Bitlocker vraagt om USB maar ik een PIN

Beste tweakers,

Sinds gister mijn TPM module en Bitlocker geinstalleerd. Echter heb ik de verkeerde optie gekozen namelijk de USB key unlock methode. Dat is handig want USB kan je verliezen en als iemand de USB drive heeft kan hij zo inloggen. Ik had dan ook voor PIN moeten kiezen. Diverse andere posts gelezen waar men (met of zonder TPM) een wachtwoord instellen (dat volgens mij niet hetzelfde is als PIN) maakt het alsmaar meer verwarrend.

Daarom jullie hulp. Hoe kan ik alsnog een bootup uitvoeren m.b.v. een PIN zonder USB support?

Heijmenberg99 schreef op zaterdag 22 december 2018 @ 12:57:
Bitlocker weer uitschakelen en opnieuw beginnen.

Dat is precies wat ik gedaan heb. En wederom gaat hij weer in USB stand.

Squ1zZy schreef op zaterdag 22 december 2018 @ 13:18:
Je kunt het beste even kijken welke opties zijn ingesteld in de local group policy editor.

Met deze instellingen blijft hij nog steeds usb booten.

PilatuS schreef op zaterdag 22 december 2018 @ 14:03:
Hierbij mijn settings voor een PIN (wachtwoord, geen getallen) zonder USB stick en met TPM.

Met jouw instellingen krijg ik de melding:



Zet ik de laatste 2 dropdowns terug naar "Allow startup key (and PIN) with TPM"
Als ik dan BitLocker opnieuw aanslinger krijg ik alleen de optie om een USB driver te selecteren:



Nergens een optie om een PIN in te voeren...

[ Voor 0% gewijzigd door tweakn00b op 22-12-2018 14:18 . Reden: img tags v/h 2de plaatje vergeten ]

PilatuS schreef op zaterdag 22 december 2018 @ 14:22:
Heb je het exact zo gedaan als bij mijn plaatje, dus ook geen vinkje boven aan bij Allow Bitlocker without.. ?

Verder volg je een guide en wat heb je nog meer ingesteld ? Ook in de UEFI moet je dingen veranderen en als je een volledig wachtwoord wil gebruiken moet je ook voor enchanced PIN kiezen. Als je geen guide volgt en alleen in dit (mijn screenshot) venster bezig bent dan gaat het niet werken.

Ja, inclusief de optie: "Allow BitLocker without a compatible TPM" unchecked

Ook de optie: "Allow enhanced PINs for startup" Enabled
En: "Configure use of passwords for OS drives" Enabled
+ Required password complexity
Minimum password length 10

Maar welke settings moet ik aanpassen in de UEFI?
Ik heb een Gigabyte B450M DS3H moederbord met een Bios versie F2.

[ Voor 0% gewijzigd door tweakn00b op 22-12-2018 14:33 . Reden: typo ]

PilatuS schreef op zaterdag 22 december 2018 @ 14:42:
Deze 2 heb ik aangepast:

Set CMS (Compatibility Mode) Disable in UEFI.
Set Boot UEFI Only in UEFI.

Verder zorgen dat de TPM ook echt aan staat in de UEFI.

Edit: Als je dan toch bezig bent, toevallig een SSD die hardware encryptie ondersteunt ? Wel zo handig om gebruik van te maken indien je SSD die optie heeft.

Als ik CMS Disable, dan blijft de PC in een UEFI -loop modus- en wordt Windows niet meer opgestart.
Set Boot UEFI Only optie wordt alleen weergegeven als CMS Enabled is.

Uiteraard had ik TPM al in de UEFI geactiveerd.
De C drive draait op een https://tweakers.net/pric...amsung-960-evo-250gb.html

Is het Clear-en van de TPM in UEFI nog een optie? En moet ik dan eerste alle drives decrypten om buitensluiting te voorkomen?

PilatuS schreef op zaterdag 22 december 2018 @ 15:30:
Begin nou maar gewoon stap voor stap alles op de juiste manier te doen met een herinstallatie. Als je kijkt naar alle stappen die nodig zijn ben je op de helft begonnen en heb je het eerste stuk overgeslagen. Dan is het ook niet vreemd dat je tegen problemen aanloopt. Ik zou sowieso ook voor hardware encryptie gaan.

Ik zal m'n backup terugplaatsen en laat je weten of het gelukt is.
Bedankt zover.

Wim-Bart schreef op zaterdag 22 december 2018 @ 17:26:
TPM uitschakelen. Daarna booten zonder Bitlocker (dat is heel belangrijk). Daarna vanuit Powershell een harde reset uitvoeren van TPM, dus een volledige herinitialisatie.

Daarna vanuit powershell Bitlocker inschakelen en handmatig de juiste opties opgeven (forceer pin).

Moet ik eerst alle partitie's decrypten alvoors een harde reset?

Er bestaat ook een TPM clear vanuit de UEFI naast de powershell
PS C:\> Clear-Tpm
wat is het verschil?

Wim-Bart schreef op zondag 23 december 2018 @ 23:22:
[...]
Als je niet decrypt en doet een reset vanuit bios of een clear-tpm ben je je data kwijt.

Dat risico wilde ook niet nemen, dus sinds gister avond is het systeem aan het decrypten.

PilatuS schreef op maandag 24 december 2018 @ 14:49:
[...]
Als je het met hardware encryptie gaat doen kost je dat straks 2 seconden

Misschien het toegang krijgen tot de informatie. Maar 2x 1TB encrypten duurde iets van 20 uur.

Na het clear-en (zowel via de BIOS en/of powershell) krijg ik wederom hetzelfde bericht: "The startup options on this PC are configured incorrectly. Contact your system administrator for more information."

@PilatuS wat betreft je "2 seconde" bewering zag ik gister idd. een video van iemand met een TPM chip en dat hij in no-time een drive volledig encrypte. Mijn methode was duidelijk niet o.b.v. hardward (de TPM chip) maar door dat geklooi in Local Policy Group een software resultaat geworden. Die methode is alleen als je over géén TPM beschikt.

Misschien zit ik er naast maar volgens mij zou het inpluggen van de chip en het activeren in de BIOS genoeg moeten zijn om TPM werkend te krijgen.

PilatuS schreef op dinsdag 25 december 2018 @ 15:04:
Ik weet zo niet waar er iets fout zit, maar juist daarom zou ik stap voor stap met een guide aan de slag gaan.

Heb je een link naar een goede guide? Het meeste wat ik zie zijn software matige TPM oplossingen.

PilatuS schreef op dinsdag 1 januari 2019 @ 17:11:
[...]


Had op de eerste pagina al een link gepost

Alleen voor Samsung moet je voor hardware encryptie even wat aanzetten en dan opnieuw Windows er op zetten.

Op het eerste gezicht lijkt dit ook een software oplossing... of ben ik nou gek?

PilatuS schreef op dinsdag 1 januari 2019 @ 17:47:
[...]
Is hardware. Wat dit stukje ook aangeeft:
[...]

7de regel onder - enable Bitlocker - staat:
"In my case I'm only using Bitlocker with a PIN, not a TPM chip or USB key."
M.a.w. een software oplossing, niet wat ik zoek.

@shadowman12 Ik heb antwoord gekregen van Gigabyte. Op een draaiend systeem kan je niet zomaar TPM installeren dat moet je al instellen voordat je met de Windows installatie begint. Of jij moet een andere methode kennen?!