BitLocker Boot-Pin Lokal aktivieren

Bitlocker aktivieren

Geräte ohne TPM:

Zuerst müssen wir BitLocker aktivieren, dazu gehen wir in: "Systemsteuerung -> System und Sicherheit -> BitLocker-Laufwerksverschlüsselung" und gehen auf BitLocker aktivieren.

Danach kommt sicher ein fehler wie dieser hier:

Um diesen Fehler zu umgehen, müssen wir zuerst die Tastenkombination "Windows + R" drücken und dort "" eingeben.

Danach suchen wir dort in dem "Editor für lokale Gruppenrichtlinien" unter "Richtlinien für Lokaler Computer -> Computerkonfiguration -> Windows-Komponenten -> BitLocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke" nach der Einstellung "Zusätzliche Authentifizierung beim Start anfordern" und machen darauf ein Doppelklick.

Dann öffnet sich das Fenster "Zusätzliche Authentifizierung bei Start anfordern" dort wählen wir oben Links "Aktiviert" aus, die restlichen Werte können wir so lassen.

Wenn dies erledgit ist, gehen wir zurück in die Systemsteuerung und drücken erneut "BitLocker aktivieren". Danach lässt er das TPM Modul Außen vor.

Nun kannst du zwischen einem "USB-Speicherstick anschließen" und "Kennwort eingeben", der Rest ist selbst erklärend.

Geräte mit TPM:

• Zuerst müssen wir BitLocker aktivieren, dazu gehen wir in: "Systemsteuerung -> System und Sicherheit -> BitLocker-Laufwerksverschlüsselung" und gehen auf "BitLocker aktivieren".
  

  

  
  

• Wenn BitLocker die Festplatte fertig verschlüsselt und der Computer einen Neustart gemacht hat, können wir weitermachen.

Start PIN aktivieren:

• Als Nächstes drücken "Windows + R" und geben "gpedit.msc" ein.
  
  
  

• Dort unter "Richtlinien für Lokaler Computer -> Computerkonfiguration -> Windows-Komponenten -> BitLocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke" suchen wir uns die Einstellung
  "Zusätzliche Authentifizierung beim Start anfordern" und machen darauf ein Doppelklick.
  
  Als erstes ändern wir den Status "Nicht konfiguriert" auf "Aktiviert".
  
  

  

 

• Jenachdem ob ein PIN definitiv benutzt werden soll oder ob dies in den Systemeinstellungen noch geändert werden soll, tragen wir folgendes ein:
  
  Um den PIN definitiv zu verwenden ändern wir in den Optionen den Wert unter "TPM-Systemstart-PIN konfigurieren" von "Systemstart-PIN bei TPM zulassen" auf "Start-PIN bei TPM erforderlich"
  
  Um die Art in der Systemsteuerung noch ändern zu können lassen wir den Wert unter "TPM-Systemstart-PIN konfigurieren" bei "Systemstart-PIN bei TPM zulassen".
  
  
  
  
• Falls du anstatt einen Nummern PIN auch das Alphabet benutzen willst, änderst du noch die Einstellung "Erweiterte PINs für Systemstart zulassen", diese befinden sich ebenfalls unter "Richtlinien für Lokaler Computer -> Computerkonfiguration -> Windows-Komponenten -> BitLocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke".
  
  Diese aktivierst du.
  

   

  
  

• Wer möchte kann auch die Minimale PIN-Länge vorgeben, dazu öffnest du die Einstellung "Minimale PIN-Länge für Systemstart konfigurieren" welche ebenfalls unter "Richtlinien für Lokaler Computer -> Computerkonfiguration -> Windows-Komponenten -> BitLocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke" zu finden ist.
  
  Dazu ändert zu den Status von "Nicht konfiguriert" auf "Aktiviert" und gibst unter den Optionen deine Mindestanzahl von Zeichen an.
  
  
  

• Wenn wir nun zurück zu BitLocker in die Systemsteuerung gehen, haben wir nun die Option "Ändern, wie das Laufwerk beim Start entsperrt wird".
  

  

  
  Jenachdem was du gewählt hast funktioniert die Option oder nicht.
  
  Bei der Wahl von "Start-PIN bei TPM erforderlich" bekommst du nun folgenden Fehler:
  

  

• Um nun den PIN / Passwort zu verwenden, musst du eine Administrative CMD öffnen.
  
  Dort gibst du nun manage-bde -protectors -add c: -TPMAndPIN ein, im anschluss drückst du Enter und gibst deinen PIN / Passwort ein.
  Um den Status zu überprüfen kannst du in der CMD auch manage-bde -status eingeben.
  
  Falls du den PIN ändern willst, kannst du dies entweder in der Systemsteuerung unter BitLocker machen oder per CMD mit dem Befehl manage-bde -changepin c:
  
  
  Bei der Wahl von "Systemstart-PIN bei TPM zulassen" kannst du einfach weiter in der Systemsteuerung unter BitLocker-Laufwerksverschlüsselung machen und dort "Ändern, wie das Laufwerk beim Start entsperrt wird" auswählen, der Rest ist selbsterklärend.