Neue TPM Notebooks Windows 8.1 - Kein USB start mehr möglich?
Ich habe hier ein Asus T100 Tablet / Netbook mit Win 8.1 64 (Welche Version ist nicht ersichtlich, wohl nen Home mit Bitlocker aktiv von Asus)
MS und die Hersteller liefern sollte Systeme ja fast nur noch mit aktiviertem TPM aus.
Sehe ich das richtig dass ich keine Möglichkeit habe ein solches System per USB zu booten zur Fehlersuche mit MS Dart oder WINPE ?
Bei mir ist auf dem Tablet TPM aktiviert und nicht nur das auch Bitlocker ist schon aktiv !!
Sofern ich versuche per USB MS Dart oder Linux oder was auch immer zu starten passiert dann natürlich nichts.
Ich kann secure Boot ausschalten im BIOS dann fragt Bitlocker allerdings nach einem Wiederherstellungsschlüssel.
Diesen kann ich , wenn ich in WIndows eingeloggt bin , z.b. ausdrucken.
Falls nun aber ein user mal sein Passwort für das Windows Login vergisst, habe ich keine(!) Möglichkeit dieses zu reseten oder an die Daten zu kommen. In diesem Fall wären alle Daten und auch Windows für immer verloren..?? Gut die NSA kann da noch ran, aber kein Otto-Normal-Admin...
Sehe ich das richtig?
Ein weiteres Problem ist das ich das TPM nicht abschalten kann, in der Snap-In-Konsole kann ich es zwar versuchen aber ich habe natürlich nicht den Besitzerschlüssel, den hat Asus,MS und NSA..
Auch Bitlocker kann ich nicht abschalten da es nur die Funktion gibt den Wiederherstellungsschlüssel zu drucken...
Windows neuinstallieren müsste gehen wenn ich secure boot abschalte oder? Das original Windows müsste dann Futsch sein und ich kann nen neues kaufen..
Stimmt das alles so?
edit: ich kann mit manage-bde -off c: das teil zumindest entschlüsseln, mal sehen ob dann ein usb start möglich ist..in der cmd steht nur "entschlüsselung wird durchgeführt" nen gui oder timer kann ich mir nicht anzeigen lassen wenn er fertig ist?
Was ja mal heftig ist wenn ein User sich nen Notebook kauft auf dem TPM und Bitlocker per defalut aktiv ist (was ja in allen neuen Geräten so ist), und sein Login vergisst, kann ich noch nicht mal die Platte formatieren, der kann das Notebook dann wegschmeißen??
MS und die Hersteller liefern sollte Systeme ja fast nur noch mit aktiviertem TPM aus.
Sehe ich das richtig dass ich keine Möglichkeit habe ein solches System per USB zu booten zur Fehlersuche mit MS Dart oder WINPE ?
Bei mir ist auf dem Tablet TPM aktiviert und nicht nur das auch Bitlocker ist schon aktiv !!
Sofern ich versuche per USB MS Dart oder Linux oder was auch immer zu starten passiert dann natürlich nichts.
Ich kann secure Boot ausschalten im BIOS dann fragt Bitlocker allerdings nach einem Wiederherstellungsschlüssel.
Diesen kann ich , wenn ich in WIndows eingeloggt bin , z.b. ausdrucken.
Falls nun aber ein user mal sein Passwort für das Windows Login vergisst, habe ich keine(!) Möglichkeit dieses zu reseten oder an die Daten zu kommen. In diesem Fall wären alle Daten und auch Windows für immer verloren..?? Gut die NSA kann da noch ran, aber kein Otto-Normal-Admin...
Sehe ich das richtig?
Ein weiteres Problem ist das ich das TPM nicht abschalten kann, in der Snap-In-Konsole kann ich es zwar versuchen aber ich habe natürlich nicht den Besitzerschlüssel, den hat Asus,MS und NSA..
Auch Bitlocker kann ich nicht abschalten da es nur die Funktion gibt den Wiederherstellungsschlüssel zu drucken...
Windows neuinstallieren müsste gehen wenn ich secure boot abschalte oder? Das original Windows müsste dann Futsch sein und ich kann nen neues kaufen..
Stimmt das alles so?
edit: ich kann mit manage-bde -off c: das teil zumindest entschlüsseln, mal sehen ob dann ein usb start möglich ist..in der cmd steht nur "entschlüsselung wird durchgeführt" nen gui oder timer kann ich mir nicht anzeigen lassen wenn er fertig ist?
Was ja mal heftig ist wenn ein User sich nen Notebook kauft auf dem TPM und Bitlocker per defalut aktiv ist (was ja in allen neuen Geräten so ist), und sein Login vergisst, kann ich noch nicht mal die Platte formatieren, der kann das Notebook dann wegschmeißen??
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 245733
Url: https://administrator.de/forum/neue-tpm-notebooks-windows-8-1-kein-usb-start-mehr-moeglich-245733.html
Ausgedruckt am: 03.04.2025 um 21:04 Uhr
16 Kommentare
Neuester Kommentar
Du kannst bei win8 jederzeit auf einen anderen Protector umstellen, also entweder auf USB-Stick (ohne Anstecken kein Hochfahren), oder auf Kennwort - danach kannst Du den TPM-Protector abschalten. Dazu muss die folgende Policy zunächst aktiviert werden:
Allow Bitlocker without compatible TPM chip
Danach kannst Du weiterhin mit jedem der aktiven Protektoren und dem Wiederherstellungsschlüssel offline an die Platte.
Zu weiteren Fragen:
-Das Domain-Kennwort vergessen? Kein Problem, es kann sowieso nur am DC und nicht etwa lokal resettet werden.
-Ein lokales Kennwort vergessen und kein Domainaccount ist lokaler Admin? Kein Ding, win8togo booten, Platte aufschließen, utilman.exe gegen eine Kopie von cmd.exe tauschen usw. - ich denke der Trick ist jedem Admin bekannt
-Besitz des TPMs übernehmen sollte als lokaler Admin möglich sein über das TPM-MMC-Snapin oder Powershell
-Bitlocker loswerden: entschlüsseln über GUI, manage-bde oder Powershell für Admins möglich. Weiterhin kann man die Platten ganz simpel formatieren und ist es los.
Allow Bitlocker without compatible TPM chip
Danach kannst Du weiterhin mit jedem der aktiven Protektoren und dem Wiederherstellungsschlüssel offline an die Platte.
Zu weiteren Fragen:
-Das Domain-Kennwort vergessen? Kein Problem, es kann sowieso nur am DC und nicht etwa lokal resettet werden.
-Ein lokales Kennwort vergessen und kein Domainaccount ist lokaler Admin? Kein Ding, win8togo booten, Platte aufschließen, utilman.exe gegen eine Kopie von cmd.exe tauschen usw. - ich denke der Trick ist jedem Admin bekannt
-Besitz des TPMs übernehmen sollte als lokaler Admin möglich sein über das TPM-MMC-Snapin oder Powershell
-Bitlocker loswerden: entschlüsseln über GUI, manage-bde oder Powershell für Admins möglich. Weiterhin kann man die Platten ganz simpel formatieren und ist es los.
"Protektoren" sind Schutzmechanismen. Bei Bitlocker gibt es
-tpm
-tpm + PIN
-Kennwort
-Recovery Key
-usb startup key
Sobald Du einen anderen als den TPM-Protektor hinzugefügt hast, kannst Du den TPM-Protektor entfernen und danach natürlich auch das TPM löschen. http://technet.microsoft.com/de-de/library/cc753694.aspx
-tpm
-tpm + PIN
-Kennwort
-Recovery Key
-usb startup key
Sobald Du einen anderen als den TPM-Protektor hinzugefügt hast, kannst Du den TPM-Protektor entfernen und danach natürlich auch das TPM löschen. http://technet.microsoft.com/de-de/library/cc753694.aspx
Die defaults sagen: nur tpm. Und Davon hast Du keine Beseitzrechte derzeit, deswegen. Änderst Du die GPO https://www.google.com/search?q=Allow+Bitlocker+without+compatible+TPM+c ... dann kannst Du sofort auch verschlüsseln mit Kennwort/USB-Stick.

Hallo,
wieder aktiviert werden.
Es sei denn man hat eine andere Verschlüsselungssoftware die das TPM Modul
verwendet.
Gruß
Dobby
Bitlocker wurde wohl von asus aktiviert installiert,
Von ASUS ist wenn überhaupt das TPM Modul!aber einmal deaktiviert gibt es wohl keine Möglichkeit wieder zu aktivieren
Da die Home Version hat ja gar kein Bitlocker und somit kann es gar nichtwieder aktiviert werden.
Es sei denn man hat eine andere Verschlüsselungssoftware die das TPM Modul
verwendet.
Gruß
Dobby
Ok, ich hatte etwas darüber gelesen, es aber falsch erinnert. Es gibt diese auch bei "8.1", richtig, siehe http://windows.microsoft.com/de-de/windows-8/using-device-encryption
Frag den Hersteller.
Frag den Hersteller.