Bitlocker: Keine Aktivierung in Win11 Pro möglich - TPM?

[Humbold]

Hallo zusammen,

habe Win11 Pro zusammen mit einem MSI B550 Gaming Plus und 2x M2.SSDs.
Gerne würde ich Bitlocker aktivieren, jedoch:

Habe schon intensiv gegoogelt um eine Lösung für die Fehlermeldung zu bekommen, aber bisher kein Erfolg.
Ein Tipp wäre, einfach mal auf gut Glück das TPM-Modul zurückzusetzen, also zu löschen, siehe rechts.

Meine Daten sind gesichert, aber ich scheue eine Neuinstallation des Systems, daher meine Frage an Euch:
Wenn ich das TPM auf diese Weise lösche / resette, droht mir ein Datenverlust o.ä.? Weil ich habe bisher ja kein LW verschlüsselt. Und mein Windows mit PIN (über Windows-Account) geschützt. Was soll schon schiefgehen?

Freue mich natürlich auch über Ideen, was sonst eine Lösung für die Fehlermeldung bei der Bitlocker-Einrichtung sein könnte.
Noch ein Hinweis: Ich habe externe Festplatten via USB angehängt, die ich problemlos via Bitlocker auf demselben Win11-System verschlüsseln konnte. Bloß bei den internen SSDs gibts Probleme, siehe oben?

Danke Euch!
Humbold

 

[Sephe]

Welche CPU hast du verbaut? fTPM oder discrete aktiviert im UEFI?
Ist deine Windows-Installation in irgendeiner Form modifiziert? Rufus, oder irgendwelche "Optimierungs- und Anti-Spy"-Tools?

 

[tollertyp]

Kann das irgendwie mit WinRE zu tun haben?

 

[CoMo]

Habe schon intensiv gegoogelt um eine Lösung für die Fehlermeldung zu bekommen, aber bisher kein Erfolg.

Was hast du denn alles probiert? Das Löschen der ReAgent.xml hat nicht geholfen?

 

[Humbold]

Welche CPU hast du verbaut? fTPM oder discrete aktiviert im UEFI?
Ist deine Windows-Installation in irgendeiner Form modifiziert? Rufus, oder irgendwelche "Optimierungs- und Anti-Spy"-Tools?

Danke für die schnelle Antwort. Ganz normales Win11 Pro, keinerlei Modifikationen, Rufus o.ä.

Zum fTPM oder discrete konnte ich im Handbuch nichts finden:
https://download.msi.com/archive/mnu_exe/mb/MPGB550GAMINGPLUS_DE.pdf

Im Handbuch lese ich gerade, dass das TPM optional ist? (Seite 37)

Aber ich habe doch ein TPM, sonst hätte ich es nicht löschen können, siehe oben?

Jedenfalls ist komisch, dass die Detailseite jetzt so aussieht:

Edit: Habe ein AMD Ryzen 5 5600X 6C/12T verbaut.

 

[DiedMatrix]

Das doch ein AMD Board: dann muss es im BIOS eine fTPM Option geben, vermutlich ist die deaktiviert?

 

[Humbold]

Ja ich habe ein AMD Ryzen 5 5600X 6C/12T verbaut.

Foto vom BIOS, dort war fTPM bereits aktiviert:

 

[DiedMatrix]

mh okay. mal Bios defaults laden und nochmal testen?
Dein Windows 11 Pro ist aber aktiviert, oder?

 

[tollertyp]

Wir können nun natürlich alles prüfen, was Bitlocker verhindern könnte, oder wir könnten anhand der Fehlermeldung vorgehen.
https://answers.microsoft.com/en-us...m-cannot/db8e4e22-e793-46c3-869d-b2a9077d8ac2

 

[Humbold]

Oha! Das hatte ich schon gemacht, aber gelöscht, dann Neustart, dann kam der gleiche Fehler. Aber mit dem Umbenennen hat es wohl geklappt, es verschlüsselt jetzt!
Danke für die super Hilfe!

 

[Humbold]

Jetzt hat die Verschlüsselung mit allen Partitionen geklappt. Jetzt brauch ich natürlich noch eine PIN-Abfrage für mein C:\ beim Rechner-Boot, ansonsten landet er ja direkt beim Windows-Schirm.

Ich bin mir bloß unsicher, was hier gute Einstellungen sind, da konnte ich bei Google nicht so recht vertrauenswürdiges finden:

A: Das habe ich aktiviert, damit ich auch Sonderzeichen etc. beim PIN verwenden kann.
B: Bloß hier gibt es dann sehr viele Einstellmöglichkeiten.
C: Oft wird hier empfohlen eine "Start-PIN" zu vergeben. Dazu meine Frage: Damit ich rechts den Text richtig verstehe - es gibt ja offenbar 3 verschiedene Begriffe hier - sind meine Annahmen richtig?

1. Start-PIN = einfaches Passwort
2. Systemstartschlüssel = USB-Stick nötig
3. Startschlüssel = ? Was ist der Unterschied zu den vorherigen?

Wenn ich das besser verstehe, dann kann ich wohl besser auf die Einstellungen vertrauen

 

[PC295]

Das habe ich aktiviert, damit ich auch Sonderzeichen etc. beim PIN verwenden kann.

Beachte aber hier, dass du dann dein Passwort im englischen Tastaturlayout eingeben musst!
Denn die Pre-Boot-Umgebung mit der Bitlocker-Kennwortabfrage läuft nur im englischen Tastaturlayout.

Bloß hier gibt es dann sehr viele Einstellmöglichkeiten.

Nimm folgende Einstellungen für TMP+PIN:

 

[Humbold]

Okay, Danke @PC295

Weißt du (oder jemand anderes hier), wie es mit den "entry attempts" bei der PIN-Eingabe aussieht? Soweit ich das verstanden habe, hat man nur X Versuche und danach muss der lange Wiederherstellungscode eingegeben werden.
Diese Quelle sagt es gibt 32 Versuche:
https://superuser.com/questions/1678458/bitlocker-too-many-pin-entry-attempts-will-it-go-away

Kann ich irgendwo prüfen, dass das auch so eingestellt ist bei mir? Oder ist das der Standard bei TPM sowieso?
Vielleicht kann man die 32 als Zahl anpassen?

 

[PC295]

Kann ich irgendwo prüfen, dass das auch so eingestellt ist bei mir? Oder ist das der Standard bei TPM sowieso?
Vielleicht kann man die 32 als Zahl anpassen?

Das ist der Standardwert den Windows für TPM 2.0 einrichtet, sofern nichts anderen in den Gruppenrichtlinien definiert ist.

Die Einstellungen dazu findest du dort unter

Computerkonfiguration -> Administrative Vorlagen -> System -> Trusted Platform Module-Dienste
-> Standardbenutzer-Sperrdauer
-> Standardbenutzer-Sperrschwelle (einzeln)
-> Standardbenutzer-Sperrschwelle (gesamt)

 

[Humbold]

Beachte aber hier, dass du dann dein Passwort im englischen Tastaturlayout eingeben musst!
Denn die Pre-Boot-Umgebung mit der Bitlocker-Kennwortabfrage läuft nur im englischen Tastaturlayout.


Nimm folgende Einstellungen für TMP+PIN:

Anhang anzeigen 1469039

@PC295 Danke nochmal für den Screenshot. Bloß wenn ich das so wie Du hier konfiguriere, kann ich im Bitlocker-Setup später keinen PIN vergeben.
Ich habe woanders gelesen, dass ich beim zweiten Dropdown unbedingt "Start-PIN bei TPM erforderlich" aktivieren soll. Dann erscheint zwar die PIN-Vergabe, wirft mir aber eine Fehlermeldung entgegen:

Daher habe ich noch weiter recherchiert und das hier gefunden:
https://www.windowspro.de/wolfgang-sommergut/bitlocker-key-pin-absichern

Das widerspricht aber Deinen Empfehlungen, oder liegt da ein Missverständnis vor?
In dem Blog werden diese Einstellungen empfohlen:

Bloß der erste Punkt "TPM nicht zulassen" wirkt widersprüchlich auf mich. Schaltet man damit TPM ab? Das möchte ich ja nicht?

Danke für Hilfe!

 

[PC295]

Bloß wenn ich das so wie Du hier konfiguriere, kann ich im Bitlocker-Setup später keinen PIN vergeben.

Du hast aber die Einstellungen nicht so konfiguriert, wie ich es im Screenshot zeige...
Du hast, wie auf deinem Screenshot rot unterstrichen, einige Einstellungen auf "nicht zulassen" gesetzt. Das funktioniert nicht.

 

[Humbold]

Achso, der Screenshot mit den roten Linien stammt vom Blog.
Ich habe schon deine Einstellungen gemacht, aber dann kommt die Fehlermeldung von oben?

So sieht es bei mir rechts aus, habe es mit deinen links abgeglichen:

 

[PC295]

Dann liegt es vermutlich daran, weil Bitlocker schon eingerichtet ist.
Du müsstest Bitlocker deaktivieren und neu mit PIN einrichten.

 

[Humbold]

@PC295 Danke, es lag am fehlenden Neustart, jetzt funktioniert es mit Deinen weiter oben genannten Einstellungen!

 

[Humbold]

Jetzt habe ich noch eine Frage: Ich habe testweise mal die PIN bewusst oft falsch eingegeben. Nach etwa 24-32 Versuchen wird die PIN gesperrt und ich kann nur den Wiederherstellungscode noch nutzen (funktioniert auch, alles prima).

Dann habe ich versucht, eine neue PIN zu vergeben, bin aber gescheitert. Zwar kann ich die in Windows ändern, dann wird aber beim nächsten PC-Start trotzdem wieder der Wiederherstellungscode verlangt. Was mahc ich hier falsch?

Ich habe gegoogelt, aber keine passende Hilfe gefunden. Muss ich wirklich das LW nach so einem "gesperrten / verbrauchten" PIN komplett entschlüsseln und nochmal neu verschlüsseln? Darf ich Dich hier nochmal um Hilfe bitten, @PC295 ?