Festplatten/SSDs: Daten vor Verkauf vernichten

[rongador]

Das entfällt bei Systemen mit TPM 2.0 - da wird das Passwort eben dort abgelegt

Das mag ich am liebsten immer selbst eingeben. Habe ich ja bewusst so gewählt. Damit niemand meinen PC startet und gleich Zugriff hat. Geht das da auch noch? Wie gesagt, habe Windows 10 und keinen Rechner, der Win 11 unterstützt, bin da aktuell nicht auf dem neuesten Stand diesbezüglich. Also kann man auch bei Windows 11 und TPM 2.0 noch sagen: "Nee, kein Passwort ablegen, ich will es bei jedem Start selbst eingeben"?

 

[mchawk777]

Das mag ich am liebsten immer selbst eingeben. Habe ich ja bewusst so gewählt.

Da gibt es ja auch einen verd...t guten Grund für:
Mit TPM 2.0 kommen sonst alle Leute, die physischen Zugriff auf Deinen PC haben, zumindest bis zum Login-Screen von Windows - und damit einem entschlüsselten Datenträgers.

Meinen Dienst-Laptop kann ich nur mit einer Chip-Karte und Passwort entschlüsseln. Eine schöne 2FA halt.

 

[rongador]

@mchawk777 Also ist es aber auch mit TPM 2.0 möglich, es so umzustellen, dass - wie bei mir - vor dem Starten von Windows der Bitlocker Screen mit Passwortabfrage kommt? Das will ich so auf jeden Fall beibehalten.

 

[Tarnari]

Sobald Du ein MS Konto verwendest oder in einem AD bist, passiert das automatisch.

Das ist nicht korrekt. BL-Keys landen nicht automatisch in einem Active Directory, falls du das so meinst.
Will man das haben, muss die Domäne mit entsprechenden GPOs konfiguriert sein.

 

[nutrix]

Jeder verantwortungsvolle Admin in einem Unternehmen wird das aber genau so machen. Überleg mal den Gau, wenn ein MA oder eine Führungskraft den Wiederherstellungsschlüssel verschlampen und sie dann nicht mehr auf ihr Gerät zugreifen können. 😉

Anders gesagt, ich habe bisher kein Unternehmen oder Behörde erlebt, die das nicht so machen.

Aber ja, man muß es natürlich vorher so konfigurieren.

 

[JumpingCat]

@nutrix Oder noch schlimmer das Gerät funktioniert gar nicht mehr weil von der Bahn überfahren oder in der Bahn vergessen.

Man speichert doch heutzutage eh alles in der Cloud oder auf Netzlaufwerken oder anderen System. Wem kümmert ein einzelens Endgerät noch?

btw, bei jedem drittem größerem Windows Update braucht man diese Keys inzwischen....

 

[rongador]

Man speichert doch heutzutage eh alles in der Cloud oder auf Netzlaufwerken oder anderen System. Wem kümmert ein einzelens Endgerät noch?

Äh, ich speichere nichts Wichtiges in der Cloud...... ich hoffe, es war Sarkasmus von Dir...

 

[nutrix]

Ich mach das sogar (natürlich separat verschlüsselt), weil die Sicherung dorthin sehr zuverlässig arbeitet.

 

[Tarnari]

@nutrix ich kenne mindestens eine Firma, in der das bisher so gehandhabt wird ^^

 

[rongador]

Ich klinke mich mal aus und beobachte den Thread nicht mehr - bekomme ständig Benachrichtigungen (was ja gut ist und toll funktioniert, aber ich habe ja meine Antwort. Danke!)

 

[mchawk777]

Also ist es aber auch mit TPM 2.0 möglich, es so umzustellen, dass - wie bei mir - vor dem Starten von Windows der Bitlocker Screen mit Passwortabfrage kommt? Das will ich so auf jeden Fall beibehalten.

Ja - da ich aber keine Lust habe zu Demo-Zwecken BitLocker zu aktivieren hier mal die gemini Pro-Beschreibung:

Ja, das ist absolut machbar. Auch wenn Windows 11 standardmäßig das TPM-Modul (Trusted Platform Module) bevorzugt, um den Boot-Vorgang "bequem" zu gestalten, kannst du BitLocker so konfigurieren, dass es ausschließlich ein Passwort (technisch gesehen ein "Start-Passwort" oder eine "PIN") verlangt.

Da Windows 11 Pro standardmäßig keine Verschlüsselung ohne TPM zulässt, musst du diesen Umweg über den Editor für lokale Gruppenrichtlinien gehen.

Schritt 1: Gruppenrichtlinien anpassen​

Damit Windows dir überhaupt erlaubt, BitLocker ohne TPM zu nutzen, musst du eine Sicherheitsregel lockern:

1. Drücke Win + R, gib gpedit.msc ein und bestätige mit Enter.
2. Navigiere auf der linken Seite zu folgendem Pfad:
   • Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke
3. Suche im rechten Fenster den Eintrag: "Zusätzliche Authentifizierung beim Start anfordern".
4. Doppelklicke darauf und setze den Status auf "Aktiviert".
5. Wichtig: Stelle sicher, dass unter den Optionen das Häkchen bei "BitLocker ohne kompatibles TPM zulassen" gesetzt ist.
6. Klicke auf "Übernehmen" und "OK".

---

Schritt 2: BitLocker aktivieren und Passwort festlegen​

Jetzt kannst du die Verschlüsselung für dein Systemlaufwerk (meist C starten:

1. Öffne das Startmenü, tippe "BitLocker verwalten" und öffne die Systemsteuerung.
2. Klicke neben deinem Betriebssystemlaufwerk auf "BitLocker aktivieren".
3. Windows prüft nun die Konfiguration. Dank der geänderten Gruppenrichtlinie erscheint nun die Option: "Beim Starten ein Kennwort eingeben".
4. Wähle diese Option und lege ein starkes Passwort fest. Dieses musst du ab sofort bei jedem Einschalten des Rechners eingeben, noch bevor Windows überhaupt lädt.

---

Wichtige Hinweise für die Einrichtung​

• Der Wiederherstellungsschlüssel: Speicher den Wiederherstellungsschlüssel unbedingt extern (z. B. auf einem USB-Stick, in deinem Microsoft-Konto oder als Ausdruck). Wenn du das Passwort vergisst, sind deine Daten ohne diesen Schlüssel unwiderruflich verloren.
• Keine automatische Anmeldung: Da die Entschlüsselung vor dem Laden des Betriebssystems stattfindet, ist dein System deutlich besser gegen physischen Diebstahl geschützt.
• Performance: Auf modernen SSDs merkst du im Alltag keinen Geschwindigkeitsunterschied durch die BitLocker-Verschlüsselung.

Meine Kritik an Microsoft ist daher nicht, dass es nicht geht - sondern, dass man extra Klimmzüge über die Gruppenrichtlinien manchen muss.

 

[rongador]

Hä, wieso bekomme ich trotzdem noch Desktopbenachrichtigungen, obwohl ich dem Beitrag hier nicht mehr folge? (nicht mehr "beobachte")?

 

[nutrix]

@nutrix ich kenne mindestens eine Firma, in der das bisher so gehandhabt wird ^^

Mag ja sein, daß manche Krauterbude das nicht so macht. Gut, ausdrucken und im Firmensafe aufbewahren ist auch eine Lösung. Oder dann ist die Arbeit der Kollegen mit den Geräten wohl nicht weiter wichtig genug, daß sie wieder arbeitsfähig sein müssen.

Und, was willst Du mir jetzt damit sagen? Viele machen es eben, und nicht ohne Grund. Ich finde die Sicherung des Bitlockerschlüssels im AD angenehm, so hat man immer ein Fallback.

 

[rongador]

Alter, wie schaltet man das ab!? Ich habe "Nicht mehr beobachten" angeklickt... wieso erhalte ich trotzdem noch Benachrichtigungen zu dem Thema hier? Das nervt.

Da steht jetzt nur noch "Beobachten" statt "Nicht mehr beobachten", also sollten die Benachrichtigungen zu dem Thema hier AUS sein. Wieso kommt dennoch ständig was?

 

[JumpingCat]

Sicherung des Bitlockerschlüssels im AD angenehm

In Microsoft we trust. Die wissen schon was die tun. Das gehört in deren Cloud. Nur dort ist das sicher!!1

</Ironie> oder auch leider Realität.

 

[Tarnari]

@nutrix Huch, warum so abwertend?
Ganz abgesehen davon, dass ich lediglich darauf hinweisen wollte, dass eben nicht wie zuvor gesagt automatisch irgendwas im AD landet.

 

[hobbebobbe]

Also ist es aber auch mit TPM 2.0 möglich,

Ja ist es. Lässt sich über die GPO einstellen.

 

[nutrix]

@nutrix Huch, warum so abwertend?

Jeder Admin, der ein bißchen mitdenkt, legt die GPO so an. Allein auf die Eigenverantwortlichkeit der MAs sollte wohl keiner setzen, da kann Dir wohl hier jeder Admin ein Lied davon singen, wie oft so ein Schlüssel verschlampt wird.

Ganz abgesehen davon, dass ich lediglich darauf hinweisen wollte, dass eben nicht wie zuvor gesagt automatisch irgendwas im AD landet.

Extra für Dich dann umformuliert: 🌻💐🌼🌺🌸

Sobald Du ein MS Konto verwendest oder in einem ordentlich administrierten AD bist (wo der vernünftige und verantwortungsvolle Admin dies per GPO einstellt), passiert das automatisch.

Das einzustellen gehört genauso zum guten Ton wie den Virenscanner zu aktivieren oder eine Firewall vor das Netz zu hängen. Manche Dinge sollten einfach selbstverständlich sein und den gängigen sachkundigen IT-Lern klar sein, wo man eigentlich keine Worte mehr verlieren sollte, oder? 😉