clonex
Goto Top

Surface Pro 3 4 Bitlocker mit TPM und PIN aktivieren

Hallo,
ich möchte auf einem Surface Pro 3 oder auch Pro 4 Bitlocker + PIN aktivieren. Installiert habe ich Windows 10 Pro 1809. TPM Modul ist vorhanden. Soll baer zusätzlich noch per PIN gesichert werden!

Damit der Bitlocker PIN aktiviert werden kann, habe ich die GPO "Computerkonfiguration / Administrative Vorlagen / Windows Komponenten / Bitlocker-Laufwerksverschlüsselung / Betriebssystemlaufwerke Zusätzliche Authentifizierung beim Start anfordern" aktiviert und TPM-Start zulassen sowie bei TPM-Systemstart-PIN Konfigurieren den Punkt "Start-PIN bei TPM erforderlich" aktiviert.

Dann noch die Minimale PIN Länge aktiviert (default 4) und auf 6 eingestellt. GPO Update bzw. Neustart gemacht. Möchte ich nun Bitlocker für das LaufwerkC: aktivieren erhalte ich folgende Meldnung:
Die Gruppenrichtlinieneinstellungen erfordern die Einstellung einer Start-PIN, doch auf dem Gerät ist keine Pre-Boot-Tastatur verfügbar. Der Benutzer kann möglicherweise nicht die erforderlichen Angaben zum Entsperren des Volumes machen.

Somit dann noch die GPO "Verwendung der BitLocker-Authentifizierung mit erforderlicher Tastatureingabe vor dem Starten auf Slates" aktiviert.

Wenn ich dies aktiviere, dann erhalte ich folgeden Meldung beim Bitlocker aktivieren:
Die Gruppenrichtlinieneinstellungen für Bitlocker Startoptionen stehen in Konflikt und können nicht angewendet werden. Weitere Informationen erhalten Sie vom Systemadministrator.


Kennt dieses Problem jemand? Wie kann ich es lösen oder ist das ein defekt von WIndows 10?

Ich habe auch ein Type Cover am Surface Pro 3 angeschlossen. Aber ob dies dran ist oder nicht ist völlig egal, die Fehlermeldungen bleiben die gleichen. Zudem auch mit einer USB Tastatur...

Content-ID: 399875

Url: https://administrator.de/forum/surface-pro-3-4-bitlocker-mit-tpm-und-pin-aktivieren-399875.html

Ausgedruckt am: 23.12.2024 um 01:12 Uhr

DerWoWusste
DerWoWusste 30.01.2019 um 13:44:26 Uhr
Goto Top
Hi.

Lösche noch einmal HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE und mach danach ein
gpupdate /target:computer /force
und versuche es dann erneut.
Oft kommt die Meldung "Bitlocker Startoptionen stehen in Konflikt", wenn man von Hand in der Registry Dinge gesetzt hat, die Bitlocker betreffen.
clonex
clonex 30.01.2019 um 13:49:23 Uhr
Goto Top
Gute Idee @DerWoWusste
...bringt leider nichts. Die Gruppenrichtlinieneinstellungen stehen weiterhin in einem Konflikt. Habe nun auch schon ein Test-Gerät mit komplett blankem WIndows 10 und auch da kommen die beiden Meldnungen :/
DerWoWusste
DerWoWusste 30.01.2019 um 13:56:36 Uhr
Goto Top
Mach mal ohne PIN, die fügen wir nachträglich hinzu. Kriegen wir schon hin.
clonex
clonex 30.01.2019 um 14:01:30 Uhr
Goto Top
Ja ohne ist kein Problem. Also nur TPM.
Und dann die GPOs packe ich nicht an. Dann via CMD Befehle die PIN aktivieren oder wie meinst du das?
DerWoWusste
DerWoWusste 30.01.2019 um 15:09:34 Uhr
Goto Top
Man muss die GPO setzen, um überhaupt eine PIN zu erlauben.
Ich denke, dass Du auf einen Bug gestoßen bist und hoffe, dass die andere Reihenfolge, nämlich
verschlüsseln - GPOs setzen - PIN setzen
einen Unterschied machen wird.

Auch würde ich auf "PIN erlauben" und nicht "PIN erfordern" stellen, zum Test.
DerWoWusste
DerWoWusste 30.01.2019 um 15:14:34 Uhr
Goto Top
Schau bitte auch nach, ob Du die richtige Policy erwischt hast:
capture
clonex
clonex 30.01.2019 aktualisiert um 15:31:17 Uhr
Goto Top
Das ist echt verhext. Auch das mit dem Verschlüsseln und dann anpassen bringt nichts.
Bekomme dann zwar nicht mehr die Fehlermeldungen, kann aber dnan auch nicht PIN auswählen. Es steht nur USB Speicherstick anschließen zu Verfügung.

Edit: Ja ich habe die richtige GPO!
DerWoWusste
DerWoWusste 30.01.2019 um 15:50:55 Uhr
Goto Top
Zunächst nochmal deutlich: ist die GPO wie bei mir eingestellt mit "allow" und nicht mit "require"?
Wenn ja, dann nimm mal die Kommandozeile (elevated):
manage-bde -protectors -add c: -tp
clonex
clonex 30.01.2019 um 16:17:38 Uhr
Goto Top
Genau. Auf deutsch dann erste der vier möglichkeiten: "TPM Start konfigurieren" TPM zulassen.
Dadrunter der Punkt Configure TPM startup PIN -> auf deutsch TPM-Systemstart-PIN konfigurieren: steht bei mir auf "Systemstart-PIN bei TPM zulassen"

cmd als admin..: Geben Sie dei PIN ein... zwei mal eine PIN eingegeben.. Fehlermeldung:
Es wurde keine Pre-Boot-Tastatur gefunden. Der Benutzer kann möglicherweise nicht die erforderlicehn Angaben zum Entsperren des Volumes machen.
DerWoWusste
DerWoWusste 30.01.2019 um 17:22:40 Uhr
Goto Top
Ja, die Policy mit den Slates musst Du natürlich zusätzlich setzen. Mal sehen, was dann kommt.