Standardmässig sind die BitLocker Schlüssel im TPM abgelegt, jedoch nicht mit einem PIN geschützt. In dieser Anleitung wird beschrieben, wie der PIN Schutz aktiviert werden kann.
Damit ein PIN gesetzt werden kann, ist eine Freischaltung in den Gruppenrichtlinien erforderlich. Ist der Computer in einer Domain wird die Einstellung auf der Domain gemacht. Ist der Computer in einer Workgroup oder bei Office 365 angemeldet erfolgt die Einstellung auf der lokalen Gruppenrichtlinie.
Unter Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
muss das GPO Require additional authentication at startup aktiviert werden und Allow startup PIN with TPM muss ausgewählt sein.
Detaillierte Anleitung für Computer, die in einer AD Domain sind (Step two)
Detaillierte Anleitung für Computer, die nicht in einer AD Domain sind
Command Prompt öffnen mit Administratorenrechten (run as Administrator). Dann mit dem Befehl
manage-bde -protectors -add c: -TPMAndPIN
das Setzen des PINs auslösen. Der PIN muss danach zweimal eingegeben werden. Ein 6-stelliger PIN ist ausreichend, da die TPM resistent gegen Brute Force Angriffe ist.
Beim nächsten Einschalten muss der PIN eingegeben werden, damit die Disk entschlüsselt und Windows gestartet werden kann.
Es empfiehlt sich dringend, auch ein Wiederherstellungspasswort zu aktivieren und dieses sicher und getrennt vom Computer aufzubewahren. Eine Anleitung finden Sie hier.
Cookieinformation
Diese Seite verwendet Cookies. Details siehe Datenschutzerklärung.