Windows 10

Zusätzliche PIN-Abfrage für Bitlocker beim Windows-Start einrichten

Thomas Rieske arbeitet seit Oktober 2002 als freiberuflicher IT-Fachjournalist und Autor. Zu den Themenschwerpunkten des Diplom-Übersetzers zählen unter anderem Computersicherheit, Office-Anwendungen und Telekommunikation.
Mit Bitlocker gesicherte Systemlaufwerke werden beim Rechnerstart meist durch den auf dem TPM-Chip des PCs gespeicherten Schlüssel automatisch entsperrt. Der Anwender muss sich erst bei der Windows-Anmeldung authentifizieren. Unbefugte brauchen also nur das User-Passwort zu erraten, um auf Daten zuzugreifen.

Bitlocker-Optionen für Laufwerksverschlüsselung aufrufen

Sie können eine zusätzliche PIN vergeben, die abgefragt wird, wenn der Rechner bootet. Auf diese Weise muss beispielsweise ein Dieb eine zusätzliche Hürde nehmen, um Zugriff auf den Computer zu erhalten. Das Ganze lässt sich über eine Policy erreichen. Dazu starten Sie den Gruppenrichtlinien-Editor über den Befehl gpedit.msc im Ausführen-Dialog. Nun wechseln Sie auf der linken Seite zu Computerkonfiguration / Administrative Vorlagen / Windows Komponenten / Bitlocker-Laufwerksverschlüsselung / Betriebssystemlaufwerke.

Zusätzliche Authentifizierung mit Start-Pin konfigurieren

Im rechten Teil des Fensters doppelklicken Sie dann auf den Eintrag Zusätzliche Authentifizierung beim Start anfordern. Es öffnet sich ein neues Fenster, in dem Sie die Änderungen vornehmen können. Standardmäßig ist die Richtlinie nicht konfiguriert. Schalten Sie sie ein, indem Sie auf den oben platzierten Radio Button Aktiviert klicken. Wenn Sie den zusätzlichen Schutz erzwingen wollen, müssen Sie bei TPM-Systemstart-PIN konfigurieren in der Dropdown-Liste die Option Start-PIN bei TPM erforderlich auswählen. Bestätigen Sie zum Schluss mit OK, und schließen Sie den Editor für Gruppenrichtlinien.

Assistenten für Pin-Konfiguartion ausführen

Nach einem Neustart des PCs rufen Sie über die Systemsteuerung die Bitlocker-Verwaltung auf. Hier finden Sie jetzt den neu hinzugekommenen Punkt Ändern, wie das Laufwerk beim Start entsperrt wird. Wenn Sie auf diese Option klicken, startet ein Assistent, mit dessen Hilfe Sie die PIN konfigurieren können.

Die Standardlänge für die PIN beträgt vier Stellen. Wem das nicht ausreicht, kann über die Richtlinie Minimale PIN-Länge für Systemstart konfigurieren bis zu 20 Zeichen festlegen. Diese Policy finden Sie im selben Pfad wie die erstgenannte Richtlinie. (hal)