SID-500

Home » Windows 10 » Windows 10: BitLocker aktivieren (TPM + PIN)

Windows 10: BitLocker aktivieren (TPM + PIN)

Das Windows Feature BitLocker (verfügbar auf Windows 10 Pro, Windows 10 Enterprise und Windows 10 Education) verschlüsselt Festplatten. Auf eine verschlüsselte Festplatte kann nur dann zugegriffen werden, wenn diese mithilfe eines Hardware-Moduls  (TPM = Trusted Platform Module) oder mit einem PIN entschlüsselt wird, oder beides. In diesem Artikel wird BitLocker mit TPM (Hardware muss kompatibel sein) auf einem Betriebssystemlaufwerk aktiviert und es wird ein PIN für den Start vergeben.

Voraussetzugen

Die Voraussetzungen um die Konfiguration in diesem Artikel durchzuführen ist ein Betriebssystem Windows 7 und höher (keine Home-Edition!) und ein kompatibles TPM Modul.

Die Betriebssystem Version kann mit dem Drücken der Windows Taste + Pause überprüft werden. Hier sollte Pro oder Enterprise stehen.

1.JPG

Ob das TPM Modul verbaut ist sieht man in der Systemsteuerung – Hardware und Sound – Geräte Manager (oder in PowerShell devmgmt.msc ausführen, geht schneller ;-)) des Systems unter Sicherheitsgeräte.

2.JPG

Aktivieren von BitLocker mit TPM

BitLocker kann mithilfe des Windows Explorers aktiviert werden. (Rechts-Klick auf c: – BitLocker aktivieren)

1.PNG

Danach startet der Setup-Assistent.

2.PNG

Weiter klicken. Der Computer muss neu starten.

3.PNG

Nach dem Neustart erscheint eine Meldung. Hier muss F1 gedrückt werden, damit das TPM konfiguriert wird.

3a.JPG

Nach dem Neustart wird der Installations-Assistent weitergeführt und man sollte ein grünes Häkchen beim Punkt TPM sehen.

4.PNG

Der Wiederherstellungsschlüssel dient zur Entschlüsselung der Festplatte, wenn die Festplatte nicht entschlüsselt werden kann (z.B. PIN vergessen). Hier wird “In Datei speichern” empfohlen.

5.PNG

Hinweis: Die Datei muss auf einem externen Laufwerk gesichert werden.

7.PNG

Ein USB-Stick schafft Abhilfe.

8.PNG

Wenn der PC schon länger verwendet wird, so wird empfohlen die gesamte Festplatte zu verschlüsseln.

9.PNG

Als nächstes wählt man den neuen Verschlüsselungsmodus XTS-AES, oder bei Wechseldatenträger mit älteren Windows Versionen den Kompatiblen Modus.

10.PNG

Und dann endet das Setup. Ich würde empfehlen die BitLocker-Systemüberprüfung zu aktivieren, um sicherzustellen das alles klappt.

11.PNG

Danach muss der Computer erneut mit “Jetzt neu starten” neu gestartet werden.

13.PNG

Nach dem Neustart sieht man in der Systemsteuerung, dass die Verschlüsselung voll im Gange ist.

14.PNG

Nach einiger Zeit wechselt die Anzeige und die Verschlüsselung ist fertig.

15.PNG

Der Schlüssel ist im TPM Module gespeichert. Entfernt man die Festplatte, so kann ohne diesem Module nicht auf diese zugegriffen werden. Was jetzt noch fehlt ist die Einrichtung eines PINs beim Starten des Computers.

Aktivieren der BitLocker PIN Abfrage

Dazu öffnet man in Ausführen (Windows Taste + R) gpedit.msc.

17.PNG

Dann navigiert man zu Computerkonfiguration – Administrative Vorlagen –  Windows-Komponenten – BitLocker-Laufwerksverschlüsselung – Betriebssystemlaufwerke  – Zusätzliche Authentifizierung beim Start anfordern.

Dort müssen folgende Einstellungen getroffen werden.

16.PNG

Danach führt man in cmd gpupdate /force aus.

18.PNG

Als nächstes erscheint in der Systemsteuerung eine weitere Option, die sich “Ändern, wie das Laufwerk beim Start entsperrt wird” nennt. Diese muss angeklickt werden.

20.PNG

Danach wählt man “PIN eingeben”.

21.PNG

Nach der Eingabe des PINs ist der Computer durch das TPM Modul und den PIN geschützt. Nach einem Neustart erscheint die PIN Abfrage.

IMG_0358.JPG

Fazit

Ein bisschen tricky ist die Sache schon. Wer nur einzelne Ordner verschlüsseln möchte der kann das mit EFS tun: EFS: Dateien verschlüsseln unter Windows.


2 Comments

  1. […] AppLocker zu konfigurieren ist keine Sache die man so nebenbei macht. Wer seinen ganzen Computer verschlüsseln möchte, der kann dies mit BitLocker tun: Windows 10: BitLocker aktivieren (TPM + PIN). […]

    Like

  2. […] EFS ist nur auf Windows Server Editionen und auf Windows 10 Pro verfügbar. (nicht auf der Home Edition!). Außerdem muss das Volume NTFS als Dateisystem ausführen. EFS verschlüsselt einzelne Ordner. Wer seinen ganzen Computer verschlüsseln möchte der ist mit dem Windows Feature BitLocker besser aufgehoben: Windows 10: BitLocker aktivieren (TPM + PIN). […]

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

Who is the blogger?

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com