Bitlocker USB-Key wird nicht zum Entsperren verwendet

Question

Hallo, ich verwende auf meinem HP Notebook Bitlocker. Großteils verwende ich es zuhause an einem USB-C Dock, manchmal aber auch portabel. Die reine Absicherung über das TPM + Windows-Anmeldung ist mir eigentlich etwas unsicher, weswegen ich TPM + PIN bevorzugen würde. Allerdings wäre es wünschenswert, wenn ich zuhause an meinem USB-C Dock nicht die PIN eingeben müsste. Eine Lösung für dieses Problems ist, zusätzlich einen USB-Key einzurichten und diesen an das Dock anzuschließen. Mit meinem alten Dell Notebook hat dies auch einwandfrei funktioniert. Leider mit meinem neuen HP Notebook nicht mehr. Selbst wenn ich den USB-Key direkt an das Notebook anschließen und neustarte, wird der USB-Key nicht gelesen (LED des Sticks blinkt nicht) und es erscheint die Abfrage der PIN. Breche ich dies durch mehrfaches Drücken von ESC ab, erscheint irgendwann die Option, nach USB-Keys suchen zu lassen. Wenn ich dies ausführe, wird der USB-Key auch tatsächlich gefunden und für korrekt befunden, allerdings Bitlocker nicht entsperrt, sondern nur ein Neustart angeboten und das Ganze beginnt von vorne. Ich habe schon verschiedene Dinge ausprobiert (NTFS und FAT32 auf USB-Stick, Partition nicht als aktiv markiert), aber nichts davon hat geholfen. Da es bei meinem alten Dell Notebook funktioniert hat, war meine Vermutung, dass es etwas mit dem BIOS meines Notebooks zu tun hat. Allerdings habe ich im BIOS keine Option gefunden, die es verhindern könnte, und da ja zumindest das explizite Suchen und Prüfen des USB-Keys im Windows PE Preboot Modus funktioniert, könnte das ein Hinweis sein, dass es nicht am BIOS, sondern doch an einer Windows Einstellung liegt. Im HP Forum habe ich das Problem auch schon gepostet, aber keine Reaktion darauf erhalten.

Answer 1

Ich habe den Fehler gefunden. Schuld daran, dass der USB-Stick nicht initialisiert wurde, war die aktive "Fast Boot" Option im BIOS. Da hätte ich natürlich früher drauf kommen können / müssen.

Auch ein Booten des Sticks ist dann nicht nötig, damit er initialisiert wird. Auch wird bei aktiviertem "Fast Boot" ignoriert, wenn ein boot-fähiger USB-Stick an erster Stelle der Boot-Reihenfolge steht. Da hätte man natürlich von HP zumindest eine Warnmeldung erwarten können, wenn man USB-Geräte in der Boot-Reihenfolge hin- und herschiebt, während "Fast Boot" aktiv ist.

Answer 2

Hallo, ich habe den Trick ausprobiert, wobei ich den Key nicht neu erstellt habe, sondern den vorhandenen auf den USB-Stick kopiert habe. Das Problem ist: Obwohl ich den USB Key im UEFI-Setup als erstes Boot-Device gewählt habe, funktioniert es leider nicht, lediglich wenn ich den USB-Stick als Boot-Device beim Neustart explizit auswähle. Wenn ich anschließend ohne diese Auswahl neustarte, wird der Stick wieder nicht initialisiert bzw. gelesen und die PIN-Abfrage erscheint.

Meine Theorie: Es wird erkannt, dass es ich bei dem Stick nicht um ein korrektes Boot-Device handelt und beim nächsten Boot-Vorgang wird er nicht mehr eingelesen.

Meine Idee war daher, ihn zu einem korrekten Boot-Device zu machen. Ich habe versucht, GRUB2 darauf zu installieren und ich habe die Dateien der eigentlich EFI-Partition von der SSD auf den Stick kopiert. In beiden Fällen kommt jedoch ein Fehler der Art "could not authenticate ...", also das die Signatur für Secure Boot nicht korrekt ist. Übrigens ist aus gleichem Grund auch ein Booten von Ubuntu auf meinem Notebook nicht mehr möglich. Kennt sich hier jemand mit bcdedit aus und hat eine Anleitung, wie man den Stick zu einem korrekten Boot-Device machen kann, das einfach auf die Windows Partition auf der internen SDD verweist?

Ich könnte natürlich auch noch versuchen, den Key neu zugenerieren oder auch nochmals, wie vorgeschlagen, alle BitLocker Keys entfernen und neu erzeugen. Allerdings glaube ich nicht, dass das etwas hilft. Im Prinzip funktioniert der Stick. Ich kann lediglich das Notebook nicht dazu überreden, bei jedem Neustart einen Boot vom USB-Stick zu probieren.