7
BitLocker Laufwerkverschlüsselung ohne TPM-Chip
Diese Anleitung zeigt, wie man die Windows 10 BitLocker Laufwerkverschlüsselung ohne TPM-Chip Schritt für Schritt aktiviert.
Zwar haben viele Laptops wie auch die gesamte Microsoft Surface Reihe längst einen TPM-Chip eingebaut, doch auf dem Desktop Markt sieht es noch anders aus. Wenn man z.B. selbst Motherboards verbaut, haben diese in der Regel keine TPM-Chip. Da Verschlüsselung und die Sicherheit der eigenen Daten immer wichtiger wird, sollte jeder mal darüber nachdenken diese auch zu aktivieren. In der Apple und Linux Welt ist die Systemverschlüsselung längst Standard innerhalb der Installationsroutine.
Unter Microsoft Windows 10 funktioniert BitLocker auch mit dem Systemlaufwerk (C). Um BitLocker auf einem Rechner ohne TPM-Chip zu starten muss man vorher die lokale Sicherheitsrichtlinie des Computers ändern.
1) Dazu startet man den Editor für lokale Gruppenrichtlinien "gpedit.msc" z.B: über die Powershell:
2) Dann sucht man in der Navigation den Ordner:
Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker Laufwerkverschlüsselung/Betriebssystemlaufwerke
und die Einstellung:
Zusätzliche Authentifizierung beim Start anfordern
3) Innerhalb dieser Richtlinie auf "Aktiviert" und dann auf "Ok" klicken ("BitLocker ohne kompatibles TPM zulassen" muss aktiviert sein)
4) Nun sucht man unter Einstellungen nach "Bitlocker" oder "Bitlocker verwalten":
5) Bitlocker kann nun aktiviert werden:
6) Jetzt muss man wählen, ob man den Rechner zukünftig per USB-Stick (worauf dann der Bitlocker Schlüssel liegt) oder per Kennwort-Eingabe starten möchte. Ich entscheide mich für das klassische "Kennwort".
7) Nun erscheint eine Frage nach dem Speicherort für den Wiederherstellungsschlüssel. Das kann jeder machen wie er möchte, ich entscheide mich ihn, ganz Old School, auszudrucken.
8) Bei der kommenden Frage sollte man zwischen einem Neuen und einem schon genutzten PC unterscheiden. Hat man bereits viele Daten auf dem Rechner ist es ratsam die zweite Option "Gesamtes Laufwerk verschlüsseln ..." zu wählen. Das ist später im Betrieb deutlich schneller, dauert aber einmalig länger.
9) Der Verschlüsselungsmodus hängt ein wenig von Euer Windows Version ab. Habt ihr ein neues Windows 10 (>= Version 1511) solltet ihr den ersten Punkt wählen. Bei Wechselfestplatten, die auf unterschiedlichen Windows Versionen laufen, lieber den zweiten Punkt.
10) Nun erscheint die finale Frage und Zusammenfassung. Vorher kann man noch eine Systemprüfung durchlaufen lassen, damit währen der Verschlüsselung nichts schief geht. Hier wird vorab geprüft, ob das System keine Fehler oder Inkompatibilitäten besitzt. Klick man nun aus "Weiter" muss man für diese Systemüberprüfung das Windows neu startet.
Während das Laufwerk verschlüsselt wird, kann der Rechner (fast) normal benutzt werden. Man sollte nur darauf achten, das man ihn nicht neu startet. Die Verschlüsselung kann, je nach Datenmenge, sehr, sehr lange dauern (bei mir ca. 12 Stunden, Intel i7-3770).
Viel Spaß beim Verschlüsseln
P.S. Auch die Zweit- oder Backup-Festplatte sollte verschlüsselt werden. Das kann man unter "Bitlocker verwalten" erledigen.
Gruß
Frank
Zwar haben viele Laptops wie auch die gesamte Microsoft Surface Reihe längst einen TPM-Chip eingebaut, doch auf dem Desktop Markt sieht es noch anders aus. Wenn man z.B. selbst Motherboards verbaut, haben diese in der Regel keine TPM-Chip. Da Verschlüsselung und die Sicherheit der eigenen Daten immer wichtiger wird, sollte jeder mal darüber nachdenken diese auch zu aktivieren. In der Apple und Linux Welt ist die Systemverschlüsselung längst Standard innerhalb der Installationsroutine.
Unter Microsoft Windows 10 funktioniert BitLocker auch mit dem Systemlaufwerk (C). Um BitLocker auf einem Rechner ohne TPM-Chip zu starten muss man vorher die lokale Sicherheitsrichtlinie des Computers ändern.
1) Dazu startet man den Editor für lokale Gruppenrichtlinien "gpedit.msc" z.B: über die Powershell:
2) Dann sucht man in der Navigation den Ordner:
Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker Laufwerkverschlüsselung/Betriebssystemlaufwerke
und die Einstellung:
Zusätzliche Authentifizierung beim Start anfordern
3) Innerhalb dieser Richtlinie auf "Aktiviert" und dann auf "Ok" klicken ("BitLocker ohne kompatibles TPM zulassen" muss aktiviert sein)
4) Nun sucht man unter Einstellungen nach "Bitlocker" oder "Bitlocker verwalten":
5) Bitlocker kann nun aktiviert werden:
6) Jetzt muss man wählen, ob man den Rechner zukünftig per USB-Stick (worauf dann der Bitlocker Schlüssel liegt) oder per Kennwort-Eingabe starten möchte. Ich entscheide mich für das klassische "Kennwort".
7) Nun erscheint eine Frage nach dem Speicherort für den Wiederherstellungsschlüssel. Das kann jeder machen wie er möchte, ich entscheide mich ihn, ganz Old School, auszudrucken.
8) Bei der kommenden Frage sollte man zwischen einem Neuen und einem schon genutzten PC unterscheiden. Hat man bereits viele Daten auf dem Rechner ist es ratsam die zweite Option "Gesamtes Laufwerk verschlüsseln ..." zu wählen. Das ist später im Betrieb deutlich schneller, dauert aber einmalig länger.
9) Der Verschlüsselungsmodus hängt ein wenig von Euer Windows Version ab. Habt ihr ein neues Windows 10 (>= Version 1511) solltet ihr den ersten Punkt wählen. Bei Wechselfestplatten, die auf unterschiedlichen Windows Versionen laufen, lieber den zweiten Punkt.
10) Nun erscheint die finale Frage und Zusammenfassung. Vorher kann man noch eine Systemprüfung durchlaufen lassen, damit währen der Verschlüsselung nichts schief geht. Hier wird vorab geprüft, ob das System keine Fehler oder Inkompatibilitäten besitzt. Klick man nun aus "Weiter" muss man für diese Systemüberprüfung das Windows neu startet.
Während das Laufwerk verschlüsselt wird, kann der Rechner (fast) normal benutzt werden. Man sollte nur darauf achten, das man ihn nicht neu startet. Die Verschlüsselung kann, je nach Datenmenge, sehr, sehr lange dauern (bei mir ca. 12 Stunden, Intel i7-3770).
Viel Spaß beim Verschlüsseln
P.S. Auch die Zweit- oder Backup-Festplatte sollte verschlüsselt werden. Das kann man unter "Bitlocker verwalten" erledigen.
Gruß
Frank
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 387066
Url: https://administrator.de/contentid/387066
Ausgedruckt am: 23.11.2024 um 10:11 Uhr
7 Kommentare
Neuester Kommentar
Das mag Windows 10 doch nicht.
https://www.borncity.com/blog/2018/09/20/windows-10-v1803-fix-fr-bitlock ...
https://www.borncity.com/blog/2018/09/20/windows-10-v1803-fix-fr-bitlock ...
Die Anleitung ist natürlich "generell" gemeint. Bugs von Windows 10 mal außen vor. Der aktuell Bitlocker Bug bedeutet lediglich, dass man nach einem Windows Update nachschauen sollte, ob Bitlocker noch aktiv ist. Er hat keine schädliche Auswirkung - ist nur unbequem. Ein Patch ist für Nov in Arbeit.
Gruß
Frank
Gruß
Frank
Hallo,
Oder halt einfach nach dem Update-Neustart noch einen Neustart.
Machen wir eh nach groesseren Updates, deshalb ist uns das mit Bitlocker garnicht aufgefallen.
BFF
Oder halt einfach nach dem Update-Neustart noch einen Neustart.
Machen wir eh nach groesseren Updates, deshalb ist uns das mit Bitlocker garnicht aufgefallen.
BFF
A Das BL gestoppt wurde, wird am Laufwerk im Explorer angezeigt. BL kann dort ohne Neustart wieder gestartet werden.
B Von einem TPM ist generell abzuraten. Es ist einfach zu unsicher, zu unkontrollierbar und es kann über Intels ME gesteuert werden. Uwe
B Von einem TPM ist generell abzuraten. Es ist einfach zu unsicher, zu unkontrollierbar und es kann über Intels ME gesteuert werden. Uwe
HI,
wir haben festgestellt, das Bitlocker für Windows 64 bit nicht funktioiert, da der Treiber nur für 32 Bit drauf war ( oder andersrum).
Gruß
Holli
wir haben festgestellt, das Bitlocker für Windows 64 bit nicht funktioiert, da der Treiber nur für 32 Bit drauf war ( oder andersrum).
Gruß
Holli
Moin,
es sollte noch erwähnt werden, dass das so nur mit der Pro und Enterprise Version von Win10 funktioniert, aber eben nicht mit Win10 Home.
Grüße!
Ralf
es sollte noch erwähnt werden, dass das so nur mit der Pro und Enterprise Version von Win10 funktioniert, aber eben nicht mit Win10 Home.
Grüße!
Ralf
Wenn man den Schlüssel nachträglich im AD speichern möchte, soll man sich mal das Tool manage-bde anschauen.
