Bitlocker aktiviert - und nun?

[Steffen19_88]

Hallo zusammen,
ich habe windows 11 pro (original) und einen Laptop mit TPM Modul.
Nun habe ich Bitlocker aktiviert, den sicherheitskey ausgedruckt und dann ist "nichts mehr passiert".
Also es kam keine Aufforderung für ein langes passwort oder pin oder sonstiges, auch nicht nach dem PC Neustart.

Ist das normal? In wie weit ist mein PC denn jetzt sicherer als vorher?

Grüße

 

[Schori]

Neben deinem Laufwerk C im Explorer sollte nun ein Schloss zu sehen sein.
Sollte jmd deine Platte aus dem PC klauen kann er damit nichts anfangen.

Alles hier nachzulesen:

BitLocker – Wikipedia

de.wikipedia.org

 

[Steffen19_88]

Ahh okay, also wird sie durch den TPM chip im PC zugeordnet, beim ausbau wäre sie dann wertlos, weil die Verbindung zum Modul nicht mehr besteht?

 

[Schori]

Genau

 

[Incredible Alk]

Deine Systemplatte ist jetzt verschlüsselt und der Key ist deine TPM-Nummer. Bedeutet dein Systemlaufwerk funktioniert jetzt nur noch in genau deinem PC und sonst nirgends.

Deine Sicherheit erhöht das nur für den Fall, dass jemand bei dir einbricht und deine Systemplatte (einzeln!!) klaut. Persönlich halte ich das daher für völlig sinnlos, denn das passiert im Privatbereich nicht. Realistische Angriffe auf dich werden eher über Software erfolgen (während dein PC läuft = entschlüsselt ist) als über einen Hauseinbruch und selbst wenn letzterer stattfindet wird der Räuber nicht die SSD ausbauen sondern den ganzen PC mitnehmen...

Wenn du einen nennenswerten Schutz suchst musst du Bitlocker mit manuellem Code verwenden, so dass dein PC bei jedem Boot ein Passwort abfragt - dann kann der Dieb auch den ganzen PC klauen und es hilft ihm nichts. Das ist beispielsweise Standard bei Firmenlaptops.

 

[MezZo_Mix]

Deine Systemplatte ist jetzt verschlüsselt und der Key ist deine TPM-Nummer. Bedeutet dein Systemlaufwerk funktioniert jetzt nur noch in genau deinem PC und sonst nirgends.

Deine Sicherheit erhöht das nur für den Fall, dass jemand bei dir einbricht und deine Systemplatte (einzeln!!) klaut. Persönlich halte ich das daher für völlig sinnlos, denn das passiert im Privatbereich nicht. Realistische Angriffe auf dich werden eher über Software erfolgen (während dein PC läuft = entschlüsselt ist) als über einen Hauseinbruch und selbst wenn letzterer stattfindet wird der Räuber nicht die SSD ausbauen sondern den ganzen PC mitnehmen...

Wenn du einen nennenswerten Schutz suchst musst du Bitlocker mit manuellem Code verwenden, so dass dein PC bei jedem Boot ein Passwort abfragt - dann kann der Dieb auch den ganzen PC klauen und es hilft ihm nichts. Das ist beispielsweise Standard bei Firmenlaptops.

Na die Büromitarbeiter will ich sehen die täglich ihren Bitlocker Key eingeben müssen. Bei uns rasten die ja schon fast aus, wenn diese Nachricht grundlos auftaucht.

 

[Incredible Alk]

Na die Büromitarbeiter will ich sehen die täglich ihren Bitlocker Key eingeben müssen.

Macht bei uns absolut jeder zwingend. Es gibt keinerlei Laptops mehr im ganzen Konzern die keinen Bitlockerkey verlangen (und das sind Tausende).
Wenn du die Mitarbeiter vor die Wahl stellst, entweder sie bekommen einen neuen Laptop und Homeoffice mit Bitlockereingabe oder sie bekommen nichts und müssen weiterhin jeden Tag ins Büro kommen und am Stand-PC arbeiten entscheiden sich kurioserweise ausnahmslos alle für die erste Option.

Es geht ja nicht darum einen vollen Key abtippen zu müssen. Die Eingabe ist einfach ne 6-stellige Zahl.
Das mus nicht jahrzehntelang todessicher sein (ist sowas natürlich nicht), es muss nur reichen bis der Verlust des Endgerätes gemeldet wurde und dessen Zugang seitens der IT gesperrt wird - also etwa einen Werktag lang.
Lokal auf dem Gerät befindet sich sowieso nichts relevantes, es geht hauptäschlich um den Firmenzugang.

Du hast schon Recht damit dass Mitarbeiter von sowas immer genervt sind - aber die zeiten ändern sich schneller als Mitarbeiter. Es wird nicht mehr allzu lange dauern bzw. ist schon so wo Firmen (große gute Konzerne wo Leute hinwollen) sagen das ist unsere Policy, du hast das zu können und zu machen. Wenn du nicht kannst oder willst da ist die Tür. Die ganzen "mit dem PC will/kann ich nicht so"-Leute fliegen am Ende raus. Ob sie wollen oder nicht.

 

[Steffen19_88]

Danke für deine ausführliche Antwort Incredible Alk,
aber wie mache ich es dann korrekt?

Mir geht es darum, dass wenn ich unterwegs bin und mein Laptop abhanden kommt,
niemand an die Daten kommt, der Windows sperrbildschirm kommt nach 30-60 Sekunden.
Das heisst, dort würde man dann ja nicht mehr rankommen, und festplatte ausbauen geht auch nicht, weil durch TPM geschützt, oder täusche ich mich da?
Für mich wäre es okay einen zusätzlichen Bitlocker/key einzugeben beim Start, aber ich habe keine Aufforderung oder ähnliches dazu gefunden, also ich Bitlocker auf windows aktiviert habe.

Ich habe zudem auch einen Yubikey, wollte das gerne kombinieren, aber das scheint leider nicht so einfach zu sein, zumindest findet man da nur sehr wenig zu, gerade im deutschsprachigen Raum.