8
Fehlermeldung: Die GPO-Einstellungen für BitLocker stehen in Konflikt
Hallo zusammen
Ich bin dabei BitLocker für unser System zu testen und stehe beim Punkt wie ich BitLocker für 200 Geräte automatisch aktivieren kann.
Ich habe meiner Meinung nach alles konfiguriert was nötig ist, jedoch wird nach einem Neustart nicht nach einem PIN oder ähnlichem gefragt.
Wenn ich auf einem Testgerät, BitLocker manuell aktivieren will, erhalte ich eine Fehlermeldung (siehe Bild).
Das einzige was ich bei google gefunden habe, ist die Einstellung "Zusätzliche Authentifizierung beim Start anfordern", die richtig konfiguriert werden muss.
Laut einer Anleitung habe ich folgendes konfiguriert:
- BitLocker ohne kompatibles TPM zulassen
- TPM-Start konfigurieren: TPM zulassen
- TPM-Systemstart-PIN konfigurieren: Start-PIN bei TPM erforderlich
- TPM-Systemstartschlüssel konfigurieren: Startschlüssel bei TPM erforderlich
- TPM-Systemstartschlüssel und -PIN konfigurieren: Systemstartschlüssel und PIN bei TPM zulassen
Habe ich was vergessen?
Ich bin dabei BitLocker für unser System zu testen und stehe beim Punkt wie ich BitLocker für 200 Geräte automatisch aktivieren kann.
Ich habe meiner Meinung nach alles konfiguriert was nötig ist, jedoch wird nach einem Neustart nicht nach einem PIN oder ähnlichem gefragt.
Wenn ich auf einem Testgerät, BitLocker manuell aktivieren will, erhalte ich eine Fehlermeldung (siehe Bild).
Das einzige was ich bei google gefunden habe, ist die Einstellung "Zusätzliche Authentifizierung beim Start anfordern", die richtig konfiguriert werden muss.
Laut einer Anleitung habe ich folgendes konfiguriert:
- BitLocker ohne kompatibles TPM zulassen
- TPM-Start konfigurieren: TPM zulassen
- TPM-Systemstart-PIN konfigurieren: Start-PIN bei TPM erforderlich
- TPM-Systemstartschlüssel konfigurieren: Startschlüssel bei TPM erforderlich
- TPM-Systemstartschlüssel und -PIN konfigurieren: Systemstartschlüssel und PIN bei TPM zulassen
Habe ich was vergessen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2536054676
Url: https://administrator.de/contentid/2536054676
Printed on: April 27, 2024 at 20:04 o'clock
8 Comments
Latest comment
Ohne MBAM zu nutzen, kannst Du kein Bitlocking per GPO erzwingen. Hast Du denn MBAM?
Alternative ist Skripting, siehe Bitlocker-Verschlüsselung und -Monitoring ohne MBAM
Zu deinem Fehler: Die Meldung kommt in der Regel, wenn man lokal per Skript oder Registrykey Werte gesetzt hat UND ZUSÄTZLICH noch per GPO Dinge festlegt, die nicht zu den vorigen passen.
->Lösche am Client
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE
und mach danach ein gpupdate /force und teste erneut.
Dennoch wird ohne MBAM oder Skript nichts automatisiert bitlocken!
Alternative ist Skripting, siehe Bitlocker-Verschlüsselung und -Monitoring ohne MBAM
Zu deinem Fehler: Die Meldung kommt in der Regel, wenn man lokal per Skript oder Registrykey Werte gesetzt hat UND ZUSÄTZLICH noch per GPO Dinge festlegt, die nicht zu den vorigen passen.
->Lösche am Client
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE
und mach danach ein gpupdate /force und teste erneut.
Dennoch wird ohne MBAM oder Skript nichts automatisiert bitlocken!
1
Das mit dem MBAM bin ich am abklären.
Trotzdem sollte ich die Laufwerke ja manuell verschlüsseln können.
Deinen Weg mit dem Registry-Eintrag löschen, habe ich ausprobiert. Ich bekomme jedoch immer noch dieselbe Fehlermeldung.
Trotzdem sollte ich die Laufwerke ja manuell verschlüsseln können.
Deinen Weg mit dem Registry-Eintrag löschen, habe ich ausprobiert. Ich bekomme jedoch immer noch dieselbe Fehlermeldung.
Wie lauten denn die eingestellten GPOs für Bitlocker-Startoptionen?
"Netzwerkentsperrung beim Start zulassen" -> Nicht konfiguriert
"Sicheren Start für Integritätsüberprüfung zulassen" -> Nicht konfiguriert
"Zusätzliche Authentifizierung beim Start anfordern" ->
- BitLocker ohne kompatibles TPM zulassen
- TPM-Start konfigurieren: TPM zulassen
- TPM-Systemstart-PIN konfigurieren: Start-PIN bei TPM erforderlich
- TPM-Systemstartschlüssel konfigurieren: Startschlüssel bei TPM erforderlich
- TPM-Systemstartschlüssel und -PIN konfigurieren: Systemstartschlüssel und PIN bei TPM zulassen
"Minimale PIN-Länge für Systemstart konfigurieren" -> Aktiviert, Mindestanzahl von Zeichen: 6
Oder meinst Du etwas anderes?
"Sicheren Start für Integritätsüberprüfung zulassen" -> Nicht konfiguriert
"Zusätzliche Authentifizierung beim Start anfordern" ->
- BitLocker ohne kompatibles TPM zulassen
- TPM-Start konfigurieren: TPM zulassen
- TPM-Systemstart-PIN konfigurieren: Start-PIN bei TPM erforderlich
- TPM-Systemstartschlüssel konfigurieren: Startschlüssel bei TPM erforderlich
- TPM-Systemstartschlüssel und -PIN konfigurieren: Systemstartschlüssel und PIN bei TPM zulassen
"Minimale PIN-Länge für Systemstart konfigurieren" -> Aktiviert, Mindestanzahl von Zeichen: 6
Oder meinst Du etwas anderes?
Wenn ich mich nicht irre, darf man nicht beides, Start-PIN und Startschlüssel, erfordern.
Ich hab die Option "TPM-Systemstartschlüssel konfigurieren" auf Zulassen geändert. Oder denkst Du ich sollte es gleich auf "nicht zulassen" ändern?
Muss danach den Client sowieso frisch aufsetzen, da ich die GPO's wahrscheinlich nicht mehr anders wegbringe.
Muss danach den Client sowieso frisch aufsetzen, da ich die GPO's wahrscheinlich nicht mehr anders wegbringe.
Leider ist auch nach frisch aufsetzen das Aktivieren von BitLocker nicht möglich.
Ich denke irgendeine GPO passt nicht.
Kann es sein das es eine GPO ausserhalb von BitLocker ist die stört?
Ich denke irgendeine GPO passt nicht.
Kann es sein das es eine GPO ausserhalb von BitLocker ist die stört?
Ok, dann nimm ein Testsystem in einer Test-OU (VM) mach einen Snapshot, ordne dem System eine eigene Bitlocker-GPO zu und setze in dieser Stück für Stück die Einstellungen, so lange, bis es nicht mehr passt.
