Bitlocker ab Werk aktiv?

aleskr

Active member
Registriert
30 Juni 2007
Beiträge
1.183
Hallo zusammen.

Ich melde mich mal wieder mit der nächsten Frage.
Ich habe von Lenovo passend zu meinem Thinkpad T480 den Wiederherstellungsdatenträger heruntergeladen und mit dem Recovery Tool ein USB Medium erstellt um den Auslieferungszustand des Gerätes wiederherstellen zu können (Windows 10 Pro).

Dieses habe ich auch getan, da es ein Gebrauchtgerät ist bzw ein refurbished Gerät, bei dem die 1.Akkunutzung am 28.12.2019 war (wie ich mit der Thinkvantage Software gesehen habe - interner sowie externer Akku).
Somit ist es ja quasi ein Neugerät...

Jedenfalls habe ich das Recovery gemacht um Windows 10 Pro auf den Werksauslieferunfszustand zu bringen, was auch funktioniert hat. Bei der Installation habe ich mich dann schon mit dem WLAN verbunden und auch meine Windows Live ID bzw das Microsoft Konto angegeben.

Dann bemerkte ich nach der Installation beim Stöbern in meinem Microsoft Konto, das Bitlocker aktiv ist und auch der Wiederherstellungsschlüssel im Microsoft Konto hinterlegt ist.

Ich habe ja nichts gegen Bitlocker, zumal die von mir verbaute SSD (Kingston KC2000) auch Hardware Verschlüsselung unterstützt und somit anscheinend keine Performance Einbußen stattfinden. Nur was mich sehr wundert, das ich während dem Recovery nicht darauf hingewiesen wurde das das Laufwerk Bitlocker - verschlüsselt wird und ich auch nicht darauf hingewiesen wurde, daß es einen Wiederherstellungsschlüssel gibt, den ich mir sichern muss/sollte.

Nun meine Frage: Wie kommt so etwas zustande bzw ist es normal das die Thinkpads (zumindest T Serie) ab Werk mit Bitlocker verschlüsselt sind und das der Nutzer darauf nicht hingewiesen wird bzw selbst entscheiden kann ob er das möchte oder nicht?

Vielen Dank!
 
Auf neuen ThinkPad 10 war ab Werk Bitlocker aktiv, nur die Verschlüsselung war noch nicht durchgeführt.
Man muss wohl zwei Stufen unterscheiden:
- Bitlocker aktiviert
- Verschlüsselung durchgeführt

Genauso kann man ja auch mit Bitlocker USB-Laufwerke verschlüsseln, ohne, dass das Systemlaufwerk davon tangiert wird.
 
Code:
manage-bde -status c:

In der Konsole.
 
Nun meine Frage: Wie kommt so etwas zustande bzw ist es normal das die Thinkpads (zumindest T Serie) ab Werk mit Bitlocker verschlüsselt sind und das der Nutzer darauf nicht hingewiesen wird bzw selbst entscheiden kann ob er das möchte oder nicht?
Das passiert nicht ab Werk. Das passiert ab dem Moment, in dem du dich mit dem Microsoft Konto angemeldet hast und das System festgestellt hat, dass es a) die technischen Voraussetzungen für die Verschlüsselung hat und b) den Key automatisch im Konto speichern kann. Das passiert auch nicht nur auf ThinkPads, sondern auf allen Windows 10 Geräten, auf denen die beiden obigen Punkte zutreffen.

Warum sollte der Nutzer etwas dagegen haben, dass sein Gerät sicherer wird? Wenn er tatsächlich einen Grund dagegen hat, kann er die Sache ja wieder aufheben. Standardmäßig aber zuerst mal die Sicherheit zu forcieren ist der sinnvolle Weg.

Bitlocker nutzt übrigens generell keine Hardwareverschlüsselung der SSD mehr, da diese teils unsicher war. Es wird immer per Software verschlüsselt. Auf heutigen Systemen merkt man da keine Performanceunterschiede, da die entsprechenden Funktionen in der CPU genutzt werden, die speziell die Verschlüsselung beschleunigen.
 
Meines Wissens nach unterstützt Bitlocker nach wie vor eine Hardwareverschlüsselung.
Dann frage ich mich aber wieso der Nutzer keine Ingo Meldung bekommt wenn über Bitlocker verschlüsselt wird.
Man merkt es nicht, weiß es u. U. nicht und steht plötzlich - warum auch immer da und soll den Key eingeben...
 
Und weiterhin nutzen wir einen DELL E5580, Business Gerät, mit 256GB SSD und Microsoft Konto und hier wurde Bitlocker nicht automatisch aktiviert.
Wie gesagt stört es mich nicht aber ich finde es komisch das man nicht darauf hingewiesen wird. Denn im Falle des Falles hat man sich den Schlüssel nicht notiert, hat keinen Zugang zum MS-Konto oder noch schlimmer das er vielleicht aus welchen Gründen auch immer nicht mehr im MS Konto hinterlegt ist und somit alle Daten für immer nicht mehr zugänglich wären.... :/
 
Meines Wissens nach unterstützt Bitlocker nach wie vor eine Hardwareverschlüsselung.

Dein Wissen ist dann nicht ganz auf dem aktuellen Stand.
https://support.microsoft.com/en-us/help/4516071/windows-10-update-kb4516071
"Changes the default setting for BitLocker when encrypting a self-encrypting hard drive. Now, the default is to use software encryption for newly encrypted drives. For existing drives, the type of encryption will not change."
Und weiterhin nutzen wir einen DELL E5580, Business Gerät, mit 256GB SSD und Microsoft Konto und hier wurde Bitlocker nicht automatisch aktiviert.

Dann unterstützt die Hardware das nicht. Das Gerät muss SecureBoot aktiv haben, d.h. im UEFI Modus booten und Connected Standby unterstützen. Dann wird automatisch die Geräteverschlüsselung aktiv.
Wie gesagt stört es mich nicht aber ich finde es komisch das man nicht darauf hingewiesen wird. Denn im Falle des Falles hat man sich den Schlüssel nicht notiert, hat keinen Zugang zum MS-Konto oder noch schlimmer das er vielleicht aus welchen Gründen auch immer nicht mehr im MS Konto hinterlegt ist und somit alle Daten für immer nicht mehr zugänglich wären.... :/
Wenn der Schlüssel nicht im Konto hinterlegt werden kann, wird auch nicht verschlüsselt. Wenn man keinen Zugriff zu seinem MS Konto hat, wie will man sich denn am PC anmelden? Denn das MS Konto ist ja Voraussetzung für die Verschlüsselung.

Hat dich dein Handy extra drauf hingewiesen, dass der Speicherplatz verschlüsselt ist? Warum soll Windows auf etwas hinweisen, was heute für mobile Geräte selbstverständlich ist?
 
Also ich habe schon öfter gelesen das Thinkpads nach Änderungen im BIOS zB nach einem Bitlocker Schlüssel gefragt werden....
Da hinkt der Vergleich mit einem Handy.
Wie dem auch sei weiß ich ja nun Bescheid, das es anscheinend normal ist.
Wäre halt blöd wenn das Mainboard zB im Thinkpad durch den VOS getauscht werden muss und man nicht mehr an seine Daten kommt. Von daher wäre ein Hinweis dennoch klasse.
 
Ja, Änderungen an der Hardware oder deren Konfiguration können von Bitlocker bemerkt werden und dann wird halt nach dem entsprechenden Schlüssel gefragt.
Wenn du die Befürchtung hast, aufs MS Konto nicht zugreifen zu können, speichere dir den Wiederherstellungsschlüssel noch mal irgendwo. Nur halt nicht auf dem betroffenen Gerät. :)
 
Denn das MS Konto ist ja Voraussetzung für die Verschlüsselung
Sicher? - Ich habe auch ohne MS-Konto verschlüsselt, Bitlocker bietet dann an, den Wiederherstellungsschlüssel auf einem externen Laufwerk (USB) zu speichern.

Wäre halt blöd wenn das Mainboard zB im Thinkpad durch den VOS getauscht werden muss und man nicht mehr an seine Daten kommt.
Die grundlegenden Dinge sollte der geneigte User aus dem FF beherrschen. - An erster Stelle sei hier das Stichwort "Backup" genannt.
 
Es geht doch nicht darum, ob man den Schlüssel speichern kann oder nicht! Bitte den Ausgangspost lesen.

Es geht darum, daß der Nutzer (hier ich) nicht darauf hingewiesen wurde das das Laufwerk verschlüsselt wurde und das ich mir den Schlüssel sichern sollte!

Nach der nächsten Änderung oder BIOS Update (was weiß ich) wäre ich unter Umständen nicht mehr an meine Daten gekommen und ich hätte guten Wissens gesagt: Bitlocker war nie aktiv!
 
@Mornsgrans
Weder noch! Zumindest bei einem Recovery über die Lenovo Wiederherstellungsmedien bekommt man keine Meldung oder dergleichen. Ich klicke nicht "einfach so" eine Meldung weg.
Nun ist es ja so, daß eine Lenovo Recovery nicht vergleichbar mit einem Clean Install ist, da bei der Recovery einige Prozesse zusätzlich automatisiert über Batch-Dateien ablaufen. Mag sein, daß bei dem Prozedere eine Meldung "verschütt geht" oder dem User nicht angezeigt wird.
Ich finde das aber schon fatal, vor allem für User die nicht so viel Ahnung von der Materie haben.

Zumal mir auch noch nicht ganz klar ist, wie die Verschlüsselung bei mir nun arbeitet.
Ich muss beim Booten ja kein Bitlocker Passwort eingeben. Ich schalte das Thinkpad ein, er bootet bis zum Windows Anmeldebildschirm und ich melde mich mit den Daten des MS Kontos an.
Wie greift hier die Verschlüsselung überhaupt? Bzw ab welchem Punkt wird hier entschlüsselt (ohne Passwort?)
 
Zuletzt bearbeitet:
Fahre Windows ganz herunter, boote ein Live-Linux nd schaue nach, ob Du Zugriff auf die Windows-Partition hast. Ist dies der Fall, ist das Laufwerk nicht verschlüsselt.
 
Muss ich mal testen.
Im Windows Explorer ist es jedenfalls mit dem Schlüssel-Symbol versehen.
Glaube aber da war was mit aktiviertem TPM Chip, das man beim Booten kein Passwort braucht weil es über TPM entschlüsselt wird.
 
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben