5
HP Probook 430, TPM-2.0, Bitlocker
Guten Abend,
auf einem HP Probook 430 sind TPM-2.0 (Hardware) und Bitlocker in Win10prof aktiviert, die Windows-Partition C:\ ist damit verschlüsselt.
Zugriff z.B. via Win10Boot-CD (WinXPE) funktioniert nur, falls man den Bitlocker-Wiederherstellungsschlüssel für C:\ eingibt mit manage-bde -unlock C: -recoverypassword vv-bb-nn-mm-kk. Die Festplatte ist also außerhalb des HP Probooks verschlüsselt und unbrauchbar, gut so.
Zum Booten des Probook-Systems allerdings wird nur und ausschließlich das Windows-Passwort des jeweiligen Benutzers abgefragt.
Hier habe ich offen gestanden Verständnisfragen:
Sollte nicht vor der Windows-Anmeldung noch eine Passwortabfrage zum Entsperren von TPM/ Bitlocker erfolgen (analog z.B. Veracrypt)?
Und ersetzt der integrierte Fingerabdruckscanner nur das Windows-Passwort oder kann man hierüber die TPM/ Bitlocker-Entschlüsselung steuern?
Und kann man mit einem Passwort-Reset den Zugriff auf C:\ doch ermöglichen?
Ähnliches Thema unter:
TPM-Modul mit Bitlocker
Danke und schönen Abend, UC
auf einem HP Probook 430 sind TPM-2.0 (Hardware) und Bitlocker in Win10prof aktiviert, die Windows-Partition C:\ ist damit verschlüsselt.
Zugriff z.B. via Win10Boot-CD (WinXPE) funktioniert nur, falls man den Bitlocker-Wiederherstellungsschlüssel für C:\ eingibt mit manage-bde -unlock C: -recoverypassword vv-bb-nn-mm-kk. Die Festplatte ist also außerhalb des HP Probooks verschlüsselt und unbrauchbar, gut so.
Zum Booten des Probook-Systems allerdings wird nur und ausschließlich das Windows-Passwort des jeweiligen Benutzers abgefragt.
Hier habe ich offen gestanden Verständnisfragen:
Sollte nicht vor der Windows-Anmeldung noch eine Passwortabfrage zum Entsperren von TPM/ Bitlocker erfolgen (analog z.B. Veracrypt)?
Und ersetzt der integrierte Fingerabdruckscanner nur das Windows-Passwort oder kann man hierüber die TPM/ Bitlocker-Entschlüsselung steuern?
Und kann man mit einem Passwort-Reset den Zugriff auf C:\ doch ermöglichen?
Ähnliches Thema unter:
TPM-Modul mit Bitlocker
Danke und schönen Abend, UC
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 379184
Url: https://administrator.de/contentid/379184
Printed on: April 18, 2024 at 04:04 o'clock
5 Comments
Latest comment
Moin,
Schönen Abend!
Sollte nicht vor der Windows-Anmeldung noch eine Passwortabfrage zum Entsperren von TPM/ Bitlocker erfolgen (analog z.B. Veracrypt)?
Wenn du das so konfigurierst ja. Das kann eingestellt werden, dass er z.B. nach einem Passwort fragt bevor Windows geladen wird. Da gibts GPOs für oder schau mal hier.Und ersetzt der integrierte Fingerabdruckscanner nur das Windows-Passwort oder kann man hierüber die TPM/ Bitlocker-Entschlüsselung steuern?
Ich meine das geht nicht. Aber hier lasse ich mich gerne eines besseren belehren Schönen Abend!
Hi.
Default ist: TPM-only, keine zusätzliche PIN. Du kannst eine setzen, wenn Du meinst, die Special Agents sind hinter dir her.
Der Fingra kann nicht benutzt werden, um BL zu entsperren.
Default ist: TPM-only, keine zusätzliche PIN. Du kannst eine setzen, wenn Du meinst, die Special Agents sind hinter dir her.
Der Fingra kann nicht benutzt werden, um BL zu entsperren.
Und kann man mit einem Passwort-Reset den Zugriff auf C:\ doch ermöglichen?
Äh... dagegen schützt die Verschlüsselung doch gerade.
Hallo,
und danke allerseits.
Im Klartext: Bei TPM-only, keine zusätzliche PIN hängt die Zugriffssicherheit des Computers dann ausschließlich von der Stärke des vergebenen Windows-Passwortes ab?
Gruß, UC
und danke allerseits.
Im Klartext: Bei TPM-only, keine zusätzliche PIN hängt die Zugriffssicherheit des Computers dann ausschließlich von der Stärke des vergebenen Windows-Passwortes ab?
Gruß, UC
Ja.
Allerdings muss klar sein, dass niemand fürchten muss, dass sein Windowskennwort, sofern nicht erratbar, an dieser Stelle "geknackt" wird, da manuelles Knacken durch Ausprobieren selbst bei 3-stelligen Kennwörtern schon unmöglich wird.
Ohne PIN hat man jedoch noch Cold-Boot-Attacken zu fürchten. Siehe https://www.youtube.com/watch?v=JDaicPIgn9U
Wer das jedoch fürchtet, der fürchtet wie gesagt schon gezielte Attacken ("Agenten").
Allerdings muss klar sein, dass niemand fürchten muss, dass sein Windowskennwort, sofern nicht erratbar, an dieser Stelle "geknackt" wird, da manuelles Knacken durch Ausprobieren selbst bei 3-stelligen Kennwörtern schon unmöglich wird.
Ohne PIN hat man jedoch noch Cold-Boot-Attacken zu fürchten. Siehe https://www.youtube.com/watch?v=JDaicPIgn9U
Wer das jedoch fürchtet, der fürchtet wie gesagt schon gezielte Attacken ("Agenten").
Danke, uc
