Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Surface Pro 3 4 Bitlocker mit TPM und PIN aktivieren

Mitglied: clonex

clonex (Level 1) - Jetzt verbinden

30.01.2019 um 13:35 Uhr, 201 Aufrufe, 10 Kommentare

Hallo,
ich möchte auf einem Surface Pro 3 oder auch Pro 4 Bitlocker + PIN aktivieren. Installiert habe ich Windows 10 Pro 1809. TPM Modul ist vorhanden. Soll baer zusätzlich noch per PIN gesichert werden!

Damit der Bitlocker PIN aktiviert werden kann, habe ich die GPO "Computerkonfiguration / Administrative Vorlagen / Windows Komponenten / Bitlocker-Laufwerksverschlüsselung / Betriebssystemlaufwerke Zusätzliche Authentifizierung beim Start anfordern" aktiviert und TPM-Start zulassen sowie bei TPM-Systemstart-PIN Konfigurieren den Punkt "Start-PIN bei TPM erforderlich" aktiviert.

Dann noch die Minimale PIN Länge aktiviert (default 4) und auf 6 eingestellt. GPO Update bzw. Neustart gemacht. Möchte ich nun Bitlocker für das LaufwerkC: aktivieren erhalte ich folgende Meldnung:
Die Gruppenrichtlinieneinstellungen erfordern die Einstellung einer Start-PIN, doch auf dem Gerät ist keine Pre-Boot-Tastatur verfügbar. Der Benutzer kann möglicherweise nicht die erforderlichen Angaben zum Entsperren des Volumes machen.

Somit dann noch die GPO "Verwendung der BitLocker-Authentifizierung mit erforderlicher Tastatureingabe vor dem Starten auf Slates" aktiviert.

Wenn ich dies aktiviere, dann erhalte ich folgeden Meldung beim Bitlocker aktivieren:
Die Gruppenrichtlinieneinstellungen für Bitlocker Startoptionen stehen in Konflikt und können nicht angewendet werden. Weitere Informationen erhalten Sie vom Systemadministrator.


Kennt dieses Problem jemand? Wie kann ich es lösen oder ist das ein defekt von WIndows 10?

Ich habe auch ein Type Cover am Surface Pro 3 angeschlossen. Aber ob dies dran ist oder nicht ist völlig egal, die Fehlermeldungen bleiben die gleichen. Zudem auch mit einer USB Tastatur...
Mitglied: DerWoWusste
30.01.2019 um 13:44 Uhr
Hi.

Lösche noch einmal HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE und mach danach ein
gpupdate /target:computer /force
und versuche es dann erneut.
Oft kommt die Meldung "Bitlocker Startoptionen stehen in Konflikt", wenn man von Hand in der Registry Dinge gesetzt hat, die Bitlocker betreffen.
Bitte warten ..
Mitglied: clonex
30.01.2019 um 13:49 Uhr
Gute Idee @DerWoWusste
...bringt leider nichts. Die Gruppenrichtlinieneinstellungen stehen weiterhin in einem Konflikt. Habe nun auch schon ein Test-Gerät mit komplett blankem WIndows 10 und auch da kommen die beiden Meldnungen :/
Bitte warten ..
Mitglied: DerWoWusste
30.01.2019 um 13:56 Uhr
Mach mal ohne PIN, die fügen wir nachträglich hinzu. Kriegen wir schon hin.
Bitte warten ..
Mitglied: clonex
30.01.2019 um 14:01 Uhr
Ja ohne ist kein Problem. Also nur TPM.
Und dann die GPOs packe ich nicht an. Dann via CMD Befehle die PIN aktivieren oder wie meinst du das?
Bitte warten ..
Mitglied: DerWoWusste
30.01.2019 um 15:09 Uhr
Man muss die GPO setzen, um überhaupt eine PIN zu erlauben.
Ich denke, dass Du auf einen Bug gestoßen bist und hoffe, dass die andere Reihenfolge, nämlich
verschlüsseln - GPOs setzen - PIN setzen
einen Unterschied machen wird.

Auch würde ich auf "PIN erlauben" und nicht "PIN erfordern" stellen, zum Test.
Bitte warten ..
Mitglied: DerWoWusste
30.01.2019 um 15:14 Uhr
Schau bitte auch nach, ob Du die richtige Policy erwischt hast:
capture - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: clonex
30.01.2019, aktualisiert um 15:31 Uhr
Das ist echt verhext. Auch das mit dem Verschlüsseln und dann anpassen bringt nichts.
Bekomme dann zwar nicht mehr die Fehlermeldungen, kann aber dnan auch nicht PIN auswählen. Es steht nur USB Speicherstick anschließen zu Verfügung.

Edit: Ja ich habe die richtige GPO!
Bitte warten ..
Mitglied: DerWoWusste
30.01.2019 um 15:50 Uhr
Zunächst nochmal deutlich: ist die GPO wie bei mir eingestellt mit "allow" und nicht mit "require"?
Wenn ja, dann nimm mal die Kommandozeile (elevated):
01.
manage-bde -protectors -add c: -tp
Bitte warten ..
Mitglied: clonex
30.01.2019 um 16:17 Uhr
Genau. Auf deutsch dann erste der vier möglichkeiten: "TPM Start konfigurieren" TPM zulassen.
Dadrunter der Punkt Configure TPM startup PIN -> auf deutsch TPM-Systemstart-PIN konfigurieren: steht bei mir auf "Systemstart-PIN bei TPM zulassen"

cmd als admin..: Geben Sie dei PIN ein... zwei mal eine PIN eingegeben.. Fehlermeldung:
Es wurde keine Pre-Boot-Tastatur gefunden. Der Benutzer kann möglicherweise nicht die erforderlicehn Angaben zum Entsperren des Volumes machen.
Bitte warten ..
Mitglied: DerWoWusste
30.01.2019 um 17:22 Uhr
Ja, die Policy mit den Slates musst Du natürlich zusätzlich setzen. Mal sehen, was dann kommt.
Bitte warten ..
Ähnliche Inhalte
Sicherheitsgrundlagen

Bitlocker - Nutzung mit TPM - Sicherheit ohne PIN

Frage von jnnklsSicherheitsgrundlagen13 Kommentare

Hallo allerseits, gerade registriert, schon eine Frage. Es geht um (wie man der Überschrift entnehmen kann) um Bitlocker. Es ...

Server-Hardware

Proliant DL160 G5 mit normalen 3 oder 4-pin Lüftern?

Frage von Windows10GegnerServer-Hardware36 Kommentare

Hallo, ein Kollege von mir hat 4 Mainbaords eine ProLiant DL160 G5 gekauft. Der hat 5-pin Lüfteranschlüsse. Wie ist ...

Verschlüsselung & Zertifikate

Anleitung Bitlocker OHNE TPM mit USB-Stick und Pin sichern

gelöst Frage von Sponge-BobVerschlüsselung & Zertifikate2 Kommentare

Hallo, Bitlocker OHNE TPM mit USB-Stick und Pin (Pre-boot) möglich wenn ja WIE?

Hyper-V

TPM-Lockout bei virtuellem TPM buggy?

Frage von DerWoWussteHyper-V5 Kommentare

Moin Kollegen. Für einen Test sollte ein Bitlocker TPM-Lockout einer Hyper-V virtualisierten Win10 Maschine (1607) als Gast auf einem ...

Neue Wissensbeiträge
Windows 7

Windows 7 u. Server 2008 (R2) SHA-2-Update kommt am 12. März 2019

Information von kgborn vor 1 TagWindows 75 Kommentare

Kleine Info für die Admins der oben genannten Maschinen. Ab Juli 2019 werden Updates von Microsoft nur noch mit ...

Firewall
PfSense 2.5.0 benötigt doch kein AES-NI
Information von ChriBo vor 2 TagenFirewall2 Kommentare

Hallo, Wie sich einige hier erinnern werden hat Jim Thompson in diesem Aritkel beschrieben, daß ab Version 2.5.0 ein ...

Internet
Copyright-Reform: Upload-Filter
Information von Frank vor 4 TagenInternet1 Kommentar

Hallo, viele Menschen reden aktuell von Upload-Filtern. Sie reden darüber, als wären es eine Selbstverständlichkeit, das Upload-Filter den Seitenbetreibern ...

Google Android

Blokada: Tracking und Werbung unter Android unterbinden

Information von AnkhMorpork vor 4 TagenGoogle Android1 Kommentar

In Ergänzung zu meinem vorherigen Beitrag: Blokada efficiently blocks ads, tracking and malware. It saves your data plan, makes ...

Heiß diskutierte Inhalte
Hardware
IT-Werkzeugkoffer bis 50,- EUR
gelöst Frage von departure69Hardware43 Kommentare

Hallo. Ich bin als IT-Systembetreuer einer Gemeinde zusätzlich auch der IT-Systembetreuer einer Grund- und Hauptschule. Dort muß ich jedoch ...

Netzwerke
Verteilung von Programmdaten außerhalb des internen Netzwerkes
Frage von mertaufmbergNetzwerke27 Kommentare

Guten Morgen liebe Administratoren, ich versuche zurzeit eine möglichst sichere und einfache Lösung zu suchen, um ein Programmverzeichnis über ...

Netzwerkmanagement
Richtfunknetzwerk mit vielen Hops stabiler gestalten
Frage von turti83Netzwerkmanagement22 Kommentare

Hallo, in meinem Dorf habe ich vor ca. einem Jahr ein Backbone aufgebaut um die Nachbarschaft mit Internet zu ...

Hyper-V
Intel MSC Raid 5 Rebuild
Frage von DannysHyper-V19 Kommentare

Hallo Community, Ich habe einen Modul Server von Intel in Betrieb. Dort ist eine Festplatte aus dem Raid 5 ...