eDrive/Bitlocker funktioniert nicht unter Windows 8.1 + Samsung 850 Pro

[SF6]

Hallo,

ich habe hier eine neue Samsung 850 Pro. Lt. diversen Anleitungen weiß ich, dass ich für eDrive den Security Status auf "an" stellen muss mit Magician. Aber gilt das auch für eine neue, unbenutzte SSD?

Muss ich also erst Windows installieren, dann mit Magician den Status ändern + Secure erase durchführen um dann wieder Windows zu installieren?

Danke und Gruß

 

[cuco]

Leider ja Mir ist keine andere Möglichkeit bekannt.

 

[SF6]

Das Zeug macht mich echt fertig. Seit 5 Stunden sitze ich schon dran, und schaffe es nicht.

Beim ersten mal sah alles so als, als ginge es. Secure Erase lief, dann wieder CSM aus und Windows 8.1 im UEFI Modus installiert. Dann habe ich versucht Bitlocker zu aktivieren... und sehe wieder den Kack Balken. Wahrscheinlich habe ich vergessen, den TPM zu löschen?

Jetzt versuche ich das ganze erneut; fange also wieder beim Secure Erase an und bekomme auf einmal eine Fehlermeldung, dass "Secure Erase not supported on this drive" obwohl er die SSD erkannt hat.

 

[cuco]

und sehe wieder den Kack Balken. Wahrscheinlich habe ich vergessen, den TPM zu löschen?

Welchen Balken? Die Fortschrittsanzeige von BitLocker? Einfacher ist es vielleicht, erst im Samsung Magician zu überprüfen, ob alles geklappt hat

Mein Vorgehen wäre:
- neueste Firmware auf die SSD flashen
- alle non-UEFI-Features im BIOS abschalten (UEFI only, CSM aus, ...)
- Windows 8.1 im UEFI-Modus installieren. ggf. sicherstellen, ob es wirklich im UEFI-Modus läuft.
- Samsung Magician installieren und die eDrive-Funktion für die SSD aktivieren
- Secure Erase durchführen, ggf. dafür Legacy-Mode/CSM aktivieren und danach halt wieder deaktivieren
- Windows 8.1 im UEFI-Modus installieren und ggf. sicherstellen, dass es im UEFI-Modus läuft.
- Samsung Magician installieren und schauen, ob eDrive aktiv ist
- Bitlocker aktivieren. ggf. Gruppenrichtlinien anpassen

Wenn Secure Erase verweigert wird, klingt es aber so, als wenn eDrive nun aktiv ist. Den kann man nämlich nur mit dem PSID-Tool wieder loswerden.

 

[SF6]

Ich habe das alles so durchgeführt, wie du beschrieben hast. Unter Magcian steht auch encrypted drive: "enabled."

Aber es läuft eben nicht, weil Bitlocker den Fortschrittsbalken der Softwareverschlüsselung anzeigt, wenn ich Bitlocker aktiviere. Und das kann nicht sein, weil ich ja eben die Hardwareverschlüsselung nutzen möchte. Den Balken dürfte ich also gar nicht zu Gesicht bekommen.

 

[cuco]

Hmm da kann ich nur spekulieren. Aber da eDrive nun aktiv ist und sich nicht deaktivieren lässt, müsste man an anderen Stellen suchen. Die SSD ist es nun definitiv nicht mehr.
Z.B.
- ist es wirklich im UEFI Modus installiert?
- sind wirklich alle BIOS-Features deaktiviert und nur noch UEFI aktiv ohne CSM u.ä.
- gehört das TPM wirklich dir? Ggf mal komplett löschen/leeren und dann Windows neu installieren
- passt die UEFI-Mindestversion für eDrive? Evtl BIOS/UEFI Update durchführen
- wird das TPM Modul überhaupt erkannt und ist voll funktionstüchtig?
- zuletzt könnten es natürlich auch Bugs im BIOS/UEFI deines Boards sein, die das verhindern...

 

[SF6]

Z.B.
- ist es wirklich im UEFI Modus installiert? JA
- sind wirklich alle BIOS-Features deaktiviert und nur noch UEFI aktiv ohne CSM u.ä.A JA, aber mal aus Interesse: Welche Einstellung könnte noch Probleme verursachen? Secure Boot ist an. CSM ist definitiv aus. Unter Windows wird mir die Installation auch als UEFI angezeigt (Boot Mode = UEFI).
- gehört das TPM wirklich dir? Ggf mal komplett löschen/leeren und dann Windows neu installieren JA, bereits mehrfach installiert.
- passt die UEFI-Mindestversion für eDrive? Evtl BIOS/UEFI Update durchführen Ist ein X99M-Killer Mainboard mit aktuellem Bios. Was neueres gibt es nicht.
- wird das TPM Modul überhaupt erkannt und ist voll funktionstüchtig? JA
- zuletzt könnten es natürlich auch Bugs im BIOS/UEFI deines Boards sein, die das verhindern. Das bliebe jetzt als einzige Möglichkeit übrig. Ich habe ASRock schon angeschrieben.

- - - Beitrag zusammengeführt - - -

EDIT: Was ist eigentlich mit Secure Boot? Muss das an oder aus sein beim Installieren von Windows? Ich habe diesbezüglich widersprüchliche Aussagen gefunden.

 

[tpm]

Aber es läuft eben nicht, weil Bitlocker den Fortschrittsbalken der Softwareverschlüsselung anzeigt, wenn ich Bitlocker aktiviere. Und das kann nicht sein, weil ich ja eben die Hardwareverschlüsselung nutzen möchte. Den Balken dürfte ich also gar nicht zu Gesicht bekommen.

Versuch vielleicht mal BitLocker über die Commandline zu aktivieren, da gibt es den Parameter "-ForceEncryptionType hardware" um die Softwareverschlüsselung auszuschließen. Ob es damit funktioniert kann ich nicht sagen, aber zumindest sollte ein Fehler ausgegeben werden wenn die Hardwareverschlüsselung nicht verwendet werden kann, mit dem sich vielleicht etwas mehr anfangen lässt.

 

[think_pad]

z.B.
...
- zuletzt könnten es natürlich auch Bugs im BIOS/UEFI deines Boards sein, die das verhindern. Das bliebe jetzt als einzige Möglichkeit übrig. Ich habe ASRock schon angeschrieben.

Eine bestimmte Intel-Rapid-Version (RST) hat im Sommer 2014 ebenfalls die eDrive-Funktionalität mit genau diesen Symptomen verhindert, ohne diesen Treiber funktionierte es wohl.

 

[cuco]

So ich habe für dich jetzt mal meine BIOS-Optionen alle durchgeschaut, da ich mich erinnere, dass ich damals auch ein paar Probleme hatte, bis ich es aktiv hatte. Wobei es bei mir daran lag, dass eine der Netzwerkkarten in meinem System keine dafür geeigneten Treiber im UEFI hinterlegt hatte, so dass mein BIOS probierte, in den Legacy-Mode zu schalten oder bei jedem Start Warnungen anzeigte. Ich wollte davon aber ja kein PXE-Boot machen, daher waren mir die fehlenden Treiber egal. Hier nun meine Konfiguration:


Asus Z87-EXPERT mit neuestem BIOS/UEFI
ASUS TPM/FW3.19 (TPM-Aufsteck-Modul für den TPM-Header)
Samsung 840 Evo mit neuester Firmware

BIOS/UEFI Einstellungen bzw. Statusanzeigen, die wichtig sein könnten (dafür musste ich erst die erweiterte Ansicht im BIOS aktivieren):

Advanced | Trusted Computing | Configuration:
- Security Device Support: Enable
- TPM state: Enabled
- Pending operation: None

Advanced | Trusted Computing | Current Status Information:
- TPM Enabled Status: Enabled
- TPM Active Status: Activated
- TPM Ownder Status: Owned

Advanced | SATA Configuration:
- SATA Mode Selection: AHCI

Advanced | Onboard Devices Configuraion:
- Intel PXE Option ROM: Disabled

Advanced | Network Stack Configruation:
- Network Stack: Disabled

Boot:
- Network Stack Driver Support: Disabled

Boot | CSM (Compatibility Support Module):
- Launch CSM: Enabled
- Boot Device Control: UEFI only
- Boot from Network Devices: Ignore
- Boot from Storage Devices: UEFI Driver first
- Boot from PCI-E/PCI Expansion Devices: UEFI Driver first

Boot | Secure Boot:
- Secure Boot state: Enabled
- Platform Key (PK) state: Loaded
- OS Type: Windows UEFI Mode

Boot | Secure Boot | Key management:
- PK Management: Loaded
- KEK Management: Loaded
- DB Management: Loaded
- DBX Management: Loaded

Du kannst ja mal durchchecken bei dir

Leider ist Asrock bekannt dafür, ein Billighersteller zu sein und es wäre nicht der erste Bug dieser Art. Ich persönlich meide Asrock wie die Pest, habe noch keinen Mainboardhersteller mit so hohen Ausfallraten und so vielen BIOS-Bugs erlebt

//EDIT: @think_pad: Stimmt!
An den Threadersteller: Du hast hoffentlich den Test direkt nach der Windows-Installation gemacht und nicht schon alle Treiber usw. installiert? Mit Intel RST geht das ganze nicht mehr!

 

[SF6]

1. Ich habe immer nur ein clean install gemacht. Also keine Treiber installiert, folglich auch kein RST. iaStor ist doch der MS Treiber?Verschrieben! Es ist der storahci; das müsste der MS Treiber sein.
2. Ich habe das auch mit den Gruppenrichtlinien versucht und die Hardwareverschlüsselung erzwungen. Das ging aber auch nicht. An den exakten Wortlaut der Fehlermeldung kann ich mich nicht erinner.
Aber sinngemäß war es so was wie "kann ich nicht machen."
3. Bleibt nur noch die PXE Geschichte. Das kann durchaus sein. Darauf habe ich nicht geachtet.

Asrock ist übrigens ein ganz guter Hersteller und auf dem Niveau der anderen. Das "Biligimage" ist schon seit Jahren überholt.

Danke für eure Hilfe. Am Samstag teste ich mit einer Austausch 850 Pro.

 

[cuco]

1. Ich habe immer nur ein clean install gemacht. Also keine Treiber installiert, folglich auch kein RST. iaStor ist doch der MS Treiber?

Woops! Nein. iaStor ist der Treiber von Intel! Das ist genau der Intel RST-Treiber. Der originale Microsoft-Treiber heißt storahci. Damit haben wir - denke ich - den Übeltäter! Deinstallieren reicht im Normalfall nicht, wenn man eDrive nutzen will. Das endete zumindest bei meinen letzten Versuchen nur noch in Bluescreens beim Booten. Also doch nochmal platt machen. Und diesmal wirklich KEINE Treiber installieren. Danach genau aufpassen, was du installierst. Auch was per Windows Update an Treibern kommt. Wobei ich eigentlich meine, dass da kein Intel-RST-Treiber kommt. Vielleicht aber ja für deinen Chipsatz doch? Am besten einfach mal die Internetverbindung trennen, dann kann Windows auch keinen Treiber automatisch nachladen

 

[SF6]

Meh, das kann aber eigentlich nicht sein, da ich die ganze Liste an Updates durchgegangen bin. Da war kein Treiber dabei. Und bei der zweiten Installation habe ich Bitlocker aktiviert bevor ich überhaupt irgendein Update durchgeführt habe.

Wie verhindere ich die Installation dann?

Hatte mich oben verschrieben. Es ist/war der storahci installiert. Das ist der MS Treiber. Also am RST Treiber liegt's nicht.
Bin wieder am Anfang

 

[cuco]

Ich würde dann mal als erstes versuchen das BIOS auf erweiterte Ansicht umzustellen und dann mal die Optionen versuchen zu finden, die ich gepostet habe. Vergleichen und ggf. anpassen.

Danach im BIOS das TPM komplett löschen/leeren. Nicht deaktivieren, aber alles darin löschen lassen.

Dann Windows-Installation starten und dort die Kommandozeile aufrufen. "diskpart" starten, "list disk" um die Datenträger anzuzeigen, "select disk #" benutzen um die SSD auszuwählen (# durch die Nummer ersetzen die bei list disk rauskam), "clean" ausführen um alles zu löschen. Evtl. noch "convert gpt" eintippen, um zu schauen, ob die SSD auch wirklich im GPT-Format ist (das ist wichtig!). Mit "exit" kommst du wieder raus.
Nun die Konsole verlassen, zurück ins Menü und Windows Installation starten. Bei der Auswahl auf welcher HDD/SSD bzw. Partition installiert werden soll, einfach den nicht zugewiesenen Speicher auswählen und Weiter klicken, Windows legt sich dann selbst die Partitionen so an wie benötigt. Keine selbst anlegen.

Wie sieht es nun aus?