Im Zuge einer Umstellung eines neuen Kunden auf Sophos haben wir bei Außendienst-Notebooks die Sophos Encryption aktiviert. Dabei ist uns aufgefallen, dass drei Laptops von ca. 30 Geräten nicht verschlüsselt werden können. Die Lösung hierfür ist denkbar einfach, bedarf aber den direkten Zugriff auf das Gerät.
Die Fehlermeldung: BitLocker konnte nicht aktiviert werden. Der Bitlocker-Verschlüsselungsschlüssel kann nicht abgerufen werden. Stellen Sie sicher, dass das TPM (Trusted Platform Module) aktiviert ist und der Besitz übernommen wurde. Besitzt der Computer kein TPM, überprüfen Sie, ob das USB-Laufwerk angeschlossen und verfügbar ist. C: wurde nicht verschlüsselt.
Hauptproblem bei der Aktivierung von TPM in diesem Scenario ist das Dateiformat der Festplatte. Wurden die Geräte mit Windows 7 ausgeliefert, bootet das System über das Bios im Legacy-Mode. Dies kann Bitlocker nicht verschlüsseln. Hierbei muss also umgestellt werden auf GPT, doch wie?
Bei aktuellem BIOS, Windows 10 in neuerer Version als mindestens 1803 und TPM 2.0 ist die Lösung relativ einfach.
PS C:\> Get-Tpm | Select-Object tpm* | fl TpmPresent : True TpmReady : False
mbr2gpt /Convert /allowfullOS
eingeben.
TpmReady:true
aus.
Kleiner Hinweis: Sollte man sich schon probiert haben und steckt nun fest, weil das Bios bereits umgestellt wurde ohne die Änderung am System vorher zu machen: Einfach in die Wiederherstellungskonsole booten und dort den Befehl aus 2.2 eingeben – dann startet das System wieder fehlerfrei.