Bitlocker – Pre-Boot Bitlocker PIN aktivieren

Erhöhte Sicherheit bei der Bitlocker-Verschlüsselung zum Schutz vor Cold-Boot-Angriffen.

Bitlocker ist die Standardverschlüsselung für Windows-Systeme und Microsoft versucht hier einen Balanceakt zwischen Sicherheit und Bequemlichkeit zu bieten. In Normalfall hat der Rechner einen TPM-Chip, dieser stellt den Schlüssel bereit und Windows bootet ganz normal. Die Daten sind zwar verschlüsselt, aber als Anwender muss man kein extra Passwort beim Booten eingeben.

Was praktisch ist, kann dazu führen, dass die Verschlüsselung mittels Cold-Boot-Angriffen und spezieller Software umgangen werden kann. Abhilfe schaft eine PIN, welche vor dem Booten von Windows eingegeben wird.

Videoanleitung

Bitlocker aktivieren und Festplatte verschlüsseln

Sofern noch nicht geschehen, aktivieren wir zuerst die Bitlocker-Verschlüsselung. Dazu klicken wir mit der rechten Maustaste auf das Systemlaufwerk und klicken “BitLocker aktivieren” an. Hinweis: Bitlocker steht nur in der Professional und Enterprise Version von Windows zur Verfügung.

Im ersten Schritt müssen wir den Wiederherstellungsschlüssel abspeichern, dies können wir z.B. im Microsoft-Konto machen, alternativ können wir den Schlüssel auch Drucken oder in eine Textdatei speichern. Klicken Sie anschließend auf “Weiter”. Führen Sie den Wizard bis zum Ende durch und warten Sie anschließend die Verschlüsselung der Festplatte ab.

Start-Pin in Gruppenrichtlinien aktivieren

Nachdem Bitlocker aktiviert ist müssen wir die Start-Pin in den Gruppenrichtlinien aktivieren. Dazu drücken wir Windows-Taste + R und geben anschließend “gpedit.msc” ein und bestätigen mit Enter.

Hier gehen wir nun zu “Computerkonfiguration – Administrative Vorlagen – Windows-Komponenten – BitLocker-Laufwerksverschlüsselung – Betriebssystemlaufwerke”. Auf der rechten Seite finden wir den Eintrag “Zusätzliche Authentifizierung beim Start anfordern”.

In den Einstellungen aktivieren wir die Option und setzen die Einstellung “TPM-Systemstart-PIN konfigurieren” auf “Start-PIN bei TPM erforderlich”. Mit OK übernehmen wir die Einstellung.

Standardmäßig werden nur numerische PINs akzeptiert. Wer ein alphanumerisches Passwort verwenden möchte, kann dies ebenfalls im Gruppenrichtlinieneditor festlegen.

PIN für Laufwerk festlegen

Jetzt fehlt noch die PIN bzw. das Passwort. Dieses können wir auf der Eingabeaufforderung festlegen mit dem Befehl “manage-bde”. Wir öffnen eine Eingabeaufforderung mit Administratorrechten.

Anschließend geben wir den folgenden Befehl ein:

manage-bde -protectors -add c: -TPMAndPIN

Nun können wir eine PIN eingeben und bestätigen. Sollte ein Fehler auftreten, dass keine Pre-Boot-Tastatur gefunden wurde: “FEHLER: Ein Fehler ist aufgetreten (Code 0x803100b5):”

Mittels “manage-bde -status” können wir überprüfen, ob alles geklappt hat. Hier sollte “Numerisches Passwort” erscheinen.

Bitlocker PIN ändern

Eine Änderung der PIN ist ebenfalls in der Eingabeaufforderung möglich. Hierfür geben wir folgenden Befehl ein:

manage-bde -changepin c:

Reboot und Eingabe der PIN

Nun kommt der Moment der Wartheit, wir testen ob auch alles funktioniert. Dazu starten wir den Rechner neu. Beim Start werden wir nun zur Eingabe der PIN aufgerufen:

Erst nach Eingabe der PIN wird Windows geladen.

Bitlocker PIN entfernen

Natürlich können wir die PIN-Eingabe auch wieder entfernen. Zuerst öffnen wir wieder den Gruppenrichtlinien-Editor, hier setzen wir die Einstellung “Zusätzliche Authentifizierung beim Start anfordern” wieder zurück.

Nun öffnen wir wieder eine Eingabeaufforderung mit Admin-Rechten und geben folgenden Befehl ein:

manage-bde -protectors -add c: -TPM

Anschließend startet der Rechner wieder wie gehabt ohne Eingabe der Start-PIN und lädt den Schlüssel aus dem TPM-Chip.

5 Kommentare

  1. Hallo,
    danke für die gute Beschreibung, musste es kurzfristig an mehreren Laptops einrichten. Dank der Anleitung kein Problem!
    Eine Frage wie viele Fehlversuche hat man bei dem Startpin bevor man den langen Wiederherstellungsschlüssel eingeben muss ?

  2. Diese Anleitung scheint leider nicht mehr zu funktionieren. Nutze Win 11 Pro (Build 22631.3007) Nachdem ich die 2 Gruppenrichtlinien konfiguriert habe und CMD (als Admin) ausgeführt habe, um die Pin festzulegen, erscheint folgender Fehler:

    FEHLER: Ein Fehler ist aufgetreten (Code 0x803100cc):
    Die PIN darf nur Zahlen von 0 bis 9 enthalten.

    Scheinbar wird die Richtlinie “Erweiterte PINs für Systemstart erlauben” nicht übernommen. Ein Neustart brachte keinen Erfolg.

  3. Hallo,

    warum auch immer, werden die gesetzten Richtlinien nicht angewendet. Ich habe es jetzt hart im Registry hinterlegt und konnte jetzt auch das Kennwort setzen. Die Informationen zu den Registry Einträgen könnt ihr euch unter folgenden Links holen:

    https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.VolumeEncryption::ConfigureAdvancedStartup_Name&Language=de-de

    https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.VolumeEncryption::EnhancedPIN_Name&Language=de-de

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert