Windows Bitlocker locked nach Firmware-Update

[NoMoreLenovo]

Wieso sollte der Recovery Schlüssel in der Cloud liegen?

Sorry aber wenn mir das eine Microsoft Mitarbeiterin rät ... nicht auf meinem Mist gewachsen. Aber im MS Account ist kein Gerät registriert und auch kein Recovery Schlüssel hinterlegt.

ad Defekter TPM - Bis zum BIOS Update lief der PC absolut zuverlässig. Ich persönlich weiß nicht ob ein fehlerhafter TPM erst mit dem neuen BIOS Auswirkungen zeigt. Bitlocker (manage-bde) zeigt das TPM zumindest mit korrektem PCR-Validierungsprofil (7,11) an.

 

[xsid]

Bau doch mal die HDD aus und installiere auf anderer ein neues verschlüsseltes Testsystem, dann siehst Du ob ein Hardwarefehler /Biosproblem vorliegt.

 

[mectst]

Also wenn Bitlocker den Status "locked" erkennt/festlegt ist davon auszugehen, daß das Laufwerk verschlüsselt wurde (mit welchem Schlüssel auch immer und ohne daß ein recovery Key in einem MS-Account oder sonstwo abgelegt wurde) ? Ich stelle mir die Frage, woran Bitlocker erkennt, daß ein Laufwerk verschlüsselt ist. MBR war sicher nicht der Weisheit letzter Schluß aber damit kannte ich mich zumindest aus ;-)
Seltsam finde ich auch, daß das BIOS-Update nichts von einem verschlüsselten Laufwerk berichtet hat - ist das normal ?

Nach allem was ich weiß (was auch nicht allzu viel ist), arbeitet Bitlocker Dateibasiert bzw. ist Bestandteil des Filesystems NTFS. Dass ein Laufwerk, bzw. Dateien darin, verschlüsselt sind, wird daher also durch entsprechende Einträge im Dateisystem vorgenommen, so wie z.B. auch Schreibschutz oder das Archiv-Bit für einzelne Dateien. MBR und GPT sind dagegen Arten für die Partitionierung einer Festplatte. Bitlocker kann dort gar nicht angesiedelt sein!
Ansonsten kann ich mich nur den vielen Vorrednern anschließen. Wann, warum und wie Bitlocker auf deinem System Einzug gehalten hat, kann vielfältig sein und ebenso vielfältig kann es sein, wo der Schlüssel hinterlegt ist oder wo er gespeichert worden ist. Von TPM, MS-Konto, Sticks, externe HDD, interne 2. HDD bis hin zur Diskette ist alles denkbar. Konkret auf deinen Fall wird dir das hier niemand beantworten können und ebenso wenig auch Microsoft und Lenovo. Niemand weiß, was du bzw. Deine Freundin oder sonst wer mit dem konkreten Rechner angestellt hat.

Aber im MS Account ist kein Gerät registriert und auch kein Recovery Schlüssel hinterlegt.

Möglicherweise hast du ja auch das falsche MS-Konto am Wickel.


Aber nun mal ehrlich, alle denkbaren Ansätze sind jetzt oft genug genannt worden. Fakt bleibt, dass das System einen Bitlocker-Key erwartet. Also liegt es jetzt an dir zu Handeln, weiteres lamentieren - egal ob darüber, wer der Schuldige ist, bzw. schief gelaufen sein kann oder was gehen kann oder was nicht - wird zu keinen neuen Erkenntnissen führen. Also clone die Platte und fange an zu experimentieren. Ich bin mir sehr sicher, wenn du über deine genauen Schritte hier berichtest, wird es weiteren Input dazu geben. Viel Erfolg dabei!

Grüße Thomas

 

[NoMoreLenovo]

@mectst Konsens hier um Forum scheint zu sein, daß Bitlocker in jedem Fall durch Benutzerinteraktion aktiviert wurde (inklusive Auswahlbildschirm wohin der Schlüssel soll?). Ich weiß nicht wie lange die Verschlüsselung einer SSD dauert/gedauert hätte aber auch an 5 Minuten könnte man sich doch erinnern ?! Und mir ist noch unklar warum das BIOS-Update nicht über eine aktivierten Bitlocker informiert hat. Wäre das nicht der Fall gewesen ?

Danke, LG Tom

 

[deeptrancer]

zur Info: auf Grund mehrfacher, ehrverletzender Äußerungen (u.a. "Drogenabhängiger" in einer PN an mich, sowie weitere in Richtung eines anderen Mitglieds) wurde der User nun dauerhaft gesperrt.

 

[mectst]

Konsens hier um Forum scheint zu sein, daß...

Das basiert ja überwiegend auf deinen Angaben und niemand hat eine Glaskugel, um mehr zu wissen als alle anderen.

Und mir ist noch unklar warum das BIOS-Update nicht über eine aktivierten Bitlocker informiert hat. Wäre das nicht der Fall gewesen ?

Auch hier kann man nur sagen, ob es diese Warnung in deinem konkreten Fall (Bios-Version XY auf Model ABC) überhaupt gibt und wann sie ggf. hätte erscheinen sollen, kann wohl nur Lenovo beantworten. Nur die Entwickler dort wissen, was die Update-Software tut.

Daher nochmal: Es nützt jetzt einfach nichts mehr, über das was hätte sein können oder was hätte sein müssen zu diskutieren!

Grüße Thomas

 

[cuco]

Nach allem was ich weiß (was auch nicht allzu viel ist), arbeitet Bitlocker Dateibasiert bzw. ist Bestandteil des Filesystems NTFS.

Nein, da bekommst du gerade zwei Sachen durcheinander. Es gibt BitLocker, das ganze Partitionen oder Laufwerke verschlüsselt und es gibt das "Encrypting File System" (kurz: EFS), welches dateibasiert in NTFS verschlüsseln kann. Bei letzterem kann man dann auch nur einzelne Dateien oder Ordner verschlüsseln, während Bitlocker immer mindestens ganze Partitionen verschlüsselt.

 

[mectst]

Hups, dann bin ich in dem Fall wirklich nicht auf dem Laufendem.
A) Danke für die Aufklärung und
B) Sorry, dass ich das so raus gehauen habe.

Grüße Thomas

 

[elchmartin]

@mectst Konsens hier um Forum scheint zu sein, daß Bitlocker in jedem Fall durch Benutzerinteraktion aktiviert wurde (inklusive Auswahlbildschirm wohin der Schlüssel soll?). Ich weiß nicht wie lange die Verschlüsselung einer SSD dauert/gedauert hätte aber auch an 5 Minuten könnte man sich doch erinnern ?! Und mir ist noch unklar warum das BIOS-Update nicht über eine aktivierten Bitlocker informiert hat. Wäre das nicht der Fall gewesen ?

Danke, LG Tom

Vielleicht noch für die Nachwelt:

Bitlocker verschlüsselt im laufenden Betrieb im Hintergrund.
Wenn man nicht irre HDD(SSD)-Intensive Sachen macht merkt man wenig davon.

Und nun OT aber krasser User/Forist.
Vielleicht bräuchte es mal ein Unterforum mit dem Thema Dampf ablassen...

 

[Mornsgrans]

Vielleicht bräuchte es mal ein Unterforum mit dem Thema Dampf ablassen...

Gibt es in den asozialen Netzwerken zu Hauf...

 

[reddevil156]

eine Ahnung, was du da gesehen haben willst. Aber so eine Konstellation gibt es nicht.

Ich kann nur meine Erfahrungen berichten. Falls ich das falsch interpretiere, dann korrigiere mich bitte.

Ausgangslage: HP Probook sowie Lenovo Yoga 9, frisch aus der Packung genommen. Vorinstalliertes Windows 10 wollte ich nicht benutzen, also direkt beim ersten Boot USB-Stick rein mit normalen Windows 10, auf der SSD alle Partitionen gelöscht und frisch installiert. Lokales Konto eingerichtet, also ohne Microsoft Konto.
Durch Zufall festgestellt, dass Bitlocker im Bereitschaftsmodus sitzt, also weder ausgeschaltet noch aktiv ist.
Mit einem Windows PE gebootet und festgestellt, dass die SSD als Bitlocker verschlüsselt gilt und kein direkter Zugriff darauf möglich ist. Ausschalten konnte ich dies nur über manage-bde -off. Erst dann war die SSD so weit frei, dass man auch von extern drauf zugreifen konnte.

Für mich scheint es also so, als ob somit eine Verschlüsselung über das TPM ab Werk aktiv ist.

 

[iks230]

Durch Zufall festgestellt, dass Bitlocker im Bereitschaftsmodus sitzt, also weder ausgeschaltet noch aktiv ist.

Etwas ähnliches selbst kürzlich gehabt. Im Zuge meiner Experimente mit dem BIOS meines T480 hatte ich mein Laufwerk C entschlüsselt, um im Zweifel darauf zugreifen zu können (weil ich wusste, dass das modifizierte BIOS Probleme mit TPM haben könnte).

Nach einem größeren Update (laut Updateverlauf müsste es KB5015807 gewesen sein) hatte ich auf einmal bei beiden(!) Laufwerken C & D ein gelbes Ausrufezeichen. Ob ein kausaler Zusammenhang besteht weiß ich nicht, aber andere Sachen, abseits vom BIOS, wurden nicht verändert bzw. installiert.

Die Befehle

manage-bde -status c:
manage-bde -status d:

zeigten in beiden Fällen etwas an wie "teilweise verschlüsselt" oder "unvollständig verschlüsselt" plus eine Prozentangabe irgendwo zwischen 0 und 100 Prozent (leider kein Screenshot aufgenommen).

Beide Laufwerke konnte ich nur über eine Admin-PowerShell entschlüsseln mit:

manage-bde -off c:
manage-bde -off d:

Über das Kontextmenu im Explorer konnte ich den Status von Bitlocker nicht beeinflussen.

Mein Account ist nur lokal und nicht mit einem Microsoft-Account verknüpft.

 

[der_ingo]

Und kann es deiner Meinung nach nicht sein, daß Bitlocker niemals aktiviert wurde

Natürlich wurde Bitlocker aktiviert. Sonst wäre es nicht aktiv gewesen.

Wann es aktiviert wurde und durch wen oder was, lässt sich nur halt jetzt nicht mehr nachvollziehen.

und das Bitlocker einfach nur eine Integritätsverletzung (geändertes BIOS, Startreihenfolge,....) festgestellt hat und deswegen die Partitionen gelockt hat ?

Genau dann fordert Bitlocker einen Wiederherstellungsschlüssel an. So weit waren wir schon.

Und bei der Anmeldung am MS-Konto hätte dann automatisch die Bitlocker-Verschlüsselung gestartet (ohne daß der Auswahlbildschirm (Im Konto ablegen, auf USB-Stick speichern, ausdrucken, ...) erscheint ?)?

Ja. Die automatisch ablaufende Geräteverschlüsselung speichert den Wiederherstellungsschlüssel immer nur in einem passenden Online-Konto.
Auf einem Pro oder Enterprise Windows kann man Bitlocker direkt managen. Wenn man es nicht managt und die Hardware und das Konto passen, wird auch dort automatisch verschlüsselt mit Key im Konto.

Gäbe es für den NULL-Key einen Recovery Key den man versuchen könnte ?

Wäre der Null-Key aktiv, würde nicht nach einem Wiederherstellungsschlüssel gefragt, da Bitlocker/die Geräteverschlüsselung eben nicht scharf geschaltet wäre.

Beitrag automatisch zusammengeführt: 9 Aug. 2022

Nach allem was ich weiß (was auch nicht allzu viel ist), arbeitet Bitlocker Dateibasiert bzw. ist Bestandteil des Filesystems NTFS.

Nein. Es gibt eine dateibasierte Verschlüsselung in Windows Pro und höher, die sich EFS nennt.

Bitlocker bzw. die Geräteverschlüsselung verschlüsselt grundsätzlich ganze Laufwerke.

 

[cuco]

Allgemeine Fragen zu Bitlocker abgekoppelt: https://thinkpad-forum.de/threads/fagen-zu-bitlocker.233646/

 

[xsid]

Was habe ich zu berücksichtigen um nicht in die Firmware Update Bitlocker Falle zu treten?

 

[mectst]

Was habe ich zu berücksichtigen um nicht in die Firmware Update Bitlocker Falle zu treten?

Gibt es die überhaupt? Außer dem Fall hier, bei dem nichts verlässliches zu den genauen Umständen bekannt ist, habe ich davon noch nie gehört.

Grüße Thomas

 

[Mornsgrans]

Hatten wir schon ein oder zwei Mal im Forum und im Netz gibt zu diesem Thema zahlreiche Beiträge.

 

[xsid]

@Mornsgrans
Guten Morgen, wie gehst Du mit der Problematik um?

MfG
xsid

 

[elarei]

zur Info: auf Grund mehrfacher, ehrverletzender Äußerungen (u.a. "Drogenabhängiger" in einer PN an mich, sowie weitere in Richtung eines anderen Mitglieds) wurde der User nun dauerhaft gesperrt.

Man kann sich schon wundern, dass hier Administratoren existieren, die sich aus irgendwelchen nichtöffentlichen Profilinformationen von Mitgliedern private Infos über diese holen, damit nachforschen, um ihre egal wie irrelevante persönliche Qualifikation im Forum öffentlich in Zweifel zu stellen, und sich dann über deren "ehrverletzendes" Verhalten zu mokieren.

 

[deeptrancer]

Man kann sich schon wundern, dass hier Administratoren existieren, die sich aus irgendwelchen nichtöffentlichen Profilinformationen von Mitgliedern private Infos über diese holen, damit nachforschen, um ihre egal wie irrelevante persönliche Qualifikation im Forum öffentlich in Zweifel zu stellen, und sich dann über deren "ehrverletzendes" Verhalten zu mokieren.

ach du mal wieder...hab mir schon Sorgen gemacht

Aber ich habe aufgehört, mich über alles zu wundern, seitdem geht es mir viel besser. Kann ich nur empfehlen!

Btw: mokiert habe nicht ich mich primär, sondern eher andere User, welche per PN "beleidigt" wurden. Aber kannst du ja nicht wissen und Mutmaßungen aufstellen ist ja auch viel besser!