HDD nachträglich per bitlocker verschlüsseln

[Fabian_otto]

hi liebe CBler,

ich starte aktuell per CSM/Legacy/UEFI und wuerde gerne wissen, ob ich hier einfach bitlocker aktivieren kann.

ein fTPM ist ja im ryzen integriert. oder startet dann das system nicht mehr und ich muss es erst mit mbr2gpt ins UEFI format bringen?

viele grüsse.

 

[madmax2010]

Klick mal an Sollte problemlos gehen.
Falls nicht: daten aus dem Backup zurückspielen.
Falls kein Backup vorhanden ist: Backup machen bevor du full disk encryption aktiviest

 

[ntloader]

Klick doch einfach auf Bitlocker aktivieren. Wenn was nicht passt, sagt dir der Precheck das.

 

[Fabian_otto]

ok, mache aber erst mal ein full drive backup mit acronis. man weiss ja nie. UEFI ist aber definitiv nicht mein voreingestellter boot modus.

Ergänzung (23. Juni 2020)

ist bitlocker dann konfigurierbar, dass das Windowspasswort die laufwerke entschluesselt?

 

[mfJade]

Klick mal an Sollte problemlos gehen.

famous last words

 

[DocWindows]

ist bitlocker dann konfigurierbar, dass das Windowspasswort die laufwerke entschluesselt?

Wenn du mit TPM verschlüsselst, wird kein Passwort zum Booten abgefragt. Dieser Modus stellt nur sicher dass du die Platte (Partition) nur mit diesem Rechner und diesem TPM nutzen kannst. Ausbauen, in einen anderen Rechner stecken und dann Daten runterziehen funktioniert dann z.B. nicht mehr.

Du kannst Zusatzmaßnahmen aktivieren wo du beim Booten dann TPM und beispielsweise eine Passworteingabe hast. Oder auch nur eine Passworteingabe. Je nach Wunsch.
Single-Sign-On, wo die Bitlockerpassworteingabe gleichzeitig für die Windows-Anmeldung genommen wird, funktioniert nicht.
Was du machen kannst ist eine Bitlocker-Passwortabfrage einrichten und dann im Windows Auto-Login ohne Passwort aktivieren. Aber natürlich nur wenn du alleine mit dem PC arbeitest und keine weiteren Nutzer ein Konto auf dem PC haben.

famous last words

Naja, bei Bitlocker muss man sagen, dass der Verschlüsselungsassistent schon extrem gut (idiotensicher) designt ist. Da kann eigentlich nichts schlimmes passieren. Dennoch würde ich das niemals ohne Backup anstarten. Aber ein aktuelles Backup würde ich auch so immer in der Hinterhand haben wollen, unabhängig von Bitlocker.

 

[madmax2010]

famous last words

Hab das dann doch noch ausgeführt. is ja wie bei Sprionger hier. Ohne kontext zitiert

 

[Fabian_otto]

Wieso geht " Single-Sign-On " nicht? hätte es am liebsten so wie bisher
: einfach bei windows anmelden, aber dafür mit sicherem login. denn einen normalen windowslogin kann man ja per live CD einfach umgehen.
das geht schon per bitlocker nicht mehr, oder? man kann auch auf dem gleichen system nicht einfach ein live OS booten und die dateien umbenennen, oder?

 

[DocWindows]

: einfach bei windows anmelden, aber dafür mit sicherem login. denn einen normalen windowslogin kann man ja per live CD einfach umgehen.

Dann nimm TPM only. Da kommst du mit Live-CD auch nicht mehr ans System ran. Den Windows-Login kannst du dann mit Passwort lassen.
Was nicht geht ist halt Bitlocker-Passwort vorm Booten eingeben und dann automatisch damit an Windows anmelden.

 

[Fabian_otto]

TPM only (fTPM) würde mir reichen.
die HDDs wären dann alle verschlüsselt ohne Performanceverlust.

Dafür hätte ich die Gewissheit, dass niemand am System rumfummeln kann oder die Daten entwendet.

 

[ntloader]

Bissl Performance verlust hast schon, aber nicht merklich.

 

[Fabian_otto]

also für dummies wie mich:

1. backup machen
2. mbr2gpt aktivieren
3. dann ftpm im bios und auf UEFI umstellen
4. dann bitlocker in Windows 10 aktivieren

Ergänzung (23. Juni 2020)

p.s. kann ich nach mbr2gpt immer noch im legacy booten oder geht dann nur noch UEFI durch die konvertierung?

 

[Fabian_otto]

Dann nimm TPM only. Da kommst du mit Live-CD auch nicht mehr ans System ran. Den Windows-Login kannst du dann mit Passwort lassen.
Was nicht geht ist halt Bitlocker-Passwort vorm Booten eingeben und dann automatisch damit an Windows anmelden.

also bitlocker verhindert, dass die HDD woanders gelesen werden kann als an dem fTPM chip, der den schluessel hat. aber wann werden die HDDs damit entlockt? schon beim bootvorgang? dann muesste doch ein live-OS per usb stick etc. auch gehen, oder? also jemand, der das system hat, koennte damit daten lesen, weil der chip die HDDs entschluesselt?

 

[BFF]

p.s. kann ich nach mbr2gpt immer noch im legacy booten oder geht dann nur noch UEFI durch die konvertierung?

Legacy ist dann nicht mehr.

-> https://www.windowscentral.com/how-convert-mbr-disk-gpt-move-bios-uefi-windows-10

 

[Fabian_otto]

Legacy ist dann nicht mehr.

Anhang anzeigen 935987

-> https://www.windowscentral.com/how-convert-mbr-disk-gpt-move-bios-uefi-windows-10

ok, also UEFI einstellen nach MBR2GPT. weisst du, wann die HDDs entlockt werden? beim boot? waere dann nicht auch ein liveOS von USB moeglich? so umgeht man das windowspasswort und koennte auch an die daten? oder hab ich einen denkfehler drin?

Ergänzung (23. Juni 2020)

noch eine kleine verstaendnisfrage: wenn bitlocker jeden sektor verschluesselt, wird ja alles auf der HDD neu geschrieben. wenn man es ausstellt, also auch. dauert das dann ebenso stunden bei einer vollen HDD?

 

[BFF]

Lies Dir mal diese Thread durch bevor Du anfaengst irgendwas an dem Systemdatentraeger per Bitlocker zu machen.

-> https://administrator.de/contentid/387449

Der Verfasser hat da sehr viel zusammengetragen und der Artikel dort ist meiner Meinung nach der einzige deutschsprachige Artikel in diesem Umfang.

BFF

 

[Fabian_otto]

so, mbr2gpt hat geklappt, UEFI ist nun der boot modus, fTPM ist aktiviert und doch scheitert es hier:

hat jemand eine Idee?

Ergänzung (24. Juni 2020)

so, nach seltsamerweise undokumentiertem .xml umbenennerei klappt es nun (windoofs eben).

aber woran sehe ich, ob bereits das ganze laufwerk verschluesselt ist? das wird ja nicht nach einer minute geschehen sein (siehe screenshot).
und kann ich die anderen laufwerke auch einfach so verschluesseln? oder bekommt jedes Laufwerk einen eigenen schluessel und muss nach dem systemstart manuell entsperrt werden?

alles laeuft ueber den fTPM chip.

 

[ntloader]

manage-bde -status c:
zeigt dir das an.

 

[DocWindows]

und kann ich die anderen laufwerke auch einfach so verschluesseln? oder bekommt jedes Laufwerk einen eigenen schluessel und muss nach dem systemstart manuell entsperrt werden?

Wenn das Systemlaufwerk verschlüsselt ist, kannst du andere Partitionen oder Laufwerke automatisch entsperren lassen. Das aktiviert man nachdem man die Verschlüsselung gestartet hat.

 

[Fabian_otto]

lohnt sich secure boot? denn ein angreifer koennte das im bios ja auch aushebeln, wenn er zugriff zum PC hat. ein liveOS zugriff au die bitlocker geschützten Datenträger ist aber nicht möglich, oder? werde ich gleich mit einem usb stick mal testen.