Die Feiertage sind da, und ich hatte tatsächlich etwas Zeit zum Zocken. Früher hatte ich dafür einen eigenen Rechner, heute reicht ein Dual Boot. Gearbeitet wird unter Linux, gezockt unter Windows. Dafür habe ich mein Windows auf einer gesonderten SSD installiert. Natürlich ist diese ebenfalls verschlüsselt, in diesem Fall mit BitLocker.
Warum erzähle ich das? Na, weil die SSD irgendwann aufgegeben hat und ich mein Windows neu installieren darf. Ein Backup spare ich mir, da es eh nur zum Zocken ist.
Windows 11 war „schnell“ wieder installiert. Dann noch alle Treiber usw. – Gott, ist das noch immer alles aufwendig… Wie auch immer: Windows 11 und die Games sind drauf. Los geht’s!
Nun fragt mich mein BitLocker bei jedem Start der Betriebssystemfestplatte nach dem BitLocker-Wiederherstellungsschlüssel, wenn ich vorher in meinem Linux war. Da zuckt so eine Erinnerung durch mein Hirn: Das gleiche hatte ich schon mal, am gleichen Rechner. Wie hatte ich das damals gelöst? Ich habe nichts darüber geschrieben, also ist es einfach weg. Diesen Fehler mache ich nicht noch mal. Also liest du gerade etwas darüber. 😄
Der Ausgangspunkt: Ein Windows 11 Pro, installiert auf einer SSD, inkl. BitLocker-Verschlüsselung und TPM mit PIN. Warum PIN? Ich fühle mich einfach besser, wenn es noch eine manuelle Hürde zur Entschlüsselung gibt; Ist auch egal, soll ja nun weg.
Terminal als Administrator ausführen und dann:
C:\Windows\System32> manage-bde -status BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.26100 Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten. Datenträgervolumes, die mit BitLocker-Laufwerkverschlüsselung geschützt werden können: Volume "C:" [System] [Betriebssystemvolume] Größe: 465,00 GB BitLocker-Version: 2.0 Konvertierungsstatus: Nur verwendeter Speicherplatz ist verschlüsselt Verschlüsselt (Prozent): 100,0 % Verschlüsselungsmethode: XTS-AES 128 Schutzstatus: Der Schutz ist aktiviert. Sperrungsstatus: Entsperrt ID-Feld: Unbekannt Schlüsselschutzvorrichtungen: Numerisches Kennwort TPM und PIN TPM C:\Windows\System32>
Schlüsselschutzvorrichtungen sind also numerisches Kennwort, TPM und PIN, sowie TPM. Was fehlt? Richtig, das Password. Da ich nur das Password möchte, kann im Grunde alles weg. Damit Windows 11 mir erlaubt, TPM von meinem Betriebssystemvolume zu entfernen, muss ich vorher noch eine Gruppenrichtlinie anpassen.
Dafür einfach die Tastenkombination Win + S drücken und nach Gruppenrichtlinie bearbeiten suchen.
Dann zu:
Computerkonfiguration ⇒ Administrative Vorlagen ⇒ BitLocker-Laufwerkverschlüsselung ⇒ Betriebssystemlaufwerke ⇒ Zusätzliche Authentifizierung beim Start anfordern.
Hier die Einstellung so ändern, dass der Haken bei „BitLocker ohne kompatibles TPM zulassen“ gesetzt ist.
Im Anschluss sicherstellen, dass die neue Gruppenrichtlinie auch angewendet wird. Dazu im Administrator-Terminal einfach ein kurzes:
PS C:\WINDOWS\system32> gpupdate /force Die Richtlinie wird aktualisiert... Die Aktualisierung der Computerrichtlinie wurde erfolgreich abgeschlossen. Die Aktualisierung der Benutzerrichtlinie wurde erfolgreich abgeschlossen. PS C:\WINDOWS\system32>
So, jetzt wird’s spannend. Erstmal alle Schlüsselschutzvorrichtungen deaktivieren, dann löschen, die neue Schlüsselschutzvorrichtung Password hinzufügen und alles wieder aktivieren. Das Ganze natürlich im Administrator-Terminal. Ich starte damit, alle Schlüsselschutzvorrichtungen zu deaktivieren:
C:\Windows\System32>manage-bde -protectors -disable C: BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.26100 Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten. Die Schlüsselschutzvorrichtungen für Volume "C:" sind deaktiviert.
Als Nächstes schaue ich nach, welche Schlüsselschutzvorrichtungen auf meinem Betriebssystemvolume eingerichtet sind.
C:\Windows\System32>manage-bde -protectors -get C: BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.26100 Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten. Volume "C:" [System] Alle Schlüsselschutzvorrichtungen Numerisches Kennwort: ID: {AF6C0AAD-B337-4519-8D66-C06386994D97} Kennwort: 673101-147301-650001-335379-291368-420618-438350-305327 Sicherungstyp: In Datei gespeichert TPM und PIN: ID: {D5F87162-5556-4C27-82F9-25B389DBAF1B} PCR-Validierungsprofil: 0, 2, 4, 11 TPM: ID: {CA1BF147-2C40-4934-9161-660FBB44BA2C} PCR-Validierungsprofil: 0, 2, 4, 11
Jetzt lösche ich alle Schlüsselschutzvorrichtungen anhand ihrer IDs:
C:\Windows\System32>manage-bde -protectors -delete C: -id {D5F87162-5556-4C27-82F9-25B389DBAF1B} BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.26100 Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten. Volume "C:" [System] Schlüsselschutzvorrichtung mit ID {D5F87162-5556-4C27-82F9-25B389DBAF1B} TPM und PIN: ID: {D5F87162-5556-4C27-82F9-25B389DBAF1B} PCR-Validierungsprofil: 0, 2, 4, 11 Die Schlüsselschutzvorrichtung mit der ID "{D5F87162-5556-4C27-82F9-25B389DBAF1B}" wurde gelöscht. C:\Windows\System32>manage-bde -protectors -delete C: -id {CA1BF147-2C40-4934-9161-660FBB44BA2C} BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.26100 Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten. Volume "C:" [System] Schlüsselschutzvorrichtung mit ID {CA1BF147-2C40-4934-9161-660FBB44BA2C} TPM: ID: {CA1BF147-2C40-4934-9161-660FBB44BA2C} PCR-Validierungsprofil: 0, 2, 4, 11 Die Schlüsselschutzvorrichtung mit der ID "{CA1BF147-2C40-4934-9161-660FBB44BA2C}" wurde gelöscht. C:\Windows\System32>manage-bde -protectors -delete C: -id {AF6C0AAD-B337-4519-8D66-C06386994D97} BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.26100 Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten. Volume "C:" [System] Schlüsselschutzvorrichtung mit ID {AF6C0AAD-B337-4519-8D66-C06386994D97} Numerisches Kennwort: ID: {AF6C0AAD-B337-4519-8D66-C06386994D97} Kennwort: 673101-147301-650001-335379-291368-420618-438350-305327 Sicherungstyp: In Datei gespeichert Die Schlüsselschutzvorrichtung mit der ID "{AF6C0AAD-B337-4519-8D66-C06386994D97}" wurde gelöscht.
Wenn ich jetzt noch einmal kontrolliere, welche Schlüsselschutzvorrichtungen ich habe, sollten dort keine mehr stehen.
C:\Windows\System32>manage-bde -protectors -get C: BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.26100 Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten. Volume "C:" [System] Alle Schlüsselschutzvorrichtungen FEHLER: Es wurden keine Schlüsselschutzvorrichtungen gefunden.
Damit kann ich jetzt meine neue, gewünschte Schlüsselschutzvorrichtung Passwort hinzufügen.
C:\Windows\System32>manage-bde -protectors -add C: -password BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.26100 Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten. Geben Sie das Kennwort ein, das zum Schützen des Volumes verwendet werden soll: Bestätigen Sie das Kennwort durch erneute Eingabe: Hinzugefügte Schlüsselschutzvorrichtungen: Kennwort: ID: {4D141862-4C75-4321-AA6D-8BABB89C601C}
Bleibt nur noch, diese auch zu aktivieren.
C:\Windows\System32>manage-bde -protectors -enable C: BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.26100 Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten. Die Schlüsselschutzvorrichtungen für Volume "C:" sind aktiviert.
Wenn ich jetzt den BitLocker-Status prüfe, ist alles aktiv, und es gibt nur noch die Schlüsselschutzvorrichtung Kennwort / Password!
C:\Windows\System32>manage-bde -status BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.26100 Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten. Datenträgervolumes, die mit BitLocker-Laufwerkverschlüsselung geschützt werden können: Volume "C:" [System] [Betriebssystemvolume] Größe: 465,00 GB BitLocker-Version: 2.0 Konvertierungsstatus: Nur verwendeter Speicherplatz ist verschlüsselt Verschlüsselt (Prozent): 100,0 % Verschlüsselungsmethode: XTS-AES 128 Schutzstatus: Der Schutz ist aktiviert. Sperrungsstatus: Entsperrt ID-Feld: Unbekannt Schlüsselschutzvorrichtungen: Kennwort
Starte ich meinen Computer und wähle im Grub Windows aus, werde ich danach nach meinem BitLocker-Kennwort gefragt, und das System fährt sauber hoch.
Schreibe einen Kommentar