Bitlocker
Bitlocker kann verschlüsselt werden durch:
- TPM-Modul (transparent)
- TPM + PIN oder enhancced PIN
- USB-Key
- Kennwort
- RecoveryKey
Beim Aktivieren von Bitlocker den Recovery-Key unbedingt dauerhaft sichern!
Bitlocker wird teilweise (Windows 11 ab 24H2) automatisch aktiviert.
Speicherorte und workarounds:
- wenn der PC noch zugreifbar und Bitlocker ist aktiv, dann SOFORT Recovery-Key sichern!
- bei MS Onlinekonten: Key befindet sich (meist) im MS-Account
- Azure/Entera-ID Konto gewinnt offenbar vor persönlichem MS-Konto
- falls ein BIOS-Update den BL-Key verlangt und dieser nicht bekannt ist: BIOS-Update zurück rollen
Per Default verschlüsselt Bitlocker nur mit AES-128.
Per GPO kann man AES CBC 256 aktivieren. (Performance)
Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Bitlocker-Laufwerksverschlüsselung
–> «Verschlüsselungsmethode und Stärke wählen» - aktivieren
–> «Verschlüsselungsmethode für Wechsellaufwerke wählen» - AES CBC 256-Bit
Bitlocker per GPO aktivieren:
Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Bitlocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke
–> «Konfigurieren von TPM-Systemstart-PIN» und «Require Start-PIN Bei TPM» wählen
Status abfragen: CMD-Befehl
manage-bde -statusPreboot-PIN-Abfrage aktivieren:
manage-bde -protectors -add c: -TPMandPINPIN ändern:
manage-bde -changepin c:PIN-Abfrage wieder deaktivieren:
manage-bde -protectors -add c: -TPMBitlocker suspendieren für HD-Wartung, Bios-Updates u.ä. (Bsp. LW X):
- per GUI in Bitlocker Verwaltung: Schutz anhalten / fortsetzen
- per PowerShell: Suspend-BitLocker -MountPoint "X:"
- per PS, nur System-LW, für 1-9 Neustarts, 0= ewig: Suspend-BitLocker -MountPoint "<drive letter>:" -RebootCount <restarts>
- per CMD: manage-bde -protectors -disable X:
oder manange-bde -protectors -disable X: -rc 5 (pausiert für 5 Neustarts)
Siehe auch: Verschlüsselung
Ext. Links:
• Administrator.de Wissenssammlung Bitlocker ,
• dateibasierter Bitlockerprotektor zu Recovery- und Supportzwecken