Forum: PC Hard- und Software Seltsames Bitlocker-Problem (Win11pro)

Das passiert, wenn bei der Installation Bitlocker ginge (Safeboot/TPM 
aktiv) aber nicht genutzt wurde. Da Bitlocker einen 
Wiederherstellungsschlüssel speichern will und eine 
Benutzerauthentifizierung erfordert, die aber nicht eingerichtet ist, 
ist es scharf, aber schießt nicht.

Einfach Bitlocker anmachen und dann wieder auschalten.
Dann steht in der Systemsteuerung kein Ausrufezeichen mehr und nicht 
"wartet auf Aktivierung" sondern "deaktiviert", und die 
Datenträgerverwaltung zeigt auch nix mehr an.

Hallo Jens,

vielen Dank für die schnelle Antwort. Werde ich morgen probieren und 
mich melden. Hoffentlich geht da nix schief.

MfG,  Horst

Horst S. schrieb:
> Hoffentlich geht da nix schief.

Normal nicht.
Den Schlüssel solltest du sichern (auf einem USB-Stick!) für den Fall 
das was schiefgeht, aber nach dem Deaktivieren kannst du die Datei dann 
wieder löschen.

Du musst glaub ich ein Passwort und eine PIN einrichten, auch das kannst 
du hinterher wieder ausmachen wenn dir danach ist. Aber der 
Aktivierungsassistent wird dich schon leiten, und die Aktivierung dauert 
auch nur ein paar Sekunden.
Ich hab das schon öfter durch, leider kann man den Bitlocker vorher 
nicht verhindern (Oder weiß jemand wie?).

Hallo Jens,

Hurrah - Problem gelöst.
Allerdings war ich auch erst einmal erschrocken was da gefordert wird, 
wie in deinem 2. Post beschrieben. Hab' daher herumgesucht und folgende 
Methode erfolgreich ausprobiert, die keine neue Verschlüsselung 
erfordert:
- Eingabeaufforderung als Admin
- manage-bde -off C:  (schaltet Bitlocker für C: aus)
- manage-bde -status  (zur Überprüfung)

Hat in diesem skurrilen Fall funktioniert, wobei es tatsächlich einige 
Minuten gedauert hat, die offensichtlich noch vorhandene Verschlüsselung 
aufzuheben. Vielen Dank für die Hilfe.
MfG,  Horst

Horst S. schrieb:
> Das Verrückte ist, dass ich auf alle Dateien in C: zugreifen kann - ohne
> ein (mir ohnehin unbekanntes) Kennwort einzugeben.

Es ist schon erschreckend, wie wenig nützliche Informationen man zu 
Bitlocker findet.
Hat man den PC eingeschaltet und das Login erscheint, ist der Drops 
schon gelutscht und die SSD entriegelt. Egal ob mit oder ohne Bitlocker, 
kann man zu diesem Zeitpunkt seine Daten oder das System sichern bzw. 
restoren.

Horst S. schrieb:
> Das eigentlich große Problem ist nun, dass ein System-Backup (hier mit
> True Image) verweigert wird, da es "Mit Bitlocker verschlüsselt" sei.

Vieleicht versucht True Image, den gesamten verschlüsselten Container zu 
sichern. Eine Sicherung auf Dateiebene sollte aber immer möglich sein.

Bitlocker allein sichert also nichts ab, wie es wohl auf 99,9% der PCs 
zutreffen wird. Erst durch die zusätzliche Vergabe einer Pin kommt man 
zu dem Punkt, wo die SSD noch gelockt ist.

Den Wiederherstellungsschlüssel braucht man wohl nur, wenn man die Pin 
vergessen hat oder das Motherboard mit dem TPM-Chip defekt ist und man 
die SSD an einem anderen PC wieder lesen möchte.

Wie man an den Wiederherstellungsschlüssel kommt, habe ich noch nicht 
sicher rausgekriegt. Man soll ihn wohl einfach auf einem USB-Stick oder 
in eine Textdatei speichern können. Oder man legt ein Microsoft-Konto 
an, worüber er dann verfügbar ist.

https://support.microsoft.com/de-de/windows/sichern-des-bitlocker-wiederherstellungsschl%C3%BCssels-e63607b4-77fb-4ad3-8022-d6dc428fbd0d

Horst S. schrieb:
> Hab' daher herumgesucht und folgende
> Methode erfolgreich ausprobiert, die keine neue Verschlüsselung
> erfordert:

Nuja, ich mach's aus Faulheit via GUI und bei mir dauert das aktivieren 
nur wenige Sekunden.
Soweit mir bekannt wird das auch nicht alles verschlüsselt, sondern der 
Prozess nur gestartet, der nach und nach alles bearbeitet, daher auch 
die Prozentangabe in deinem Screenshot.
Dann schalte ich die Verschlüsselung gleich wieder ab.
Das Ergebnis sieht genau so aus wie in deinem Screenshot.

Peter D. schrieb:
> Vieleicht versucht True Image, den gesamten verschlüsselten Container zu
> sichern. Eine Sicherung auf Dateiebene sollte aber immer möglich sein.

Nein.
Eine Bitlockerverschlüsselte Festplatte erscheint außerhalb des 
Startvorgangs in exakt diesem PC als RAW.
Bootet man die Kiste ohne Secureboot, ist BL kaputt. Bootet man die 
Platte woanders, ebenso.
Dazu brauchts den Wiederherstellungsschlüssel.

Peter D. schrieb:
> Bitlocker allein sichert also nichts ab, wie es wohl auf 99,9% der PCs
> zutreffen wird. Erst durch die zusätzliche Vergabe einer Pin kommt man
> zu dem Punkt, wo die SSD noch gelockt ist.

Ebenfalls nein. Bitlocker ist ohne PIN einfach nur im Durchreichemodus 
auf Wachposten.
Die PIN arbeitet mit dem TPM zusammen und gibt den BL-Schlüssel an den 
Systemstart weiter. Die HDD ist partitioniert und startet ganz normal, 
nur eben sind die Daten unlesbar.
Eine nicht durch das BIOS gesicherte BL-Platte kannst du aber einfach 
woanders einbauen, löschen und neu benutzen.

Peter D. schrieb:
> Den Wiederherstellungsschlüssel braucht man wohl nur, wenn man die Pin
> vergessen hat oder das Motherboard mit dem TPM-Chip defekt ist und man
> die SSD an einem anderen PC wieder lesen möchte.

Ich habe in letzter Zeit mit W11-Setups auf einem Laptop experimentiert, 
und man kann den BL schneller kaputtmachen als man meint.
Ein Start einer BootCD ohne Safeboot reicht und man braucht den 
Schlüssel.

Peter D. schrieb:
> Wie man an den Wiederherstellungsschlüssel kommt, habe ich noch nicht
> sicher rausgekriegt. Man soll ihn wohl einfach auf einem USB-Stick oder
> in eine Textdatei speichern können. Oder man legt ein Microsoft-Konto
> an, worüber er dann verfügbar ist.

Den kann/muss man beim Einrichten speichern, hinterher ist es schwer 
dranzukommen, aber das ist Absicht, sonst könnte ja jeder via Image 
meine Daten einsehen ;)

Jens M. schrieb:
> man kann den BL schneller kaputtmachen als man meint.

Ja, das ist auch meine Befürchtung, daher habe ich bisher die Finger 
davon gelassen. Und das machen wohl auch 99,9% aller PC-Nutzer so.

Meine Daten sichere ich ganz normal auf eine externe HDD. Nur habe ich 
keine Lust die ganzen Programm Installationen und Einstellungen nochmal 
machen zu müssen.

Jens M. schrieb:
> Den kann/muss man beim Einrichten speichern

Genau damit steht man aber ziemlich allein im Regen da.
Man schaltet nach dem Kauf den PC ein, der rödelt und macht Abfragen und 
dann ist Windows mit Bitlocker installiert. Nirgendwo gibt es einen 
Punkt, wo man was sichern könnte.
Es wird einfach so getan, als gäbe es Bitlocker gar nicht. Der gemeine 
User ist wohl zu blöd dafür.

Auf dem alten W10-PC habe ich noch ganz einfach ein Systemabbild 
erstellt, eine neue SSD reingesteckt und das Systemabbild zurück 
gespielt. Hat nur wenige Minuten gedauert und Windows inklusive aller 
Programme liefen wie zuvor.
Sowas sollte doch auch unter W11 gehen?

Jens M. schrieb:
> man kann den BL schneller kaputtmachen als man meint

Ist mir auch passiert. Hatte lediglich im BIOS ein paar Einstellungen 
geändert und als ich den Computer neu starten wollte, ging es nicht mehr 
und BitLocker wollte den 40 Ziffern langen Wiederherstellungsschlüssel 
haben.

Peter D. schrieb:
> Nirgendwo gibt es einen
> Punkt, wo man was sichern könnte.

Doch, wenn du BL aktivierst.
Nach der Installation ist es zwar eingeschaltet aber nicht aktiv.
Bei der BL-Aktivierung fragt der Assistent die eine oder andere Sache ab 
und erzwingt das Speichern des Wiederherstellungscodes.

Peter D. schrieb:
> Sowas sollte doch auch unter W11 gehen?

Mit einem Programm, das Bitlocker kennt (und den entsprechenden 
Schlüsseln), oder mit deaktiviertem Bitlocker geht das auch heute noch 
so.
BL ist ja gerade dazu da, ein Image unbrauchbar zu machen, so das jemand 
der deinen PC "findet" die Daten nicht lesen kann.
Afaik kann man auch eine BL-Partition verschlüsselt sichern und 
wiederherstellen, aber beim Start braucht man dann den 
Wiederherstellungsschlüssel.

Johnny B. schrieb:
> Ist mir auch passiert.

Da isser, der Schutz gegen einen nur knapp identischen PC mit Image ;)

Peter D. schrieb:
> Wie man an den Wiederherstellungsschlüssel kommt, habe ich noch nicht
> sicher rausgekriegt. Man soll ihn wohl einfach auf einem USB-Stick oder
> in eine Textdatei speichern können. Oder man legt ein Microsoft-Konto
> an, worüber er dann verfügbar ist.

Das ist eigentlich ganz einfach:

Datei Explorer aufmachen -> mit rechter Maus auf den Laufwerksbuchstaben 
klicken -> Context-Menu -> Bitlocker Verwalten -> 
Wiederherstellungsschlüssel sichern -> Auf USB Stick speichern -> 
Fertig.

Alternativ:  Windows Taste -> Bitlocker ins Suchfeld eintippen.

Mit dem rechte Maus-Taste-Menü kannst du den Bitlocker für das Laufwerk 
auch deaktivieren oder aktivieren.  Laptop und USB Sticks sind heute 
alle verschlüsselt, alles andere ist grob fahrlässig wenn man mit 
Firmendaten oder wichtigen privaten Daten im Zug unterwegs ist.

Den Bitlocker Schlüssel brauchst du, sobald du am Bios was änderst.
Dann wirst du aufgefordert den Bitlocker Schlüssel Pin einzugeben.

Da die Verschlüsselung in Hardware erfolgt, merkt man keinen 
Geschwindigkeitsverlusst.