Bitlocker: Konfiguration mit Boot-PIN – USB-Laufwerke erlauben keine Bitlocker-Verschlüsselung

Nutzt man eine Boot-PIN für mehr Sicherheit bei BitLocker, kann es passieren, dass sich USB-Laufwerke nicht mehr mit BitLocker verschlüsseln lassen.

Der TPM-Schutz von BitLocker ist zwar bequem, bietet aber Möglichkeiten der Umgehung. Daher gibt es die Möglichkeit einer PIN, welche beim Systemstart eingegeben werden muss.

Erst nach Eingabe der PIN wird die Festplatte entschlüsselt.

Allerdings hat diese Methode einen Nachteil, so kann es passieren, dass wir beim Versuch ein USB-Laufwerk zu verschlüsseln, mit einer Fehlermeldung konfrontiert werden.

❌ Die Gruppenrichtlinieneinstellungen für BitLocker-Startoptionen stehen in Konflikt und können nicht angewendet werden. Weitere Informationen erhalten Sie vom Systemadministrator.

Die Lösung ist in den Gruppenrichtlinien (gpedit.msc) (Administrative Vorlagen – Windows-Komponenten – BitLocker-Laufwerksverschlüsselung – Betriebssystemlaufwerke – Zusätzliche Authentifizierung beim Start anfordern) den Punkt „TPM-Systemstart-PIN konfigurieren“ auf „Systemstart-PIN bei TPM zulassen“ abändern. In unserem Fall war die erste Option ausgewählt, welche „Start-PIN bei TPM erforderlich“ lautet.

Die Boot-PIN bleibt erhalten und muss weiterhin eingetragen werden. Anschließend lassen sich USB-Laufwerke wieder verschlüsseln.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert