Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Okay, bevor ich jetzt auch C: verschlüsselt hatte, habe ich vorher darüber im Netz gelesen und die Gruppenrichtlinien vorsichtshalber wie dort beschrieben angepasst (da mein PC kein TPM verbaut hat). Ist das so zwingend notwendig? Bin mir nicht sicher, ob ich das so eingestellt haben muss oder wieder deaktivieren kann:
Kann ich das auch ohne TPM wieder auf "Nicht konfiguriert" umstellen?
Wenn du wirklich gar kein TPM im PC hast, dann hätte Bitlocker vorher gemeckert und nicht verschlüsselt. Ich würde es einfach so lassen, was passiert wenn man das im Nachgang nochmal abändert kann ich dir nicht sagen.
@holdes Ich habe kein TPM, ich vermute, Bitlocker hat wegen der von mir vorher veränderten Gruppenrichtlinien nicht gemeckert. Das ASUS X99 Deluxe (erste Version) hat kein TPM (das Modul muss separat erworben und dann aufs Mainboard gesteckt werden).
Ich hatte es ja selbst so aktiviert vorher, standardmäßig steht das auf "Nicht konfiguriert". Ich nehme an, wenn ich Festplatte C: mal leerräumen und Windows neu aufspielen würde, müsste ich Laufwerke D, E und F nach Installation von Windows manuell entsperren und die Gruppenrichtlinien wieder manuell so anpassen.
Bedeutet das im Umkehrschluss, dass bei jemandem, der TPM auf seinem Mainboard hat, kein Kennwort beim Start des PCs zum Entsperren von C: notwendig ist? Das würde bedeuten, dass ein Dieb den Windows-Login umgehen könnte und - durch automatisches Entsperren des per Bitlocker verschlüsselten Laufwerks - doch vollen Zugriff hätte?
Ich frage, weil ich in den Gruppenrichtlinien (ohne TPM) ja bewusst entscheiden musste, ob ich per Kennwort oder USB-Stick entsperren will.
Nachfrage: Ich habe Bitlocker ja jetzt korrekt eingerichtet, alle Festplatten inklusive der Systemplatte sind per Bitlocker geschützt. Bei jedem Start des PCs muss ich VOR dem Windows Login beim blauen Bitlocker-Screen das Kennwort zum Entsperren eingeben.
Was mir aufgefallen ist: Wenn ich das Kennwort nicht innerhalb - ich vermute - 20-30 Sekunden eingegeben habe, schaltet sich der PC einfach aus und startet neu.
Ist das Verhalten normal!? Das passiert ohne Bitlocker nicht.v
Sobald ich das Kennwort eingegeben habe und mich beim Windows Login befinde bleibt der PC ganz normal an.
@holdes Danke für den wertvollen Tipp! Unfassbar, dass das Problem sogar jetzt, SIEBEN (!) Jahre nach diesem Beitrag noch immer existiert. Unfassbar.
Ich habe den Befehl jetzt per Eingabeaufforderung als Admin ausgeführt. Ich frage mich, wieso das aber nicht auch über die Windows PowerShell (Admin) funktioniert? Dort erhalte ich nur die Nachricht: "Der angegebene set-Befehl ist nicht gültig". Bei der normalen Eingabeaufforderung kam "Der Vorgang wurde erfolgreich beendet".
Keine Ahnung, ob da jetzt irgendwas übernommen wurde und das etwas bewirkt hat. Ich werde es ja beim nächsten Start sehen.
Nachtrag: Okay, bei PowerShell muss man "{bootmgr}" in Klammern setzen.
Mit dem Fehler kann ich persönlich noch eher leben als mit der Tatsache das Tastaturlayout in der Pre-Boot Phase nicht umstellen zu können. Wehe dem, der ö,ü oder ä im Passwort verwendet.
Das lässt sich meines Wissens nach nicht ändern (im Gegensatz zu der Ausschaltgeschichte).
@holdes Ja, das ist auch ein merkwürdiges Verhalten. Aber dass sich der PC komplett abschaltet, das macht dann doch eher Sorgen. Das Verhalten kenne ich so nur, wenn mal irgendwas überhitzt (was zum Glück ewig nicht mehr vorgekommen ist).
Ich kann mir sogar vorstellen, dass das gewollt ist. So bleiben evtl. irgendwelche Angriffsversuche in diesem Zustand halbwegs abgesichert weil die Kiste ausgeht. Ich habe aber noch nicht mit Stoppuhr gemessen ob es ein fester Timeout ist zu welchem sich der PC ausschaltet.
Bedeutet das im Umkehrschluss, dass bei jemandem, der TPM auf seinem Mainboard hat, kein Kennwort beim Start des PCs zum Entsperren von C: notwendig ist? Das würde bedeuten, dass ein Dieb den Windows-Login umgehen könnte und - durch automatisches Entsperren des per Bitlocker verschlüsselten Laufwerks - doch vollen Zugriff hätte?
Wie soll ein Dieb bei einem mit Bitlocker verschlüsselten Laufwerk das Windows Login umgehen? Mit Bitlocker schützt du die Windows Installation, Secure Boot und entsprechend konfiguriertes UEFI sorgt dafür, dass sonst nicht anderes gebootet werden kann. Prinzipiell ist eine solche Windows Installation "sicher", wobei eine 100% Sicherheit es nie gibt.
Wer auf Nummer sicher gehen will, nutzt jedoch TPM + PIN und hat so eine doppelte Authentifizierung.
@xexex Ich meinte: Wenn jemand TPM hat, dann muss derjenige doch sein Bitlocker-Kennwort nicht bei jedem Neustart eingeben, richtig? Dementsprechend startet er einfach nur den PC und der Windows Login erscheint - oder nicht? Und mir wurde hier geschrieben, es gibt genügend Tools, um den Windows-Login zu umgehen. Also dachte ich mir, dass Leute mit TPM dann doch ein Problem haben, weil jemand einfach den PC starten, Windows umgehen und auf alle Daten zugreifen kann? Wenn aktiviert ist, dass die per Bitlocker gesperrten Laufwerke automatisch entsperrt werden.
Die gibt es, sie erfordern jedoch Zugriff auf die Systempartition. Die bekommen sie aber nicht, weil die Systempartition logischerweise nur beim Start von Windows entsperrt wird und nicht wenn man irgendein Bootstick starten will.
@xexex Ah, okay, siehst Du, das wusste ich nicht. Die ganzen Tools zum "Umgehen" brauchen also auch zwangsläufig das Kennwort für Bitlocker. Okay, dann ist es klar. Na, dann würde sich ja TPM lohnen, um nicht ständig das Bitlocker-Kennwort eingeben zu müssen :-)
Ein "Kennwort" gibt es dann gar nicht, das ist auch grundsätzlich eine Schwachstelle wenn man Bitlocker ohne ein TPM nutzt. Ist ein TPM vorhanden wird der Schlüssel im TPM gespeichert und du kannst dir nur einen Wiederherstellungsschlüssel exportieren lassen.
Wie ich schon weiter oben schrieb, kannst du aber für zusätzliche Sicherheit noch eine PIN einrichten. Es wird dann sowohl die PIN als auch der Schlüssel im TPM geprüft.
Wenn es dich interessiert wie der ganze Vorgang technisch aussieht, solltest du dir die beiden Links genau durchlesen.
