Über Bitlocker und wie es einzurichten ist haben wir in der Vergangenheit schon öfters berichtet. Heute möchten wir Euch zeigen, wie Ihr Bitlocker auch Geräten einsetzen könnt, die über keinen TPM Chip (Trusted Platform Module) verfügen.

Anwender, die keinen TPM Chip in Ihrem PC verbaut haben, erhalten in der Regel folgende Meldung bei der Aktivierung vom Bitlocker.

Auf diesem Geräte kann kein TPM verwendet werden. Der Administrator muss die Richtlinie "Zusätzliche Authentifizierung beim Start anfordern" für Betriebssystemvolumes die Option "Bitlocker ohne komplatibles TPM zulassen" festlegen.

Die genaue Fehlermeldung lautet wie folgt.

Auf diesem Geräte kann kein TPM verwendet werden. Der Administrator muss die Richtlinie „Zusätzliche Authentifizierung beim Start anfordern“ für Betriebssystemvolumes die Option „Bitlocker ohne komplatibles TPM zulassen“ festlegen.

Durch den Einsatz einer Gruppenrichtlinie ist es somit durchaus möglich, Bitlocker auch auf PC Systemen ohne TPM Chip einzusetzen. Microsoft hat genau für diesen Zweck eine Gruppenrichtlinie bereitgestellt, die Ihr unter folgendem GPO-Zweig findet.

Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Bitlocker-Laufwerksverschlüsselung / Betriebssystemlaufwerke

Hier findet Ihr dann die passende GPO mit dem Namen

Zusätzliche Authentifizierung beim Start anfordern

Zusätzliche Authentifizierung beim Start anfordern

Wenn Ihr diese GPO aktiviert, stehen Euch dann noch weitere Einstellungsmöglichkeiten zur Verfügung.

  • Bitlocker ohne kompatibles TPM zulassen (hierfür ist ein Kennwort oder ein USB-Flashlaufwerk mit Systemstartschlüssel erforderlich).
  • TPM-Start konfiguration.
  • TPM-Systemstart-PIN konfigurieren
  • TPM-Systemstartschlüssel konfigurieren
  • TPM-Systemstartschlüssel und PIN konfigurueren

Microsoft gibt zu diesen TPM Einstellungen noch folgende ausführliche Hilfe an.

Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob BitLocker bei jedem Computerstart eine zusätzliche Authentifizierung erfordert und ob Sie BitLocker mit oder ohne TPM (Trusted Platform Module) verwenden. Diese Richtlinieneinstellung wird bei Aktivierung von BitLocker angewendet.

Hinweis: Beim Start kann nur eine der zusätzlichen Authentifizierungsoptionen erforderlich sein, da andernfalls ein Richtlinienfehler auftritt.

Falls Sie BitLocker auf einem Computer ohne TPM verwenden möchten, aktivieren Sie das Kontrollkästchen „BitLocker ohne kompatibles TPM zulassen„. In diesem Modus ist für den Start entweder ein Kennwort oder ein USB-Laufwerk erforderlich. Bei Verwendung eines Systemstartschlüssels werden die Schlüsselinformationen, die zum Verschlüsseln des Laufwerks verwendet werden, auf dem USB-Laufwerk gespeichert, wodurch ein USB-Stick entsteht. Wenn der USB-Stick eingesteckt wird, wird der Zugriff auf das Laufwerk authentifiziert, und es kann auf das Laufwerk zugegriffen werden. Wenn der USB-Stick verloren geht, nicht verfügbar ist oder Sie das Kennwort vergessen haben, verwenden Sie eine der BitLocker-Wiederherstellungsoptionen, um auf das Laufwerk zuzugreifen.

Auf einem Computer mit einem kompatiblen TPM können beim Start vier Authentifizierungsmethoden verwendet werden, um zusätzlichen Schutz für verschlüsselte Daten zu bieten. Beim Start des Computers kann entweder nur das TPM für die Authentifizierung verwendet werden, oder es muss zusätzlich ein USB-Speicherstick mit einem Systemstartschlüssel eingesteckt werden und/oder eine 6- bis 20-stellige PIN (Personal Identification Number) eingegeben werden.

Wenn Sie die Richtlinieneinstellung aktivieren, können Benutzer erweiterte Startoptionen im BitLocker-Setup-Assistenten konfigurieren.

Wenn Sie die Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer auf Computern mit einem TPM nur grundlegende Optionen konfigurieren.

Hinweis: Wenn Sie die Verwendung einer Systemstart-PIN und eines USB-Speichersticks erzwingen möchten, müssen Sie die BitLocker-Einstellungen mithilfe des Befehlszeilentools „manage-bde“ und nicht über den Setup-Assistenten der BitLocker-Laufwerkverschlüsselung konfigurieren.

Somit sollte nun der Einsatz von Bitlocker auf PC-Systemen ohne TPM Chip nichts mehr im Wege stehen.

Weitere Infos zum Thema „Bitlocker“ findet Ihr auch hier:

– Auf diesem Gerät kann kein TPM verwendet werden… BitLocker unter Hyper-V nutzen
– BitLocker Verschlüsselung aktivieren bei Windows 10
– Windows Ordner mit Passwort verschlüsseln
– Manage-BDE – Das Windows Bitlocker Tool
– fTPM (Firmware Trusted Platform Module)