Bitlocker wil C:\ niet versleutelen ondanks aanwezige TPM

maandag 9 maart 2020 16:24

Topicstarter

TPM wordt herkend in de bios.

Acties:

maandag 9 maart 2020 16:58

Topicstarter

Bij; Details beveiligingsprocessor
staat er:
Status: Niet gereed
Opslag: gereed

Bij foutberichten krijg ik:
Apparaatstatusverklaring is niet beschikbaar. Wis de TPM.

Dit heb ik gedaan, maar ik krijg exact dezelfde melding.

[ Voor 47% gewijzigd door ekoningg op 09-03-2020 16:28 ]

Acties:

maandag 9 maart 2020 17:01

Topicstarter

Deels opgelost.

Oplossing:
Extra authenticatie vereisen bij opstarten instellen op; Ingeschakeld
In: Gpedit.msc
computerconfiguratie/beheerssjablonen/windows onderdelen/bitlocker-stationsvergrendeling/systeemstations

Hier meer:
http://windowsbulletin.co...e-configured-incorrectly/

Onder kopje:
Activeer BitLocker op de schijf van het besturingssysteem

[ Voor 31% gewijzigd door ekoningg op 09-03-2020 21:02 ]

Acties:

johnkeates

Als je opstartopties niet kloppen is secure boot waarschijnlijk niet lekker. Heb je een UEFI boot methode of CSM?

maandag 9 maart 2020 21:01

Acties:

maandag 9 maart 2020 21:13

Topicstarter

Er is een nieuw probleem ontstaan, ik kom nu wel verder maar als Bitlocker opnieuw opstart
krijg ik deze melding:

Bitlocker kan niet worden ingeschakeld.
Het opgegeven gegevensstation is op de huidige computer niet ingesteld op automatisch ontgrendelen
en kan niet automatisch worden ontgrendeld
C: is niet versleuteld.

De key werd wel opgeslagen naar een USB stick
maar verder dan dit scherm kom ik niet meer.

Acties:

HKLM_

Post eens de output van powershell: manage-bde - status

Cloud ☁️

maandag 9 maart 2020 21:22

Acties:

maandag 9 maart 2020 21:32

Toen ik een paar jaar terug met Bitlocker begon ook al het gezeur gehad om de juiste config te vinden. Hier onder mijn persoonlijke lijstje om Bitlocker te laten werken met hardwarematige encryptie op een Samsung SSD met een wachtwoord zonder USB stick.

DO NOT INSTALL Intel RST.
Install Samsung Magician.
Check Encrypted drive is Enable in Samsung Magician.
Enable Bitlocker Enchanced Pin in Computer Policy - Run: gpedit.msc.

(Also see print/screenshot)

Goto: Local Computer Policy > Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives

Require Adition Information at Startup - Enabled and edit settings below:

Allow bitlocker without TPM - OFF
Configure TPM Startup - Allow TPM
Configure TPM Startup PIN - Allow startup PIN with TPM
Configure TPM Startup Key - Do not allow
Configure TPM Startup key and PIN - Do not allow

Allow enchanced PIN's for startup - Enabled

Configure use of hardware-based encryption for operating - Enabled

Edit: Verder nog deze 2 settings in de UEFI:

Set CMS (Compatibility Mode) Disable in BIOS.
Set Boot UEFI Only in BIOS.

Na dagen te hebben lopen prutsen toen der tijd ben ik nu binnen 5 minuten klaar.

[ Voor 8% gewijzigd door PilatuS op 09-03-2020 21:27 ]

Acties:

maandag 9 maart 2020 21:38

Los Angeles, CA, USA

PilatuS schreef op maandag 9 maart 2020 @ 21:22:
Toen ik een paar jaar terug met Bitlocker begon ook al het gezeur gehad om de juiste config te vinden. Hier onder mijn persoonlijke lijstje om Bitlocker te laten werken met hardwarematige encryptie op een Samsung SSD met een wachtwoord zonder USB stick.

[...]

Edit: Verder nog deze 2 settings in de UEFI:

Set CMS (Compatibility Mode) Disable in BIOS.
Set Boot UEFI Only in BIOS.

Na dagen te hebben lopen prutsen toen der tijd ben ik nu binnen 5 minuten klaar.

En dat doen we ook niet meer...

MS doet geen HW encryption meer: https://support.microsoft...ndows-10-update-kb4516071

Changes the default setting for BitLocker when encrypting a self-encrypting hard drive. Now, the default is to use software encryption for newly encrypted drives. For existing drives, the type of encryption will not change.

1) Zorg ervoor dat CSM UITSTAAT.
2) Zorg ervoor dat de juiste keys geladen zijn, dwz dat je in Microsoft Mode draait.
3) In het OS ga naar 'tpm.msc', rechtsboven klik je op 'Prepare the TPM'.

Klik erop, reboot, duw op F12 om te herinitializeren, en gaan met die banaan.

Going for adventure, lots of sun and a convertible! | GMT-8

Acties:

maandag 9 maart 2020 21:48

Snake schreef op maandag 9 maart 2020 @ 21:32:
[...]
En dat doen we ook niet meer...

Mij laatste herinstallatie is alweer een tijdje terug. Tot nu toe heb ik altijd nog mijn eigen guide gebruikt met het volgende resultaat:

Afbeeldingslocatie: https://tweakers.net/i/c_fXCWxC0UAxEjfBbaylEC77MqI=/f/image/6RIcrom6DtpvRf3JlzRyWqfU.jpg

Afbeeldingslocatie: https://tweakers.net/i/c_fXCWxC0UAxEjfBbaylEC77MqI=/f/image/6RIcrom6DtpvRf3JlzRyWqfU.jpg

Acties:

maandag 9 maart 2020 21:53

Los Angeles, CA, USA

PilatuS schreef op maandag 9 maart 2020 @ 21:38:
[...]

Mij laatste herinstallatie is alweer een tijdje terug. Tot nu toe heb ik altijd nog mijn eigen guide gebruikt met het volgende resultaat:

[Afbeelding]

Inderdaad, zo ziet mijne er ook uit.

Maar dat is niet meer van toepassing.

Als je vandaag probeert Encrypted Drive aan te zetten dan negeert Windows het gewoon.

https://www.ru.nl/icis/ne...rchers-discover-security/
https://portal.msrc.micro...idance/advisory/ADV180028

Going for adventure, lots of sun and a convertible! | GMT-8

Acties:

maandag 9 maart 2020 21:57

Snake schreef op maandag 9 maart 2020 @ 21:48:
[...]

Inderdaad, zo ziet mijne er ook uit.

Maar dat is niet meer van toepassing.

Als je vandaag probeert Encrypted Drive aan te zetten dan negeert Windows het gewoon.

https://www.ru.nl/icis/ne...rchers-discover-security/
https://portal.msrc.micro...idance/advisory/ADV180028

Volgens mij heeft mijn externe T3 van Samsung daar nog een firmware update voor gekregen. Van de 850 PRO staat mij daar ook iets van bij, maar weet het niet meer zeker.

Acties:

maandag 9 maart 2020 21:58

Topicstarter

HKLM_ schreef op maandag 9 maart 2020 @ 21:13:
Post eens de output van powershell: manage-bde - status

PS C:\> manage-bde -status
BitLocker Drive Encryption: Configuration Tool version 10.0.18362
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

ERROR: An attempt to access a required resource was denied.

Check that you have administrative rights on the computer.

Acties:

maandag 9 maart 2020 21:59

Los Angeles, CA, USA

PilatuS schreef op maandag 9 maart 2020 @ 21:53:
[...]

Volgens mij heeft mijn externe T3 van Samsung daar nog een firmware update voor gekregen. Van de 850 PRO staat mij daar ook iets van bij, maar weet het niet meer zeker.

Helaas wil dit zeggen dat het praktisch onmogelijk is om de C Drive met HW encryption te beveiligen aangezien dit moet gebeuren tijdens installatie. En tijdens installatie staat HW encryption uit.

Naderhand kan het aan worden gezet met GPO...

Going for adventure, lots of sun and a convertible! | GMT-8

Acties:

maandag 9 maart 2020 22:00

Los Angeles, CA, USA

ekoningg schreef op maandag 9 maart 2020 @ 21:57:
[...]

PS C:\> manage-bde -status
BitLocker Drive Encryption: Configuration Tool version 10.0.18362
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

ERROR: An attempt to access a required resource was denied.

Check that you have administrative rights on the computer.

Oh please. Beetje inzet.

https://www.howtogeek.com...nistrator-in-windows-8.1/

Going for adventure, lots of sun and a convertible! | GMT-8

Acties:

maandag 9 maart 2020 22:02

Topicstarter

1) Zorg ervoor dat CSM UITSTAAT.
2) Zorg ervoor dat de juiste keys geladen zijn, dwz dat je in Microsoft Mode draait.
3) In het OS ga naar 'tpm.msc', rechtsboven klik je op 'Prepare the TPM'.

Prepare the (voorbereiden) TPM is grijs kan ik niet op klikken.

Acties:

maandag 9 maart 2020 22:03

Los Angeles, CA, USA

ekoningg schreef op maandag 9 maart 2020 @ 22:00:
[...]

Prepare the (voorbereiden) TPM is grijs kan ik niet op klikken.

Post screenshot van de hele tpm.msc.

En ga eens naar diskmgmt.msc, en post screenshot.

Misschien dat je een partitie mist.

[ Voor 18% gewijzigd door Snake op 09-03-2020 22:03 ]

Going for adventure, lots of sun and a convertible! | GMT-8

Acties:

maandag 9 maart 2020 22:05

Topicstarter

HKLM_ schreef op maandag 9 maart 2020 @ 21:13:
Post eens de output van powershell: manage-bde - status

Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume E:
[Data Volume]

Size: 2794,39 GB
BitLocker Version: None
Conversion Status: Fully Decrypted
Percentage Encrypted: 0,0%
Encryption Method: None
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: None
Automatic Unlock: Disabled
Key Protectors: None Found

Volume F: [Lokale schijf]
[Data Volume]

Size: 465,76 GB
BitLocker Version: None
Conversion Status: Fully Decrypted
Percentage Encrypted: 0,0%
Encryption Method: None
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: None
Automatic Unlock: Disabled
Key Protectors: None Found

Volume G: [Lokale schijf]
[Data Volume]

Size: 465,76 GB
BitLocker Version: None
Conversion Status: Fully Decrypted
Percentage Encrypted: 0,0%
Encryption Method: None
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: None
Automatic Unlock: Disabled
Key Protectors: None Found

Volume L: [USB 2]
[Data Volume]

Size: 29,23 GB
BitLocker Version: None
Conversion Status: Fully Decrypted
Percentage Encrypted: 0,0%
Encryption Method: None
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: None
Automatic Unlock: Disabled
Key Protectors: None Found

Volume C: []
[OS Volume]

Size: 464,65 GB
BitLocker Version: None
Conversion Status: Fully Decrypted
Percentage Encrypted: 0,0%
Encryption Method: None
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: None
Key Protectors: None Found

Acties:

maandag 9 maart 2020 22:07

Snake schreef op maandag 9 maart 2020 @ 21:58:
[...]

Helaas wil dit zeggen dat het praktisch onmogelijk is om de C Drive met HW encryption te beveiligen aangezien dit moet gebeuren tijdens installatie. En tijdens installatie staat HW encryption uit.

Naderhand kan het aan worden gezet met GPO...

Ik weet het niet zeker, maar ik dacht dat deze regel later is toegevoergd in GPO waardoor het nog wel kan: Configure use of hardware-based encryption for operating system drives.

Met de vorige herinstallatie liep ik hier tegenaan.

[ Voor 4% gewijzigd door PilatuS op 09-03-2020 22:06 ]

Acties:

maandag 9 maart 2020 22:08

Topicstarter

Snake schreef op maandag 9 maart 2020 @ 22:02:
[...]

Post screenshot van de hele tpm.msc.

En ga eens naar diskmgmt.msc, en post screenshot.

Misschien dat je een partitie mist.

https://i.imgur.com/1zBHVSj.jpg

Acties:

maandag 9 maart 2020 22:09

Los Angeles, CA, USA

PilatuS schreef op maandag 9 maart 2020 @ 22:05:
[...]

Ik weet het niet zeker, maar ik dacht dat deze regel later is toegevoergd in GPO waardoor het nog wel kan: Configure use of hardware-based encryption for operating system drives.

Met de vorige herinstallatie liep ik hier tegenaan.

Dan moet je toch 2 stappen ondernemen:
1) Enable SED
2) Volledige herinstallatie (wipe de disk)
3) GPO aanpassen
4) Proberen.

De laatste firmware update die ik heb voor mijn 840 is van 2015. https://www.anandtech.com...leases-second-840-evo-fix

Going for adventure, lots of sun and a convertible! | GMT-8

Acties:

maandag 9 maart 2020 22:12

Los Angeles, CA, USA

ekoningg schreef op maandag 9 maart 2020 @ 22:07:
[...]

https://i.imgur.com/1zBHVSj.jpg

TPM is in orde

diskmgmt.msc nu.

Going for adventure, lots of sun and a convertible! | GMT-8

Acties:

maandag 9 maart 2020 22:12

Snake schreef op maandag 9 maart 2020 @ 22:08:
[...]
Dan moet je toch 2 stappen ondernemen:
1) Enable SED
2) Volledige herinstallatie (wipe de disk)
3) GPO aanpassen
4) Proberen.

Windows 2x moeten installeren heb ik ook wel eens gedaan:

Install Windows.
DO NOT INSTALL Intel RST.
Install Samsung Magician.
Set Encypted Drive to Enable in Magician - Do for all the drives.
Secure Erase SSD in BIOS.
Set CMS (Compatibility Mode) Disable in BIOS.
Set Boot UEFI Only in BIOS.

Alleen zodra je SED 1x aan hebt gezet, hoef je het niet nog een keer te doen.

Ik denk dat als de TS mijn guide volgt dat het gewoon nog kan.

Acties:

maandag 9 maart 2020 22:14

Los Angeles, CA, USA

PilatuS schreef op maandag 9 maart 2020 @ 22:12:
[...]

Windows 2x moeten installeren heb ik ook wel eens gedaan:

[...]

Alleen zodra je SED 1x aan hebt gezet, hoef je het niet nog een keer te doen.

Ik denk dat als de TS mijn guide volgt dat het gewoon nog kan.

De vraag is enkel: vertrouw je je SSD...

Going for adventure, lots of sun and a convertible! | GMT-8

Acties:

maandag 9 maart 2020 22:17

Topicstarter

diskmgmt.msc nu.

https://i.imgur.com/6I4vjXi.jpg
De c:\ is een M.2 SSD

[ Voor 14% gewijzigd door ekoningg op 09-03-2020 22:16 ]

Acties:

maandag 9 maart 2020 22:19

Los Angeles, CA, USA

ekoningg schreef op maandag 9 maart 2020 @ 22:14:
[...]

https://i.imgur.com/6I4vjXi.jpg

Nu heb ik zelf geen Windows machine bij me, maar ik denk dat hier het probleem zit. De locatie van je C-Drive partitie op de schijf.

Ik denk dat je beter af bent met:

1) backup van alle data van je C Drive
2) koppel alles af behalve je C Drive
3) MET EEN USB Recovery (niet vanuit Windows zelf) de disk wissen
4) Herinstalleren met die USB Recovery, dan staan je partities goed.

Going for adventure, lots of sun and a convertible! | GMT-8

Acties:

maandag 9 maart 2020 22:19

Topicstarter

Kan kloppen, windows wilde ook eerst niet installeren, ik moest eerst alle andere drives afkoppelen en enkel de M.2 SSD aangesloten laten.

Acties:

maandag 9 maart 2020 22:21

Snake schreef op maandag 9 maart 2020 @ 22:12:
[...]

De vraag is enkel: vertrouw je je SSD...

Dat de NSA er in kan komen of de AIVD dat zou dan best kunnen en dat is het probleem voor mij ook niet. Zo heel veel boeiends staat er toch niet op mijn PC. Het gaat mij voornamelijk om het makkelijk en veilig gebruik van mijn PC. Door aan het begin een Bitlocker wachtwoord te hebben kan ik in Windows overal ingelogt zijn zonder zorgen. Stel iemand breekt in of jat mijn PC, kan die persoon niet de PC aanzetten en in mijn email komen. Gezien de kennis die je nodig hebt om er in te komen ben ik zo goed als volledig beschermt tegen wie dan ook gezien de moeite, kennis en tijd die er nodig zou zijn om de boel te kraken. Verder is het ook gewoon fijn om het via hardware te doen omdat het encrypten dan direct klaar is. 2 dagen moeten encrypten bij iedere herinstallatie heb ik weinig trek in. Dus voor wat ik met mijn PC doe en waarom ik Bitlocker heb vind ik het wel prima.

Acties:

maandag 9 maart 2020 22:21

Topicstarter

Stel iemand breekt in of jat mijn PC, kan die persoon niet de PC aanzetten en in mijn email komen.

..dat is precies mijn reden ook.

Acties:

maandag 9 maart 2020 22:24

Topicstarter

Snake schreef op maandag 9 maart 2020 @ 22:17:
[...]

Nu heb ik zelf geen Windows machine bij me, maar ik denk dat hier het probleem zit. De locatie van je C-Drive partitie op de schijf.

Ik denk dat je beter af bent met:

1) backup van alle data van je C Drive
2) koppel alles af behalve je C Drive
3) MET EEN USB Recovery (niet vanuit Windows zelf) de disk wissen
4) Herinstalleren met die USB Recovery, dan staan je partities goed.

Thanmmks, ga ik proberen, nu even bedtijd.

Acties:

maandag 9 maart 2020 22:25

Los Angeles, CA, USA

PilatuS schreef op maandag 9 maart 2020 @ 22:19:
[...]

Dat de NSA er in kan komen of de AIVD dat zou dan best kunnen en dat is het probleem voor mij ook niet. Zo heel veel boeiends staat er toch niet op mijn PC. Het gaat mij voornamelijk om het makkelijk en veilig gebruik van mijn PC. Door aan het begin een Bitlocker wachtwoord te hebben kan ik in Windows overal ingelogt zijn zonder zorgen. Stel iemand breekt in of jat mijn PC, kan die persoon niet de PC aanzetten en in mijn email komen. Gezien de kennis die je nodig hebt om er in te komen ben ik zo goed als volledig beschermt tegen wie dan ook gezien de moeite, kennis en tijd die er nodig zou zijn om de boel te kraken. Verder is het ook gewoon fijn om het via hardware te doen omdat het encrypten dan direct klaar is. 2 dagen moeten encrypten bij iedere herinstallatie heb ik weinig trek in. Dus voor wat ik met mijn PC doe en waarom ik Bitlocker heb vind ik het wel prima.

Je hebt ook een boot-pin aanstaan?

Going for adventure, lots of sun and a convertible! | GMT-8

Acties:

maandag 9 maart 2020 22:26

Snake schreef op maandag 9 maart 2020 @ 22:24:
[...]

Je hebt ook een boot-pin aanstaan?

Gewoon een advanced PIN via de GPO zodat je ieder wachtwoord kan gebruiken.

Acties:

dinsdag 10 maart 2020 07:07

Los Angeles, CA, USA

PilatuS schreef op maandag 9 maart 2020 @ 22:25:
[...]

Gewoon een advanced PIN via de GPO zodat je ieder wachtwoord kan gebruiken.

Okay, ik begrijp je punten.

Ik wou gewoon je er op wijzen dat het niet meer zo gemakkelijk is om SED te enablen na die bepaalde patch.

Going for adventure, lots of sun and a convertible! | GMT-8

Acties:

dinsdag 10 maart 2020 08:12

Topicstarter

1) backup van alle data van je C Drive
2) koppel alles af behalve je C Drive
3) MET EEN USB Recovery (niet vanuit Windows zelf) de disk wissen
4) Herinstalleren met die USB Recovery, dan staan je partities goed.

Dat deed het hem, bitlocker heeft nu C:\ inderdaad versleuteld ging heel snel en zonder problemen nu. $_/-\o_$
Enkel.. om te testen wat er gebeurd als ik de pc uitzette en vervolgens weer aan de computer normaal opstart..
zonder de USB stick waar de key opstaat in de pc.
Een ww werd er tijdens Bitlocker versleuteling niet gevraagd enkel waar de key bewaard moest worden.
Het was juist mijn bedoeling Bitlocker zo te hebben dat wanneer de PC uitgezet zou worden of zou rebooten je eerst te maken krijgt met Bitlocker.

Kan zijn dat dit ermee te maken heeft:

Nadat u BitLocker hebt ingeschakeld , moet u de opstartsleutelvereiste inschakelen in het groepsbeleid van Windows. Als u de Groepsbeleid-editor wilt openen, drukt u op Windows + R op uw toetsenbord, typt u 'gpedit.msc' in het dialoogvenster Uitvoeren en drukt u op Enter.

Dank voor alle reacties.

[ Voor 17% gewijzigd door ekoningg op 10-03-2020 07:12 ]

Acties: