Ich habe es gerade über die Gruppenrichtlinien hinbekommen. Hier lässt sich die standardisierte Verschlüsselungsmethode auswählen.

[list]Gruppenrichtlinien öffnen[/list]
[list]Computerkonfiguration[/list]
[list]Administrative Vorlagen[/list]
[list]Windows-Komponenten[/list]
[list]Bitlocker-Laufwerksverschlüsselung[/list]
[list]Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerke auswählen[/list]

Diesen Eintrag aktivieren und XTS-AES 256-Bit auswählen.

Nun wird bei neuen Verschlüsselungen die ausgewählte Verschlüsselungsstärke angewandt.

Problem gelöst.

Erneut ein herzliches Dankeschön für die wirklich tolle Unterstützung!!

Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -RecoveryPasswordProtector

Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -RecoveryPasswordProtector

versuche bitte das noch mal:
[code]Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -RecoveryPasswordProtector[/code]
für vollständige Verschlüsselung.
oder
[code]Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -RecoveryPasswordProtector
[/code]
das mit dem -Full funzt wohl doch nicht.

PS C:\WINDOWS\system32> Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -Full
Enable-BitLocker : Der Parametersatz kann mit den angegebenen benannten Parametern nicht aufgelöst werden.
In Zeile:1 Zeichen:1
+ Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -Full
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidArgument: (:) [Enable-BitLocker], ParameterBindingException
    + FullyQualifiedErrorId : AmbiguousParameterSet,Enable-BitLocker

Hallo Holgi,

ich möchte nachfolgend auf deine ausführliche Hilfestellung (Top!!) eingehen:

[quote=Holgi post_id=447876 time=1756620994 user_id=40152]
Powershell:
[code]Get-BitLockerVolume | Format-List MountPoint,EncryptionMethod,VolumeStatus[/code]
[/quote]

Ist die XtsAES128 Verschlüsselung, dies hatte ich bereits im Vorfeld geprüft gehabt.


[quote=Holgi post_id=447876 time=1756620994 user_id=40152]
Schritt 2: Laufwerk entschlüsseln
Damit du auf 256-Bit wechseln kannst, musst du erst entschlüsseln:
[code]Disable-BitLocker -MountPoint "C:"[/code]
Der Vorgang dauert je nach VM-Größe.
Fortschritt prüfen:
[code]Get-BitLockerVolume | Select MountPoint, VolumeStatus, EncryptionPercentage[/code]
Warte, bis VolumeStatus = FullyDecrypted ist.
[/quote]

Durchgeführt, Ergebnis = FullyDecrypted


[quote=Holgi post_id=447876 time=1756620994 user_id=40152]
Schritt 3: Verschlüsselungsmethode auf 256-Bit setzen
Jetzt für künftige Verschlüsselung XTS-AES 256 vordefinieren.
[code]Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly[/code]
[/quote]

Ausgeführt, Meldung war folgende:

[code]PS C:\WINDOWS\system32> Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -Full
Enable-BitLocker : Der Parametersatz kann mit den angegebenen benannten Parametern nicht aufgelöst werden.
In Zeile:1 Zeichen:1
+ Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -Full
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidArgument: (:) [Enable-BitLocker], ParameterBindingException
+ FullyQualifiedErrorId : AmbiguousParameterSet,Enable-BitLocker[/code]

Da mir solchen Meldungen nicht viel sagen, war ich mit dieser Fehlermeldung etwas überfordert. Ich werde jedoch gleich noch Tante Google anschmeißen. Ich befürchte zunehmend mehr, dass sich unter Windows ARM und/oder einer VM keine andere Verschlüsselungsmethode wählen lässt, da bei der Aktivierung von Bitlocker über das GUI entgegen mancher Anleitungen keine Abfrage zur Verschlüsselungsmethode kommt.


[quote=Holgi post_id=447876 time=1756620994 user_id=40152]
Problem2 > Fehlversuche/Retry-Limit bei PIN:
dies ist in Parallels-VMs nicht verfügbar, weil Microsoft diese Funktion für virtuelle TPMs deaktiviert.
[/quote]

Danke, wusste ich nicht.


[quote=Holgi post_id=447876 time=1756620994 user_id=40152]
Für maximale Sicherheit solltest du eine starke PIN wählen (Kombination aus Buchstaben, Zahlen, Sonderzeichen) und dein Parallels VM Image verschlüsseln (nicht nur Bitlocker, sondern direkt aus Parallels):
[/quote]

Eine starke alphanumerische PIN wurde bereits gesetzt. Die zusätzliche Verschlüsselung über Parallels war ein guter Hinweis. Das hatte ich noch nicht in Betracht gezogen.


[quote=Holgi post_id=447876 time=1756620994 user_id=40152]
macOS selbst absichern:
FileVault aktivieren (Systemeinstellungen > Datenschutz & Sicherheit > FileVault) verschlüsselt die gesamte SSD deines MacBook.
Sicheres Passwort für den Mac-Login wählen, nicht nur Touch ID.
Falls du Time Machine nutzt > sicherstellen, dass Backups verschlüsselt sind.
[/quote]

Trifft bereits alles zu.


[quote=Holgi post_id=447876 time=1756620994 user_id=40152]
Interessant finde ich, dass du wohl schon so einige Jahre Erfahrung mit Windows 11 ARM sammeln konntest (seit 2021 ?).
Leider fehlt mir noch die entsprechende Hardware (Snapdragon, Apple Silicon Mac); sonst hätte ich da wohl auch schon mal mit experimentiert.
[/quote]

Du, ich bin der klassische Anwender. Ich experimentierte gerne, doch ich spüre mit zunehmenden Alter, dass ich immer weniger bei der Entwicklung mitkomme :kopfkratz:

Danke, ich nehme mich nun erneut der XTS-AES 256 unter Windows 11 Pro ARM mit Bitlocker an. Wobei ich mit der weiteren Verschlüsselung der Parallels VM vermutlich schon sehr gut geschützt bin.

VG

Hallo,

da ich noch unterwegs bin, komme ich erst heute Abend dazu mir das alles in Ruhe anzuschauen. Jedoch schon jetzt herzlichen Dank für die interessanten und ausführlichen Hilfestellungen. Ihr seit klasse!!

manage-bde -setidentifier C: "MeinLaufwerk001"

[quote=Wernii post_id=447897 time=1756635295]
Holgi was ist das: ID-Feld
[/quote]

Das ID-Feld ist ein optionales Feld, das über den Befehl manage-bde -setidentifier gesetzt werden kann. Es dient dazu, ein BitLocker-verschlüsseltes Laufwerk mit einer benutzerdefinierten Kennung zu versehen – z. B. für organisatorische Zwecke oder zur leichteren Identifikation in größeren IT-Umgebungen.
Wenn dort „unbekannt“ steht, heißt das einfach:
Es wurde kein Identifier gesetzt.
Das Laufwerk funktioniert trotzdem ganz normal mit BitLocker.
Es hat keine Auswirkungen auf die Verschlüsselung oder Sicherheit.

Falls du möchtest, kannst du einen Identifier manuell setzen, z. B.:

[code]manage-bde -setidentifier C: "MeinLaufwerk001"[/code]
Danach zeigt manage-bde -status im ID-Feld diesen Wert an.

„ID-Feld: unbekannt“ ist kein Fehler, sondern nur ein Hinweis darauf, dass du keinen benutzerdefinierten Identifier vergeben hast. Du kannst das Feld ignorieren – oder es nutzen, wenn du dein Laufwerk eindeutig benennen willst, etwa in einer Unternehmensumgebung.

siehe hier [url]https://support.microsoft.com/de-de/windows/suchen-des-bitlocker-wiederherstellungsschl%C3%BCssels-6b71ad27-0b89-ea08-f143-056f5ab347d6 [/url] bzw [url]https://learn.microsoft.com/de-de/windows/security/operating-system-security/data-protection/bitlocker/configure [/url]

Holgi was ist das: ID-Feld -siehe Bild
btw: Habe schon länger 256bit und das ist witzigerweise auf einem Ryzen mit der 24H2 sehr viel schneller als bei 128bit?
[img]https://bilderupload.org/image/317d34863-bitlocker.jpg[/img]

Get-BitLockerVolume | Format-List MountPoint,EncryptionMethod,VolumeStatus

MountPoint     : C:
EncryptionMethod : XtsAes128
VolumeStatus   : FullyEncrypted

Disable-BitLocker -MountPoint "C:"

Get-BitLockerVolume | Select MountPoint, VolumeStatus, EncryptionPercentage

Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly

(Get-BitLockerVolume -MountPoint "C:").KeyProtector

Get-BitLockerVolume | Select MountPoint, VolumeStatus, EncryptionPercentage, EncryptionMethod

Bitlocker habe ich selbst noch nie benutzt, aber diese Infos hier darüber aus dem Netz gefischt:
XTS-AES 256 einzusetzen geht auch nachträglich, aber nur für neue Laufwerke. Vorhandene Volumes müsste man entschlüsseln und neu verschlüsseln.
Schritt 1: Aktuelle Verschlüsselungsmethode prüfen

Powershell:

[code]Get-BitLockerVolume | Format-List MountPoint,EncryptionMethod,VolumeStatus[/code]


Typische Ausgabe wäre z. B.:

[code]MountPoint : C:
EncryptionMethod : XtsAes128
VolumeStatus : FullyEncrypted[/code]

Das zeigt dir, ob derzeit 128-Bit oder schon 256-Bit verwendet wird.

Schritt 2: Laufwerk entschlüsseln

Damit du auf 256-Bit wechseln kannst, musst du erst entschlüsseln:

[code]Disable-BitLocker -MountPoint "C:"[/code]


Der Vorgang dauert je nach VM-Größe.

Fortschritt prüfen:

[code]Get-BitLockerVolume | Select MountPoint, VolumeStatus, EncryptionPercentage[/code]


Warte, bis VolumeStatus = FullyDecrypted ist.

Schritt 3: Verschlüsselungsmethode auf 256-Bit setzen

Jetzt für künftige Verschlüsselung XTS-AES 256 vordefinieren.


[code]Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly[/code]


-UsedSpaceOnly → schneller, verschlüsselt nur benutzten Speicher.

Wenn du alles verschlüsseln willst (langsamer, aber gründlicher): -Full.

Schritt 4: Schlüssel sichern

Nach Aktivierung unbedingt den Wiederherstellungsschlüssel sichern:

[code](Get-BitLockerVolume -MountPoint "C:").KeyProtector[/code]


Zusätzlich im GUI: Systemsteuerung → BitLocker-Verwaltung → Wiederherstellungsschlüssel sichern
→ Microsoft-Konto, Datei oder Ausdruck.

Schritt 5: Verschlüsselung überwachen

Den Fortschritt siehst du wieder mit:

[code]Get-BitLockerVolume | Select MountPoint, VolumeStatus, EncryptionPercentage, EncryptionMethod[/code]


Sobald EncryptionMethod = XtsAes256 und VolumeStatus = FullyEncrypted, bist du fertig .

Problem2 > Fehlversuche/Retry-Limit bei PIN:
dies ist in Parallels-VMs nicht verfügbar, weil Microsoft diese Funktion für virtuelle TPMs deaktiviert.
Für maximale Sicherheit solltest du eine starke PIN wählen (Kombination aus Buchstaben, Zahlen, Sonderzeichen) und dein Parallels VM Image verschlüsseln (nicht nur Bitlocker, sondern direkt aus Parallels):
Wer Zugriff auf dein macOS-Userkonto hat, könnte theoretisch die VM kopieren und offline bearbeiten.
Parallels öffnen > Virtuelle Maschine auswählen (nicht starten).
Menü: Aktionen >Konfigurieren > Sicherheit.
Dort Verschlüsselung aktivieren (AES-256, Passwort wählen).
Am besten ein Passwort nutzen, das sich von deinem macOS-Account unterscheidet.

macOS selbst absichern:
FileVault aktivieren (Systemeinstellungen > Datenschutz & Sicherheit > FileVault) verschlüsselt die gesamte SSD deines MacBook.
Sicheres Passwort für den Mac-Login wählen, nicht nur Touch ID.
Falls du Time Machine nutzt > sicherstellen, dass Backups verschlüsselt sind.
Effekt: Die .pvm-Datei ist komplett verschlüsselt. Ohne dieses Passwort startet die VM nicht einmal.

Viel Spaß! Mir wäre das alles zu aufwendig und ich hätte Bedenken, bei einer Fehlfunktion irgendwann selbst nicht mehr an meine Daten heranzukommen.
Interessant finde ich, dass du wohl schon so einige Jahre Erfahrung mit Windows 11 ARM sammeln konntest (seit 2021 ?).
Leider fehlt mir noch die entsprechende Hardware (Snapdragon, Apple Silicon Mac); sonst hätte ich da wohl auch schon mal mit experimentiert.

Hallo,

ich habe auf meinem Macbook Air M3, Windows 11 Pro ARM in einer VM unter Parallels Desktop 20 installiert. Zusätzlich habe ich Bitlocker aktiviert. Bis dahin läuft alles perfekt.

Heute wollte ich für Bitlocker die Verschlüsselungsmethode auf XTS-AES 256-Bit hochsetzen und die Eingabe von Fehlversuchen reduzieren.

Ich habe viel gegoogelt, doch leider komme ich nicht weiter. So wurde u.a. beschrieben, dass es in den Bitlocker Gruppenrichtlinien einen Eintrag gibt, über den ich die Fehlversuche bei der PIN-Eingabe begrenzen kann. Diesen Eintrag gibt es bei mir jedoch nicht.

Was die Verschlüsselungsmethode anbelangt, so sollte man laut diversen Anleitungen diese bei der Einrichtung von Bitlocker auswählen können. Doch diese Abfrage gab es bei mir nicht.

Wer unter euch Profis kann mir diesbezüglich weiterhelfen, zu dem gewünschten Ergebnis zu kommen?

Das wäre klasse :-).

VG