Bitlocker: PIN nachträglich hinzufügen

Bitlocker bietet bei Betriebsyystemfestplatten eine automatische Entsperrung, sofern der PC mit einem TPM ausgestattet ist. Das ist jedoch nicht immer gewollt. Häufig sehen Sicherheitskonzepte ein Gerätepasswort oder eine -PIN als zusätzlichen Sicherheitsfaktor vor.

Wenn die Festplatte bereits verschlüsselt ist, muss sie nicht erst aufwendig entschlüsselt und neu verschlüsselt werden, um den zweiten Sicherheitsfaktor zu aktivieren. Das ist mit wenigen Kommandos auch so möglich.

Gruppenrichtlinie anpassen

Zu aller erst wird die Gruppenrichtlinie bearbeitet, um eine PIN vorzuschreiben. Dazu öffnen wir die Microsoft Management Konsole: Start > Ausführen > gpedit.msc

Dort öffnen wir die Richtlinie für Betriebssystem-Laufwerke: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Bitlocker-Laufwerksverschlüsselung > Betriebssystemlaufwerke.

Gruppenrichtlinie zur Verschlüsselung von Betriebssystemlaufwerken

Um die Kombination TPM+PIN zu aktivieren, passen wir die Einstellung Zusätzliche Authentifizierung beim Start anfordern an. Zuerst wird die Option Bitlocker ohne kompatibles TPM zulassen deaktiviert, damit das TPM zwingend genutzt wird.

Die weiteren 4 Optionen sind leider schon im englischen Original verwirrent bezeichnet. Die maschinelle Übersetzung ins Deutsche hilft der Verständlichkeit ebenfalls nicht besonders. Wichtig ist hier, dass die Optionen sich gegenseitig widersprechen. Es können alle erlaubt werden (OR-Verknüpfung); erzwingt man jedoch eine Option, müssen die anderen 3 verboten werden (AND-Verknüpfung).

Wir stellen daher die Option TPM-Systemstart-PIN konfigurieren auf erforderlich. In den anderen 3 Dropdown-Feldern wählen wir nicht zulassen.

Die Einstellung erzwingt die Nutzung von TPM und PIN

Weitere Optionen können nach Bedarf angepasst werden, die meisten erfordern aber, dass das Laufwerk entschlüsselt und neu verschlüsselt wird. Sinnvoll ist evtl. die Vorgabe einer Mindestlänge für die PIN. Ebenfalls kann es sinnvoll sein, Standard-Benutzern das Ändern der PIN zu verbieten (z.B. bei Leihgeräten). Wir schließen den Gruppenrichtlinieneditor und erzwingen die Übernahme unserer Änderungen mit dem Befehl: Start > Ausführen > gpupdate.

PIN hinzufügen

Nun muss die PIN zu den Startoptionen hinzugefügt werden. Das muss geschehenm, bevor der PC neugestartet wird!

Dazu öffnen wir die Eingabeaufforderung CMD. Wichtig ist, dass dies mit administrativen Rechten geschieht. Hat man also die Benutzerkontensteuerung aktiviert, wird CMD mit Rechtklick und der Option Als Administrator starten geöffnet. Dort angelangt, geben wir den Befehl

manage-bde -protectors -add %systemdrive% -TPMAndPIN

ein. Windows nimmt die erforderlichen Änderungen an der Bitlocker-Konfiguration vor und verlangt eine PIN. Das war bereits alles. Abschließend kann der Erfolg mit dem Befehl

manage-bde -status

geprüft werden. Das sollte in etwa so aussehen:

Konsolenbefehle zum Hinzufügen der System-PIN

Beim nächsten Neustart erwartet Bitlocker unsere System-PIN, bevor es die Schlüssel aus dem TPM lädt. Durch diesen zusätzlichen Faktor werden Angriffe zum automatisierten Auslesen von Schlüsseln aus dem TPM unmöglich.

Eine benutzerspezifische Anmeldung, wie sie bei anderen Produkten üblich ist, wird hier leider nicht unterstützt. Mit Bitlocker kann lediglich eine Geräte-PIN hinterlegt werden, die für alle Nutzer gleich ist. Bei Leihgeräten empfieht es sich daher, Standard-Benutzern das Ändern der PIN per Gruppenrichtlinie zu verbieten (s.o.).

Selbstverständlich ist Passwort-Sicherheit immer nur so gut, wie das Passwort selbst. Verzichten Sie also auf einfache PINs wie 0000 oder 1234.

Kommentar hinterlassen