Bitlocker - Anfrage Fehlversuche beschränken und Verschlüssungsmethode auswählen

mysteria · Beitrag von **mysteria** » 30.08.2025, 21:12

Hallo,

ich habe auf meinem Macbook Air M3, Windows 11 Pro ARM in einer VM unter Parallels Desktop 20 installiert. Zusätzlich habe ich Bitlocker aktiviert. Bis dahin läuft alles perfekt.

Heute wollte ich für Bitlocker die Verschlüsselungsmethode auf XTS-AES 256-Bit hochsetzen und die Eingabe von Fehlversuchen reduzieren.

Ich habe viel gegoogelt, doch leider komme ich nicht weiter. So wurde u.a. beschrieben, dass es in den Bitlocker Gruppenrichtlinien einen Eintrag gibt, über den ich die Fehlversuche bei der PIN-Eingabe begrenzen kann. Diesen Eintrag gibt es bei mir jedoch nicht.

Was die Verschlüsselungsmethode anbelangt, so sollte man laut diversen Anleitungen diese bei der Einrichtung von Bitlocker auswählen können. Doch diese Abfrage gab es bei mir nicht.

Wer unter euch Profis kann mir diesbezüglich weiterhelfen, zu dem gewünschten Ergebnis zu kommen?

Das wäre klasse

.

VG

Beitrag von **Tante Google** » 30.08.2025, 21:12

Holgi · Beitrag von **Holgi** » 31.08.2025, 08:16

Bitlocker habe ich selbst noch nie benutzt, aber diese Infos hier darüber aus dem Netz gefischt:
XTS-AES 256 einzusetzen geht auch nachträglich, aber nur für neue Laufwerke. Vorhandene Volumes müsste man entschlüsseln und neu verschlüsseln.
Schritt 1: Aktuelle Verschlüsselungsmethode prüfen

Powershell:

Code: Alles auswählen

Get-BitLockerVolume | Format-List MountPoint,EncryptionMethod,VolumeStatus

Typische Ausgabe wäre z. B.:

Code: Alles auswählen

MountPoint     : C:
EncryptionMethod : XtsAes128
VolumeStatus   : FullyEncrypted

Das zeigt dir, ob derzeit 128-Bit oder schon 256-Bit verwendet wird.

Schritt 2: Laufwerk entschlüsseln

Damit du auf 256-Bit wechseln kannst, musst du erst entschlüsseln:

Code: Alles auswählen

Disable-BitLocker -MountPoint "C:"

Der Vorgang dauert je nach VM-Größe.

Fortschritt prüfen:

Code: Alles auswählen

Get-BitLockerVolume | Select MountPoint, VolumeStatus, EncryptionPercentage

Warte, bis VolumeStatus = FullyDecrypted ist.

Schritt 3: Verschlüsselungsmethode auf 256-Bit setzen

Jetzt für künftige Verschlüsselung XTS-AES 256 vordefinieren.

Code: Alles auswählen

Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly

-UsedSpaceOnly → schneller, verschlüsselt nur benutzten Speicher.

Wenn du alles verschlüsseln willst (langsamer, aber gründlicher): -Full.

Schritt 4: Schlüssel sichern

Nach Aktivierung unbedingt den Wiederherstellungsschlüssel sichern:

Code: Alles auswählen

(Get-BitLockerVolume -MountPoint "C:").KeyProtector

Zusätzlich im GUI: Systemsteuerung → BitLocker-Verwaltung → Wiederherstellungsschlüssel sichern
→ Microsoft-Konto, Datei oder Ausdruck.

Schritt 5: Verschlüsselung überwachen

Den Fortschritt siehst du wieder mit:

Code: Alles auswählen

Get-BitLockerVolume | Select MountPoint, VolumeStatus, EncryptionPercentage, EncryptionMethod

Sobald EncryptionMethod = XtsAes256 und VolumeStatus = FullyEncrypted, bist du fertig .

Problem2 > Fehlversuche/Retry-Limit bei PIN:
dies ist in Parallels-VMs nicht verfügbar, weil Microsoft diese Funktion für virtuelle TPMs deaktiviert.
Für maximale Sicherheit solltest du eine starke PIN wählen (Kombination aus Buchstaben, Zahlen, Sonderzeichen) und dein Parallels VM Image verschlüsseln (nicht nur Bitlocker, sondern direkt aus Parallels):
Wer Zugriff auf dein macOS-Userkonto hat, könnte theoretisch die VM kopieren und offline bearbeiten.
Parallels öffnen > Virtuelle Maschine auswählen (nicht starten).
Menü: Aktionen >Konfigurieren > Sicherheit.
Dort Verschlüsselung aktivieren (AES-256, Passwort wählen).
Am besten ein Passwort nutzen, das sich von deinem macOS-Account unterscheidet.

macOS selbst absichern:
FileVault aktivieren (Systemeinstellungen > Datenschutz & Sicherheit > FileVault) verschlüsselt die gesamte SSD deines MacBook.
Sicheres Passwort für den Mac-Login wählen, nicht nur Touch ID.
Falls du Time Machine nutzt > sicherstellen, dass Backups verschlüsselt sind.
Effekt: Die .pvm-Datei ist komplett verschlüsselt. Ohne dieses Passwort startet die VM nicht einmal.

Viel Spaß! Mir wäre das alles zu aufwendig und ich hätte Bedenken, bei einer Fehlfunktion irgendwann selbst nicht mehr an meine Daten heranzukommen.
Interessant finde ich, dass du wohl schon so einige Jahre Erfahrung mit Windows 11 ARM sammeln konntest (seit 2021 ?).
Leider fehlt mir noch die entsprechende Hardware (Snapdragon, Apple Silicon Mac); sonst hätte ich da wohl auch schon mal mit experimentiert.

Wernii · Beitrag von **Wernii** » 31.08.2025, 12:14

Holgi was ist das: ID-Feld -siehe Bild
btw: Habe schon länger 256bit und das ist witzigerweise auf einem Ryzen mit der 24H2 sehr viel schneller als bei 128bit?
Bild

Blondi_2021 · Beitrag von **Blondi_2021** » 31.08.2025, 13:32

siehe hier https://support.microsoft.com/de-de/win ... 5ab347d6 bzw https://learn.microsoft.com/de-de/windo ... onfigure

Holgi · Beitrag von **Holgi** » 31.08.2025, 14:10

Wernii hat geschrieben: 31.08.2025, 12:14 Holgi was ist das: ID-Feld

Das ID-Feld ist ein optionales Feld, das über den Befehl manage-bde -setidentifier gesetzt werden kann. Es dient dazu, ein BitLocker-verschlüsseltes Laufwerk mit einer benutzerdefinierten Kennung zu versehen – z. B. für organisatorische Zwecke oder zur leichteren Identifikation in größeren IT-Umgebungen.
Wenn dort „unbekannt“ steht, heißt das einfach:
Es wurde kein Identifier gesetzt.
Das Laufwerk funktioniert trotzdem ganz normal mit BitLocker.
Es hat keine Auswirkungen auf die Verschlüsselung oder Sicherheit.

Falls du möchtest, kannst du einen Identifier manuell setzen, z. B.:

Code: Alles auswählen

manage-bde -setidentifier C: "MeinLaufwerk001"

Danach zeigt manage-bde -status im ID-Feld diesen Wert an.

„ID-Feld: unbekannt“ ist kein Fehler, sondern nur ein Hinweis darauf, dass du keinen benutzerdefinierten Identifier vergeben hast. Du kannst das Feld ignorieren – oder es nutzen, wenn du dein Laufwerk eindeutig benennen willst, etwa in einer Unternehmensumgebung.

mysteria · Beitrag von **mysteria** » 31.08.2025, 17:20

Hallo,

da ich noch unterwegs bin, komme ich erst heute Abend dazu mir das alles in Ruhe anzuschauen. Jedoch schon jetzt herzlichen Dank für die interessanten und ausführlichen Hilfestellungen. Ihr seit klasse!!

mysteria · Beitrag von **mysteria** » 31.08.2025, 20:00

Hallo Holgi,

ich möchte nachfolgend auf deine ausführliche Hilfestellung (Top!!) eingehen:

Holgi hat geschrieben: 31.08.2025, 08:16 Powershell:
Code: Alles auswählen
Get-BitLockerVolume | Format-List MountPoint,EncryptionMethod,VolumeStatus

Ist die XtsAES128 Verschlüsselung, dies hatte ich bereits im Vorfeld geprüft gehabt.

Holgi hat geschrieben: 31.08.2025, 08:16 Schritt 2: Laufwerk entschlüsseln
Damit du auf 256-Bit wechseln kannst, musst du erst entschlüsseln:
Code: Alles auswählen
Disable-BitLocker -MountPoint "C:"
Der Vorgang dauert je nach VM-Größe.
Fortschritt prüfen:
Code: Alles auswählen
Get-BitLockerVolume | Select MountPoint, VolumeStatus, EncryptionPercentage
Warte, bis VolumeStatus = FullyDecrypted ist.

Durchgeführt, Ergebnis = FullyDecrypted

Holgi hat geschrieben: 31.08.2025, 08:16 Schritt 3: Verschlüsselungsmethode auf 256-Bit setzen
Jetzt für künftige Verschlüsselung XTS-AES 256 vordefinieren.
Code: Alles auswählen
Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly

Ausgeführt, Meldung war folgende:

Code: Alles auswählen

PS C:\WINDOWS\system32> Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -Full
Enable-BitLocker : Der Parametersatz kann mit den angegebenen benannten Parametern nicht aufgelöst werden.
In Zeile:1 Zeichen:1
+ Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -Full
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidArgument: (:) [Enable-BitLocker], ParameterBindingException
    + FullyQualifiedErrorId : AmbiguousParameterSet,Enable-BitLocker

Da mir solchen Meldungen nicht viel sagen, war ich mit dieser Fehlermeldung etwas überfordert. Ich werde jedoch gleich noch Tante Google anschmeißen. Ich befürchte zunehmend mehr, dass sich unter Windows ARM und/oder einer VM keine andere Verschlüsselungsmethode wählen lässt, da bei der Aktivierung von Bitlocker über das GUI entgegen mancher Anleitungen keine Abfrage zur Verschlüsselungsmethode kommt.

Holgi hat geschrieben: 31.08.2025, 08:16 Problem2 > Fehlversuche/Retry-Limit bei PIN:
dies ist in Parallels-VMs nicht verfügbar, weil Microsoft diese Funktion für virtuelle TPMs deaktiviert.

Danke, wusste ich nicht.

Holgi hat geschrieben: 31.08.2025, 08:16 Für maximale Sicherheit solltest du eine starke PIN wählen (Kombination aus Buchstaben, Zahlen, Sonderzeichen) und dein Parallels VM Image verschlüsseln (nicht nur Bitlocker, sondern direkt aus Parallels):

Eine starke alphanumerische PIN wurde bereits gesetzt. Die zusätzliche Verschlüsselung über Parallels war ein guter Hinweis. Das hatte ich noch nicht in Betracht gezogen.

Holgi hat geschrieben: 31.08.2025, 08:16 macOS selbst absichern:
FileVault aktivieren (Systemeinstellungen > Datenschutz & Sicherheit > FileVault) verschlüsselt die gesamte SSD deines MacBook.
Sicheres Passwort für den Mac-Login wählen, nicht nur Touch ID.
Falls du Time Machine nutzt > sicherstellen, dass Backups verschlüsselt sind.

Trifft bereits alles zu.

Holgi hat geschrieben: 31.08.2025, 08:16 Interessant finde ich, dass du wohl schon so einige Jahre Erfahrung mit Windows 11 ARM sammeln konntest (seit 2021 ?).
Leider fehlt mir noch die entsprechende Hardware (Snapdragon, Apple Silicon Mac); sonst hätte ich da wohl auch schon mal mit experimentiert.

Du, ich bin der klassische Anwender. Ich experimentierte gerne, doch ich spüre mit zunehmenden Alter, dass ich immer weniger bei der Entwicklung mitkomme

Danke, ich nehme mich nun erneut der XTS-AES 256 unter Windows 11 Pro ARM mit Bitlocker an. Wobei ich mit der weiteren Verschlüsselung der Parallels VM vermutlich schon sehr gut geschützt bin.

VG

Holgi · Beitrag von **Holgi** » 31.08.2025, 20:20

versuche bitte das noch mal:

Code: Alles auswählen

Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -RecoveryPasswordProtector

für vollständige Verschlüsselung.
oder

Code: Alles auswählen

Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -RecoveryPasswordProtector

das mit dem -Full funzt wohl doch nicht.

mysteria · Beitrag von **mysteria** » 31.08.2025, 20:37

Ich habe es gerade über die Gruppenrichtlinien hinbekommen. Hier lässt sich die standardisierte Verschlüsselungsmethode auswählen.

Gruppenrichtlinien öffnen

Computerkonfiguration

Administrative Vorlagen

Windows-Komponenten

Bitlocker-Laufwerksverschlüsselung

Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerke auswählen

Diesen Eintrag aktivieren und XTS-AES 256-Bit auswählen.

Nun wird bei neuen Verschlüsselungen die ausgewählte Verschlüsselungsstärke angewandt.

Problem gelöst.

Erneut ein herzliches Dankeschön für die wirklich tolle Unterstützung!!