss, dass sein Windowskennwort, sofern nicht erratbar, an dieser Stelle "geknackt" wird, da manuelles Knacken durch Ausprobieren selbst bei 3-stelligen Kennwörtern schon unmöglich wird.
Ohne PIN hat man jedoch noch Cold-Boot-Attacken zu fürchten. Siehe https://www.youtube.com/watch?v=JDaicPIgn9U
Wer das jedoch fürchtet, der fürchtet wie gesagt schon gezielte Attacken ("Agenten").
usercrash
usercrash 10.07.2018 um 17:20:12 Uhr
Goto Top
Danke, uc