none
HDD verschlüsseln mit Bitlocker und TPM Chip RRS feed

 > 

  • Frage

  • Question
    Anmelden
    1
    Anmelden

    Hallo,

    diese Tests wurden gemacht falls die Firmen NBs gestohlen werden oder verloren gehen. Wir suchen grad nach einer simplen alternative zu TrueCrypt, die auch mit GPT umgehen kann.

    Ich habe eine HDD (M2 SSD) von einem HP NB mit aktiven TPM in kombi mit Bitlocker komplett verschlüsselt.
    Es gibt nur diese M2 SSD mit Win10 Pro darauf in diesem NB.

    Bezeichner und Wiederherstellungsschlüssel auf Stick gespeichert.

    Problem 1

    Dann habe ich die M2 SSD ausgebaut und wollte sie als USB Platte an einem anderen PC testweise mappen bzw. entschlüsseln. Bezeichner ID stimmte mit dem auf dem Stick überein.

    Fehlermeldung: Das Laufwerk kann mit dem Schlüssel nicht entsperrt werden. Hab es händisch eingegeben, copy and paste, beides geht nicht.

    Wieso? TPM Chip?

    Problem 2

    M2 SSD wieder eingebaut, von Win10 DVD gebootet. Wollte testen ob man auf die Platte kommt über die Systemweiderherstellung --> CMD oder den Trick mit Utilman.exe am Anmeldebildschirm.

    Hab den Wiederstellungsschlüssel erneut eingegeben und es ging wieder nicht, Bezeichner ID stimmte ebenfalls...

    Fehlermeldung : Das entsperren mit diesen Wiederherstellungschlüssel ist nicht möglich.

    Was mache ich falsch?

    VG

    Xris

    Dienstag, 25. Oktober 2016 12:50
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    2
    Anmelden

    Hi Xris,

    mir würde jetzt spontan nichts auffallen, was Du falsch gemacht hättest. Normal ist das ein relativ narrensicheres System, ich hatte schon oft Fälle, wo ein Benutzer irgendwas gewurschtelt hat, so dass beim nächsten Start der Wiederherstellungsschlüssel verlangt wurde. Der hat aber immer gepasst.

    Wie hast Du den Wiederherstellungsschlüssel auf den USB-Stick gespeichert? Ist das eine Kombination aus 8x6 Zahlen?

    Aus Erfahrung kann ich Dir sagen, dass auch per Windows-DVD immer der Wiederherstellungsschlüssel abgefragt wird, weil Windows erkennt, dass das Laufwerk mittels Bitlocker gesperrt ist. Bitlocker an sich ist schon ziemlich sicher.

    Ein Tipp noch an der Stelle: Bitlocker verwendet selbst in Windows 10 standardmäßig AES128 für die Verschlüsselung. Du kannst das per GPO auf AES256 hochsetzen, allerdings musst Du die Festplatte dann neu verschlüsseln, weil das logischerweise nicht nachträglich hochgesetzt werden kann.

    http://www.howtogeek.com/193649/how-to-make-bitlocker-use-256-bit-aes-encryption-instead-of-128-bit-aes/

    Liebe Grüße

    Ben

    ____________________________

    MCSA Office 365

    MCSA SQL Server 2014

    MCITP Windows 7

    MCSA Windows 8/10

    MCSE Server Infrastructure

    ____________________________

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort. Danke! :-).

    Dienstag, 25. Oktober 2016 13:01
    |
  • Question
    Anmelden
    1
    Anmelden
    Hallo Ben, danke für deine Antwort. Ich wurde gefragt ob ich den Schlüssel auf Stick speichern will oder Drucken. Wurde dann als txt auf den Stick kopiert. 6x8 Zeichen ist er lang, Windows frägt dann ja nach 48 stelligen Key. Hab das jetzt schon 2 mal probiert, immer der gleiche Fehler. Ich checks nicht.... Hab nix dazu gefunden im Netz... Seltsam VG Xris
    Dienstag, 25. Oktober 2016 22:39
    |
  • Question
    Anmelden
    2
    Anmelden

    Wie schon gesagt - dabei passiert eigentlich auch nie ein Fehler...

    Schau doch mal, was Du für einen Key mit dem folgenden Befehl rausbekommst:

    manage-bde -protectors c: -get

    Liebe Grüße

    Ben

    ____________________________

    MCSA Office 365

    MCSA SQL Server 2014

    MCITP Windows 7

    MCSA Windows 8/10

    MCSE Server Infrastructure

    ____________________________

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort. Danke! :-).


    • Bearbeitet Ben-neB Mittwoch, 26. Oktober 2016 08:14
    Mittwoch, 26. Oktober 2016 08:12
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo

    der Befehl spuckt den Key aus den ich auch habe!!

    VG

    Mittwoch, 26. Oktober 2016 11:12
    |
  • Question
    Anmelden
    0
    Anmelden

    Witzig... ich wüsste nicht, dass es bei M2-SSDs Besonderheiten bzgl. Bitlocker gibt.

    Ich würde in dem Fall erst nochmal eine Ent- und erneute Verschlüsselung probieren. Wenn es dann wieder nicht geht, weiter recherchieren.

    Liebe Grüße

    Ben

    ____________________________

    MCSA Office 365

    MCSA SQL Server 2014

    MCITP Windows 7

    MCSA Windows 8/10

    MCSE Server Infrastructure

    ____________________________

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort. Danke! :-).

    Mittwoch, 26. Oktober 2016 13:09
    |
  • Question
    Anmelden
    1
    Anmelden

    Ich habe jetzt den TPM Chip deaktiviert, eine GPO erstellt das beim Booten schon ein Passwort eingegeben werden muss.

    Das funktionierte....

    Sobald ich verschlüssle, die Datei abspeicher auf stick oder als datei einfach ablege, wird der Wiederhertsellungskey nicht angenommen.

    Langsam hab ich kein Bock mehr auf dieses Verfahren.

    VG


    • Bearbeitet Xris76 Donnerstag, 27. Oktober 2016 10:36
    Donnerstag, 27. Oktober 2016 10:21
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo! Ist das ein Domänen-Computer? Hast du Einstellungen mittels GPOs verteilt? Die aktuelle Verschlüsselungsstärke für Windows 10 ist übrigens AES-XTS-256. Trotzdem sollte natürlich das Entsperren funktionieren. Wir haben die HP EliteBooks 840 G3 mit TPM 2.0 und M.2 SSDs im Einsatz, ohne Probleme. Eine kleine Übersicht habe ich da zur Verfügung gestellt. Ist zwar noch Windows 8, sollte trotzdem funktionieren.

    ...Dietmar

    Donnerstag, 27. Oktober 2016 11:59
    |
  • Question
    Anmelden
    1
    Anmelden

    Sobald ich verschlüssle, die Datei abspeicher auf stick oder als datei einfach ablege, wird der Wiederhertsellungskey nicht angenommen.


    Dann muss aber bei Dir noch irgendwas zusätzliches eingestellt sein. Wie gesagt: ich habe Bitlocker schon auf den unterschiedlichsten Geräten (standalone oder Domäne) eingerichtet, der Wiederherstellungsschlüssel hat jedes Mal gepasst.

    Man kann aber beispielsweise einstellen, dass neben dem Wiederherstellungsschlüssel noch zusätzliche Dinge gegeben sein müssen. Habt Ihr denn, wie Dietmar schreibt, irgendwelche GPOs für Bitlocker konfiguriert?

    Liebe Grüße

    Ben

    ____________________________

    MCSA Office 365

    MCSA SQL Server 2014

    MCITP Windows 7

    MCSA Windows 8/10

    MCSE Server Infrastructure

    ____________________________

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort. Danke! :-).

    Donnerstag, 27. Oktober 2016 12:15
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo ihr beiden,

    ja wie oben beschrieben hab ich eine GPO erstellt (NB is Dom Member), das muss man wenn man ohne TPM arbeitet machen.

    Das habe ich aber erst gemacht nachdem die eine Methode mit TPM nicht gefunzt hat.

    Ich habe sonst nix eingestellt.TPM aktiviert, neustart, bitlocker aktiviert, gesamte platte, key als datei oder dirkt auf USB Stick kopiert, platte wurde verschlüsselt... fertig

    Kann es sein das Bitlocker nicht mit GPT Partition zurecht kommt? Aber ich denke dass das kein Prob sein dürfte.....

    VG

    Donnerstag, 27. Oktober 2016 12:56
    |
  • Question
    Anmelden
    1
    Anmelden

    Nope, hab bei mir auch GPT und Bitlocker rennt. Ich weiß leider aktuell nichts mehr, was Du noch prüfen könntest...

    Bzw. war das TPM vorher evtl. schon mal durch eine andere Applikation in Verwendung? Vielleicht hilft es, wenn Du das TPM nochmal komplett zurücksetzt (wobei das eigentlich auch jedes Mal durch Bitlocker neu beschrieben wird).

    Liebe Grüße

    Ben

    ____________________________

    MCSA Office 365

    MCSA SQL Server 2014

    MCITP Windows 7

    MCSA Windows 8/10

    MCSE Server Infrastructure

    ____________________________

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort. Danke! :-).


    • Bearbeitet Ben-neB Donnerstag, 27. Oktober 2016 12:59
    Donnerstag, 27. Oktober 2016 12:58
    |
  • Question
    Anmelden
    0
    Anmelden

    Das NB is neu und die Installation auch....TPM hab ich schon zurückgestzt, ausgeschalten usw.-....Was ich jetzt noch versuchen könnte, mit Aconis auf eine andere SSD klonen und einbauen, da es nur eine M2 SSD is

    Aber ich vermute das es daran nicht liegt

    • Bearbeitet Xris76 Donnerstag, 27. Oktober 2016 13:19
    Donnerstag, 27. Oktober 2016 13:18
    |
  • Question
    Anmelden
    1
    Anmelden

    Vielleicht überprüfst du trotzdem mit meinen Anleitungen deine Einstellungen. Der Wiederherstellungsschlüssel ist "nur" eine weitere Schlüsselschutzvorrichtung, die eigentlich nichts mit dem TPM zu tun hat. Sie ist ja quasi der Fallback, falls ich meine PIN vergessen habe. Also wenn TPM und PIN funktioniert hat, ist der TPM in Ordnung. Wie kommst du jetzt eigentlich auf die Platte? Kannst du die noch entschlüsseln? Was sagt denn das Ereignisprotokoll: Anwendungs- und Dienstprotokolle\Microsoft\Windows\BitLocker-API\Management. Da steht vieles drinnen.

    BitLocker ist sicher die beste Lösung für die Festplattenverschlüsselung!

    Dietmar

    Donnerstag, 27. Oktober 2016 13:33
    |
  • Question
    Anmelden
    0
    Anmelden

    Also auf die Platte komme ich ja ohne Probleme, solange ich sie nicht ausbaue oder von Win DVD versuche mit cmd draufzukommen. Ja entschlüsseln geht immer....

    Versuche jetzt das mal was du geschrieben hast....

    Dann is erstmal Weekend...gibt wichtigeres im Leben :-))

    VG Xris

    Freitag, 28. Oktober 2016 06:45
    |
  • Question
    Anmelden
    0
    Anmelden
    Bei der Konfiguration von BitLocker mittels Gruppenrichtlinien habe ich einen BitLocker Key Recovery Agent erstellt. Kannst du damit die Platte entsperren?
    Montag, 31. Oktober 2016 09:04
    |
  • Question
    Anmelden
    1
    Anmelden

    So, ich hab jetzt keinen Bock mehr gehabt....Neu installiert mit MBR und jetzt sollte auch True Crypt wieder funzen....

    Das Ticket wird beendet

    VG und danke an alle!!!

    Mittwoch, 2. November 2016 13:35
    |