Windows 10 – Bitlocker mit USB-Stick zur Freischaltung nutzen

Bitlocker lässt sich auf verschiedene Art und Weisen nutzen. Standard ist die Nutzung mit TPM-Chip. Sofern der Computer dies unterstützt, bootet Windows direkt und verhält sich wie bei Nutzung ohne Bitlocker. Die Variante, welche ich nutze, fragt direkt vor dem Booten ein Passwort ab. D.h. es verhält sich so wie TrueCrypt es früher getan hat.

Video

Anleitung

Einrichtung des Schutzes

Eine weitere Alternative ist die Nutzung eines USB-Sticks. Das System bootet automatisch, sofern der richtige USB-Stick am Computer angeschlossen ist. Dies kann man z.B. an Serversystemen nutzen, welche aus der Ferne neu gestartet werden sollen und dann auch wieder booten können sollen.

Wie richtet man das Ganze ein?

Im ersten Schritt starten wir den Gruppenrichtlinieneditor. Dies können wir mit Windowstaste und R erledigen. Im Ausführen Dialog geben wir gpedit.msc ein.

Anschließend navigieren wird unter *Administrative Vorlagen -> Windows Komponenten -> Bitlocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke* zur Option „Zusätzliche Authentifizierung beim Start anfordern“.

In den Einstellungen muss die Option aktiviert werden, zusätzlich wird in der Unteroption „TPM-Systemstartschlüssel konfigurieren“ auf „Startschlüssel bei TPM erforderlich“ gesetzt:

Im nächsten Schritt wird der USB-Stick abgesteckt. Im Explorer schauen wir nun, welchen Laufwerksbuchstaben der Stick bekommt. Das brauchen wir gleich.

Nun öffnen wir eine „Eingabeaufforderung“. Dazu geben wir im Startmenü einfach cmd ein. Diese müssen wir mit Rechtsklick als Administrator ausführen.

Dort geben wir jetzt den folgenden Befehl ein:

manage--bde -protectors -add c: -TPMAndStartupKey e:

Den Befehl sollte man an die Laufwerksbuchstaben anpassen. „c:“ ist unser Systemlaufwerk, „e:“ ist unser USB-Laufwerk.

Anschließend können wir auf unserem USB-Laufwerk nach der Schlüsseldatei schauen:

Wird diese nicht angezeigt, muss man den Explorer erst konfigurieren, dass dieser versteckte Dateien anzeigt. Diese Datei wird beim Start geprüft. Daher sollte diese Datei nicht gelöscht werden. Ggf. empfiehlt sich auch ein Backup, für den Fall, dass der Stick kaputtgeht.

Anschließend starten wir den Rechner neu. Beim Start wird nun der USB-Stick abgefragt. Ist dieser am PC vorhanden, wird automatisch gebootet.

Entfernen des USB-Sticks von Bitlocker

Hat man es sich anders überlegt und möchte den PC wieder klassisch mit TPM oder Passwort freischalten, kann die Einstellung auch wieder zurückgesetzt werden.

Den aktuellen Status der Bitlockerverschlüsselung können wir mit folgendem Befehl prüfen:

manage-bde -status c:

Hier sieht man, dass derzeit „TPM und Startschlüssel“ eingestellt ist. Unser USB-Laufwerk ist hierbei der Startschlüssel. Diese Einstellung müssen wir entfernen.

Im ersten Schritt setzen wir die Einstellung in der Gruppenrichtlinie zurück:

Die Option lasse ich im Beispiel auf „Aktiviert“, da ich in Zukunft wieder ein Passwort beim Start eingeben möchte.

In der Kommandozeile führen wir folgenden Befehl aus:

manage-bde -protectors -delete C: -Type TPMAndStartupKey

Dies entfernt den USB-Stick als Schlüssel vom Medium.

Damit wir wieder den klassischen Schutz nutzen können, müssen wir die Methode wieder hinzufügen:

manage-bde -protectors -add c: -TPM
manage-bde -protectors -add c: -pw

Der erste Befehl fügt den normalen TPM-Schutz hinzu. Im zweiten wird eine Passphrase gesetzt, welche vor dem Booten eingegeben werden muss.

Hat alles geklappt, kann man den PC rebooten. Der Stick sollte nun nicht mehr abgefragt werden. Anschließend kann die Schlüsseldatei vom USB-Stick gelöscht werden.

Ein Kommentar

  1. Hat einwandfrei mit Windows 11 Pro 22H2 Build 22621.1778 funktioniert. Irritiert hat nur der Druckfehler „manage–bde -protectors -add c: -TPMAndStartupKey e: “. Da habe ich als Laie Zeit gebraucht, bis ich den Fehler gefunden habe.
    Danke!!

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert