Wie lege ich die BitLocker-PIN fest?

15

Ich verwende Windows 7 RTM und habe beide physischen Laufwerke BitLockered. Da mein Computer ein TPM hat, bootet er beim Einschalten sehr gut. Aber meine Arbeitgeber würden es vorziehen, wenn ich beim Booten nach einem Passwort gefragt würde.

Ich habe den folgenden Artikel gefunden: http://4sysops.com/archives/review-windows-7-bitlocker/. Er gibt an , welche Gruppenrichtlinienflags festgelegt werden müssen, damit BitLocker beim Start nach einer PIN fragt.

Was ich nicht finden kann, ist, wie diese PIN festgelegt wird, wenn das System bereits verschlüsselt ist?

Ich bin auch auf http://technet.microsoft.com/en-us/library/dd875532%28WS.10%29.aspx gestoßen und bin gespannt, welche dieser Empfehlungen für ein bereits verschlüsseltes System sicher sind.

bitlocker Colin Desmond
quelle

Antworten:

22

Nehmen Sie die folgenden Änderungen vor, um die Antwort zu finden:

So aktivieren Sie TPM & PIN beim Booten:

Gehen Sie mit dem Gruppenrichtlinien-Editor (Start -> gpedit.msc und drücken Sie die Eingabetaste) zu:

Local Computer Policy > Computer Configuration > Administrative Templates > Windows Components > Bitlocker Drive Encryption > Operating System Drives

und öffne den Schlüssel

"Require additional authentication at startup"

Aktivieren Sie dann diesen Schlüssel und setzen Sie " Configure TPM startup Pin:" auf"Require startup PIN with TPM"

Verwenden Sie zum Festlegen der tatsächlichen PIN eine CMD-Eingabeaufforderung

manage-bde -protectors -add c: -TPMAndPIN

Dies fordert Sie zur Eingabe einer PIN auf, die Sie dann beim Booten eingeben müssen.

Colin Desmond
quelle
2
Ich denke, es ist "cscript manage-bde.wsf -protectors -add c: -TPMAndPIN" - richtig? Außerdem ist eine Änderung der Gruppenrichtlinie meines Erachtens nur erforderlich, wenn Sie die Verwendung von TPM + PIN auf anschließend verschlüsselten Volumes erzwingen möchten. In diesem Fall ist nur das Hinzufügen der PIN (über das Cmd "manage-bde") erwünscht. Wie auch immer, +1 für alle Details!
Garrett
Danke, wir haben in den letzten 2 Wochen nach dieser Antwort gesucht.
Richard Clayton
Unter Windows 8.1 müssen Sie die Gruppenrichtlinie ändern und den oben genannten Schlüssel aktivieren (Sie müssen ihn jedoch nicht in "Erforderlich" ändern; die Standardeinstellung "Zulassen" ist in Ordnung). Andernfalls schlägt der letztere Befehl fehl und fordert Sie auf, die Gruppenrichtlinie zu ändern.
Sam
Unter Windows 8.1 können Sie nach dem Aktivieren dieser Gruppenrichtlinie die PIN über die BitLocker-Konfigurations-GUI festlegen. Eine neue Option wird angezeigt: "Ändern, wie das Laufwerk beim Start entsperrt wird". Hier können Sie bequem eine PIN festlegen. Blogpost
Anton Kaiser
1

Windows 7 - Geben Sie im Suchfeld (Start) "cmd" ein, klicken Sie mit der rechten Maustaste auf das oben gefundene Programm; "cmd" und wählen Sie "Als Administrator ausführen". Verwenden Sie dann "manage-bde -protectors -add c: -TPMAndPIN" wie oben angegeben


quelle
0

http://technet.microsoft.com/en-us/library/dd875513(WS.10).aspx#BKMK_protectors

Führen Sie den Befehl admin aus, um die zugehörigen Protektoren zu löschen: cscript manage-bde.wsf -protectors -delete

Fügen Sie dann nur das TPM hinzu: cscript manage-bde.wsf -protectors -add -tpm

Um zu überprüfen, welche Protektoren von Ihrem System verwendet werden, führen Sie cscript manage-bde.wsf -status aus

Wenn Sie Win 7 verwenden, ändern Sie manage-bde.wsf in manage-bde.exe, und Sie können loslegen.


quelle