Festplatten in HTPC mit Bitlocker verschlüsseln - mit Win10 Login PIN

24shorty

Cadet 4th Year
Registriert
März 2010
Beiträge
104
Hallo,
Ich habe einen HTPC zuhause. Aktuell nicht im 24/7 Betrieb.
Es ist ein Asrock B85M mit i3-4130 verbaut
Auf einer SSD läuft Windows 10

Außerdem habe ich 3 Festplatten darin, die ich gerne vershclüsseln würde. Da ich aber nicht immer lange Kennwörter beim starten eingeben will würde ich gerne quasi die Entschlüsselung an den Windows Login koppeln. Also wen ich im Windows die Pin eingebe sind die Platten da und ansonsten bei starten ohne Pin bleiben die Daten verschlüsselt und nach Ausbau braucht es das Passwort.

Nun wird mir beim einrichten von BitLocker angezeigt, dass ich kein TPM habe. Ich glaube es gibt Zusatzmodule fürs Mainbord und damit würde ich es dazu befähigen.
Wenn ich die Festplatten verschlüsseln will kommt nur die Option mittels Kennwort oder Smartcard. Beides will ich nicht. Kennwort wäre noch als Notlösung in Ordnung wenn dann wenigstens alle 3 HDDs gleichzeitig entschlüsselt werden, da identisches PW. Aber das ist nicht so, oder?

Kann man den Login so einstellen, dass nach 3 mal falsch eingegebenem PIN ein Kennwort abgefragt wird, statt neustart und/oder warten bis neue Pineingabe erlaubt ist?
 
Also die Verschlüsselung mit Windows Login koppeln funktioniert nur mit einem TPM Modul.
Sonst muss bei jeden Start halt der Festplattenschlüssel eingegeben werden.
Dieser ist natürlich für alle 3 Platten gültig.
Aber ich frage mich wozu ein HTPC verschlüsseln der zu Hause steht.
Mir würde das aufm Senkel gehen da jedes mal ein PW eingeben zu müssen.
 
evtl will ich ja im zweifel verhindern, dass fremde nach meinem ableben einfach meine pornosammlung finden ;)

Ist es korrekt, dass ich auf mein Board so eon Modul für 7Eur (ASRock TPM2-S Modul Infineon) stecken kann und dann TPM fähig bin?

Dann geht das also auch per Pin des Win Logins automatisch?

Und ja, es geht mir auch auf den Senkel. Eine 4 Stellige PIN eingeben ohne Enter und so weiter ist aber okay. Muss halt dann nur gewährleistet sein, dass man das nur 3 mal versuchen kann.

deswegen nochmal: "Kann man den Login so einstellen, dass nach 3 mal falsch eingegebenem PIN ein Kennwort abgefragt wird, statt neustart und/oder warten bis neue Pineingabe erlaubt ist? "
 
24shorty schrieb:
Ist es korrekt, dass ich auf mein Board so eon Modul für 7Eur (ASRock TPM2-S Modul Infineon) stecken kann und dann TPM fähig bin?

Selbst habe ich keine Erfahrung damit, aber nach der Beschreibung von Ascrock würde ich sagen "vermutlich ja".

Angesichts des Preises der ja nun wirklich nicht hoch ist - es wäre nett wenn Du es ausprobierst und hier Rückmeldung gibst.
 
Denke nicht, dass es das gibt.
 
24shorty schrieb:
hab eins gekauft. werde berichten
Bedenke bei deinem Vorhaben die Wichtigkeit des Recovery-Codes / Wiederherstellungsschlüssels. Im Worst Case, der immer genau dann eintritt, wenn man es nicht vermutet, wirst du aus Grund X per Passwort oder Recovery Key auf die Platte zugreifen müssen. Da du kein Passwort vor dem Systemstart verwendest gibt es folglich auch kein PW, was du durch die ständige Eingabe kennst. Somit ist es noch wichtiger den Recovery Key an einer sicheren Stelle außerhalb des Rechners in Reichweite zu haben. Es kann dir sonst u.U. leicht passieren, dass du dich aussperrst und nicht wieder an die Daten kommst (ohne PW / Recovery Key).
 
  • Gefällt mir
Reaktionen: Bob.Dig
Bob.Dig schrieb:
Denke nicht, dass es das gibt.
was gibt es nicht?
Ergänzung ()

M@rsupil@mi schrieb:
Bedenke bei deinem Vorhaben die Wichtigkeit des Recovery-Codes / Wiederherstellungsschlüssels. Im Worst Case, der immer genau dann eintritt, wenn man es nicht vermutet, wirst du aus Grund X per Passwort oder Recovery Key auf die Platte zugreifen müssen. Da du kein Passwort vor dem Systemstart verwendest gibt es folglich auch kein PW, was du durch die ständige Eingabe kennst. Somit ist es noch wichtiger den Recovery Key an einer sicheren Stelle außerhalb des Rechners in Reichweite zu haben. Es kann dir sonst u.U. leicht passieren, dass du dich aussperrst und nicht wieder an die Daten kommst (ohne PW / Recovery Key).
jo. ich bemühe mich. danke für die erinnerung
 
Das Teil ist gestern gekommen. Wird im Bios auch erkannt aber es wird als not supported beschrieben. Es scheint so als wäre ein kleines Bios update von Asrock nötig. Hab mal ein Ticket erstellt.
Ich glaube das alte Modul würde auch so funktionieren. Man findet aber eigentlich nur noch das TPM2-S und dazu braucht es ein BIOS update.
Schade eigentlich.
Komme ich meinem Wunsch, dass ich beim Start (und langer inaktivität) eine Pin eingeben will und alles nutzen kann und wenn jemand den Pin nicht hat er auf mindestens eine Festplatte nicht zugreifen kann auch anders näher?
 
R O G E R schrieb:
Aber ich frage mich wozu ein HTPC verschlüsseln der zu Hause steht.
z.B. als Prophylaxe gegen Hausdurchsuchungen.
 
@24shorty:
Je nachdem wie alt/jung dein PC ist, brauchst du vielleicht keinen separaten TPM-Chip. Es gibt schon seit einigen Jahren das sogenannte fTPM: TPM 2.0 im UEFI. fTPM arbeitet dann mit Intels ME bzw. AMDs PSP zusammen.

Schau mal im BIOS/UEFI, ob du eine Option mit dem Namen "fTPM", "Firmware-TPM", "PTT" (bei Intel-Systemen) oder "PSP" (bei AMD-Systemen) finden kannst.

Weiter kann ich sonst auch nicht helfen...
 
hab gestern antwort von asrock erhalten. die haben das aktuelle bios angepasst und nun funktioniert auch der tpm2-s!
sehr geiler service, dass die das innerhalb von 5 Tagen schaffen!
wer also ein srock board ohne tpm onboard aber mit steckplatz hat, der scheint für etwa 10eur so ein teil kaufen zu können. im notfall muss ein angepasstes bios vom service erfragt werden. ich hänge hier mal die v2.60 für das asrock b85m an.
Ergänzung ()

ich werde nun alle festplatten mit bitlocker verschlüsseln.
ohne jetzt jedes szenario durchzuspielen, ich gehe dann von folgendem verhalten aus:

  • wenn der pc aus ist und angeschaltet wird sind alle festplatten solange verschlüsselt/unlesbar, bis man den pin eingibt. dann sind sie nutzbar. wenn jemand den pin nicht hat kommt er also bei ausgeschaltetem pc nicht an die daten?!
  • wenn der pc an ist kann ich einstellen, dass nach einer weile bildschirmschoner angeht und bei reaktivierung die pin abgefragt wird. ohne vorhandene pin gibt es keine möglichkeit auf die daten zuzugreifen?!

bleibt die frage, ob es möglichkeiten gibt den schutz der einfachen pin zu erhöhen. ich will ungern mehr als 4 zahlen eingeben. bei 3 fehlversuchen soll aber nicht nur irgend eine kombination eingegeben werden müssen sondern mindestens neustart, gerne aber das kennwort, im zweifel auch der wiederherstellungscode, erfragt werden.
Ergänzung ()

Darkman.X schrieb:
@24shorty:
Schau mal im BIOS/UEFI, ob du eine Option mit dem Namen "fTPM", "Firmware-TPM", "PTT" (bei Intel-Systemen) oder "PSP" (bei AMD-Systemen) finden kannst.

schau ich heute nochmal. glaube ich aber nicht. hab im bios recht intensiv gesucht und zumindest das kürzel tpm habe ich nicht gefunden. selbst nach einbau des moduls steht davon nichts sondern das untermenü "Trusted Computing" erscheint.
 

Anhänge

Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Hayda Ministral
Ja ich weiß.
Asrock hat einen super geilen Support.
Die haben mir auch mal ein BIOS gemacht, weil meine alte TV-Karte nicht lief.
Ging wirklich flott und freundlich.
Also die Daten sind dann geschützt solange dein Rechner gesperrt ist.
Wenn du deinen Rechner nicht sperrst kann natürlich jeder der vorm Rechner sitzt die Daten lesen.
Also Festplatte ausbauen und in einen anderen Rechner packen ist nicht.
 
  • Gefällt mir
Reaktionen: Hayda Ministral und 24shorty
Zurück
Oben