Startseite » wie man » So aktivieren Sie eine Pre-Boot-BitLocker-PIN unter Windows

    So aktivieren Sie eine Pre-Boot-BitLocker-PIN unter Windows

    Wenn Sie Ihr Windows-Systemlaufwerk mit BitLocker verschlüsseln, können Sie zur zusätzlichen Sicherheit eine PIN hinzufügen. Sie müssen die PIN jedes Mal eingeben, wenn Sie Ihren PC einschalten, noch bevor Windows startet. Dies ist unabhängig von einer Anmelde-PIN, die Sie nach dem Hochfahren von Windows eingeben.

    Eine Pre-Boot-PIN verhindert, dass der Chiffrierschlüssel während des Startvorgangs automatisch in den Systemspeicher geladen wird. Dies schützt vor DMA-Angriffen (Direct Memory Access) auf Systeme mit anfälliger Hardware. In der Dokumentation von Microsoft wird dies näher erläutert.

    Schritt 1: Aktivieren Sie BitLocker (falls noch nicht geschehen)

    Dies ist eine BitLocker-Funktion. Sie müssen die BitLocker-Verschlüsselung verwenden, um eine Pre-Boot-PIN festzulegen. Dies ist nur in den Professional- und Enterprise-Editionen von Windows verfügbar. Bevor Sie eine PIN festlegen können, müssen Sie BitLocker für Ihr Systemlaufwerk aktivieren.

    Wenn Sie BitLocker auf einem Computer ohne TPM nicht aktivieren, werden Sie aufgefordert, ein Startkennwort zu erstellen, das anstelle des TPM verwendet wird. Die folgenden Schritte sind nur erforderlich, wenn BitLocker auf Computern mit TPMs aktiviert ist, über die die meisten modernen Computer verfügen.

    Wenn Sie eine Home-Version von Windows haben, können Sie BitLocker nicht verwenden. Möglicherweise verfügen Sie stattdessen über die Geräteverschlüsselungsfunktion. Dies funktioniert jedoch anders als bei BitLocker und ermöglicht nicht die Angabe eines Startschlüssels.

    Schritt 2: Aktivieren Sie die Start-PIN im Gruppenrichtlinien-Editor

    Nachdem Sie BitLocker aktiviert haben, müssen Sie alles tun, um eine PIN damit zu aktivieren. Dies erfordert eine Änderung der Gruppenrichtlinieneinstellungen. Um den Gruppenrichtlinien-Editor zu öffnen, drücken Sie Windows + R, geben Sie "gpedit.msc" in das Dialogfeld "Ausführen" ein und drücken Sie die Eingabetaste.

    Gehen Sie zu Computerkonfiguration> Administrative Vorlagen> Windows-Komponenten> BitLocker-Laufwerkverschlüsselung> Betriebssystemlaufwerke im Gruppenrichtlinienfenster.

    Doppelklicken Sie im rechten Fensterbereich auf die Option "Zusätzliche Authentifizierung beim Start erforderlich".

    Wählen Sie oben im Fenster „Enabled“ aus. Klicken Sie dann auf das Kästchen unter "TPM-Startup-PIN konfigurieren" und wählen Sie die Option "Startup-PIN mit TPM erforderlich" aus. Klicken Sie auf "OK", um Ihre Änderungen zu speichern.

    Dritter Schritt: Fügen Sie Ihrem Laufwerk eine PIN hinzu

    Sie können jetzt die Manage-Bde Befehl, um die PIN zu Ihrem mit BitLocker verschlüsselten Laufwerk hinzuzufügen.

    Starten Sie dazu ein Eingabeaufforderungsfenster als Administrator. Klicken Sie unter Windows 10 oder 8 mit der rechten Maustaste auf die Schaltfläche Start und wählen Sie "Eingabeaufforderung (Admin)". Suchen Sie unter Windows 7 die Verknüpfung "Eingabeaufforderung" im Startmenü, klicken Sie mit der rechten Maustaste darauf und wählen Sie "Als Administrator ausführen".

    Führen Sie den folgenden Befehl aus. Der folgende Befehl funktioniert auf Ihrem Laufwerk C:. Wenn Sie einen Startschlüssel für ein anderes Laufwerk benötigen, geben Sie statt dessen den Laufwerksbuchstaben ein c: .

    manage-bde -protectors -add c: -TPMAndPIN

    Sie werden hier aufgefordert, Ihre PIN einzugeben. Beim nächsten Start werden Sie nach dieser PIN gefragt.

    Um zu überprüfen, ob der TPMAndPIN-Schutz hinzugefügt wurde, können Sie den folgenden Befehl ausführen:

    manage-bde -status

    (Der hier angezeigte Schlüsselschutz „Numerical Password“ ist Ihr Wiederherstellungsschlüssel.)

    So ändern Sie Ihre BitLocker-PIN

    Um die PIN zukünftig zu ändern, öffnen Sie ein Eingabeaufforderungsfenster als Administrator und führen Sie den folgenden Befehl aus:

    manage-bde -changepin c:

    Sie müssen Ihre neue PIN eingeben und bestätigen, bevor Sie fortfahren.

    So entfernen Sie die PIN-Anforderung

    Wenn Sie Ihre Meinung ändern und die PIN später nicht mehr verwenden möchten, können Sie diese Änderung rückgängig machen.

    Zuerst müssen Sie zum Gruppenrichtlinienfenster gehen und die Option wieder auf "Startup-PIN mit TPM zulassen" ändern. Sie können die Option nicht auf „Startup-PIN mit TPM anfordern“ belassen, da Windows die PIN nicht entfernen kann.

    Als nächstes öffnen Sie ein Eingabeaufforderungsfenster als Administrator und führen den folgenden Befehl aus:

    manage-bde -protectors -add c: -TPM

    Dadurch wird die Anforderung „TPMandPIN“ durch eine Anforderung „TPM“ ersetzt und die PIN gelöscht. Ihr BitLocker-Laufwerk wird beim Booten automatisch über das TPM Ihres Computers entsperrt.

    Um zu überprüfen, ob dies erfolgreich abgeschlossen wurde, führen Sie den Statusbefehl erneut aus:

    manage-bde -status c:


    Wenn Sie die PIN vergessen, müssen Sie den BitLocker-Wiederherstellungscode angeben, den Sie an einem sicheren Ort gespeichert haben sollten, als Sie BitLocker für Ihr Systemlaufwerk aktiviert haben.