Bitlocker und erweiterter PIN

[Netscape 11]

Hi,

 

ich möchte Bitlocker mit dem erweitertem PIN nutzen. Leider funktioniert das nicht so richtig.

 

Ich habe mehrere ThinkPad T420 mit TPM. GPO ist auch angepasst und somit sollten die Grundvoraussetzungen vorhanden sein.

 

Wenn ich aber einen PIN mit Buchstaben, zahlen und sonderzeichen wähle, klappt das nicht. Er meckert schon bei der erstmaligen Systemprüfung, dass der PIN nicht stimmt.

 

Nachdem Windows dann gestartet ist, sagt er mir ich solle einen PIN nur aus zahlen nehmen.

 

Woran liegt das?

[jarazul 10]

Die GPO "Allow enhanced PINs for Startup" ist aktiv?

 

cheers, Daniel

[Netscape 11]

Jep, die GPO hab ich aktiviert.

 

Wenn ich den PIN festlege, sagt er mir auch noch er soll zwischen 10 und 20 Zeichen (hab die Minimallänge des PIN´s auf 10 Zeichen gesetzt) lang sein.

[jarazul 10]

Merkwürdig..Habt ihr eine Kennwortkomplexitätsrichtlinie? Wenn ja, wähle einen PIN der dieser entspricht z.b dein Domain Passwort.

[Netscape 11]

Kennwortkomplexität ist auch aktiviert.

 

Aber das Kennwort, das ich gewählt habe, entspricht diesen. Es besteht aus Groß,- Kleinbuchstaben, Sonderzeichen und Zahlen.

[jarazul 10]

Der TPM Besitz wurde übernommen? Wird dies im BIOS und mittels tpm.msc angezeigt?

 

Wie hast du die Bitlocker Konfiguration vorgenommen, GPO ist eine Sache, per UI im Control Panel oder per manage-bde.exe Konsole?

[Netscape 11]

TPM Besitz wurde übernommen und wird so auch angezeigt.

 

Bitlocker habe ich auf dem Client über das UI aktiviert.

 

Habe auch folgendes probiert:

Bitlocker mit einem Passwort bestehend aus Zahlen aktiviert. Nach erfolgreicher Verschlüsselung habe ich diesen PIN mittels

manage-bde -changePIN

 

 

geändert, mit der folge dass er dass Passwort bestehend aus Groß,- Kleinbuchstaben, Sonderzeichen und Zahlen, nicht aktzeptiert hat und ich direkt den Wiederherstellungsschlüssel benutzen durfte.

[jarazul 10]

Dann scheint die Einstellung des Enhanced PINs nicht zu ziehen..Kannst du Bitlocker bitte so aktivieren:

 

manage-bde -proctectors -add c: -TPMAndPIN

 

zweimal den PIN eingeben und auf die Fehlermeldung warten. Erscheint folgende Fehlermeldung?:

 

An error occurred (code 0x8031009a) The requested TPM PIN contains invalid characters.

[jarazul 10]

Kannst du zusätzlich alle Parameter die du über die GPOs mitgibst auflisten?

 

cheers, Daniel

[Netscape 11]

Die GPO kommt auf dem client an. Hab ich geteset mit gpresult.

 

Ich werds dann mal über die cmd probieren. Dauert aber noch etwas, bis ich das getestet habe.

 

Hier schon mal die GPO Settings:

 

[zahni 550]

Die letzen Richtlinien zum TPM (ab "TPM-Start...") verwirren mich etwas...

 

Siehe auch hier: http://www.msxfaq.de/verschiedenes/bitlocker.htm

[Netscape 11]

Die letzen Richtlinien zum TPM (ab "TPM-Start...") verwirren mich etwas...

 

Siehe auch hier: MSXFAQ.DE - Bitlocker

 

Mit diesen Einstellungen in der GPO wird nur TPM in Kombination mit PIN erlaubt.

 

Alle Anderen Einstellungen (TPM alleine, TPM mit Schlüssel und PIN,... ) sind nicht erlaubt. Bzw. führt auch zu Fehlermeldungen, wenn mehrere aktiviert sind.

 

Wird in dem Link von dir auch noch mal erklärt.

 

Auszug aus deinem Link bei MSXFAQ

Das wird deutlich wenn Sie "TPM-Start konfigurieren" so interpretieren, dass damit TPM erst aktiviert/gefordert wird. Diese Einstellung steuert aber den Start mit "TPM alleine", also ohne weitere PIN oder Systemstartschlüssel (=USB-Laufwerk mit Key). Wenn Sie diese Option daher im Irrglauben "erforderlich" setzen und dann noch eine andere Option als erforderlich einstufen, haben Sie ihren Konflikt. Sie sollten also hier die Optionen verbieten, die sie nicht unterstützen wollen und genau einen Eintrag erzwingen. Oder sie lassen den Benutzern die Wahl zwischen verschiedenen Optionen und erzwingen keine Option.

[Netscape 11]

Dann scheint die Einstellung des Enhanced PINs nicht zu ziehen..Kannst du Bitlocker bitte so aktivieren:

 

manage-bde -proctectors -add c: -TPMAndPIN

 

zweimal den PIN eingeben und auf die Fehlermeldung warten. Erscheint folgende Fehlermeldung?:

 

An error occurred (code 0x8031009a) The requested TPM PIN contains invalid characters.

 

Also, habe das nun wie von dir beschrieben getestet. Ich bekomme dabei keine Fehlermeldung. Aber auch nach dem aktivieren über die CMD und anschließendem Test nimmt er den PIN mit Buchstaben, Zahlen und Sonderzeichen nicht.

 

Hier die Fehlermeldung:

[Netscape 11]

Hat den erweiterten PIN sonst noch keiner verwendet oder hab nur ich diese Probleme damit?

[Netscape 11]

Wie es aussieht, habe ich die Lösung gefunden.

 

Während des Bootvorgangs ist nur die Eingabe über ein US-Tastatur Layout unterstützt.

 

Habe nun zum testen ein Passwort bestehend aus Buchstaben (ohne Z und Y) und Zahlen genommen. Das hat funktioniert.

 

Werde dann noch ein paar andere Kombinationen testen aber das ist es.

 

When setting a BitLocker PIN by using the BitLocker setup wizard, the Manage-bde command-line tool, or through Windows Management Instrumentation (WMI) remote administration, you can use the wide character set. However, system firmware, either BIOS or Unified Extensible Firmware Interface (UEFI), may only support a standard EN-US keyboard and keymap during system startup.

 

Quelle: BitLocker Drive Encryption in Windows 7: Frequently Asked Questions