Windows Bitlocker zu TCG Opal zwingen [Nachtrag: war erfolgreich!]

Windows Betriebssystem
ebastler

ebastler

Rather active member
Registriert
29 Dez. 2018
Beiträge
1.289
Moin,

Ich habe ein T14s G3 AMD mit Samsung 980 Pro 2 TB mit Win 11 Pro. Aktuell spinnt mein Notebook etwas (teils ewige Boot Zeiten nachdem das UEFI schon an Windows abgegeben hat, Probleme wieder aus Sleep zu kommen), daher soll ein neues Win11 drauf (und UEFI reset for good measure).

Sobald ich Bitlocker aktiviere (ist Standard an nach der Installation) fallen meine SSD IOPS von 800k-1mio zu ca. 100k und das OS wird (fühlbar) träger. Große Programme laden langsamer, Ordner mit vielen Files laden langsamer etc.

Ich brauche die Sicherheit einer Software-Verschlüsselung nicht, für mich würde TCG Opal der SSD mehr als ausreichen - in erster Linie dass ein eventueller Notebook-Dieb nicht an meine Daten kommt. Sensible (berufliche) Daten gibts nicht da privates Gerät, und wenn ein Geheimdienst meine Urlaubsbilder sehen will... Feel free. Umgeht Opal von mir aus.

Leider habe ich es auch mit etwas Google Suche nicht hingekriegt, Bitlocker auf Hardware Encryption zu zwingen und musste schlussendlich Bitlocker deaktivieren und stattdessen ein SSD Passwort im UEFI setzen, was aufs Selbe rauskommt (SSDs sind ja self encrypting devices, sobald ich SSD PW setze wird der decryption key ins TPM geschoben und dort mit meinem Passwort verschlüsselt abgelegt).

Ich hätte aber eigentlich lieber aktiven Bitlocker der die SSD Hardwareverschlüsselung nutzt.

Da ich es heute Abend oder morgen neu installieren werde, ist das ein guter Moment nochmal nachzufragen, ob vielleicht jemand von euch eine Idee dazu hat oder es sogar schon gemacht hat :)

mfg,
ebastler.

EDIT: https://blog.odenthal.cc/how-to-enable-bitlocker-hw-encryption-with-modern-ssds-e-g-samsung-980-pro/

Hab eine Anleitung gefunden, die hab ich leider nicht gesehen als ich das T14s neu hatte... Das erklärt, warum ich es nie zum Laufen gekriegt hab. Ich brauche ein Windows auf einem anderen Laufwerk (USB Stick), um die SSD korrekt vorzubereiten... Was n Chaos. Ich werde es mal versuchen und gebe dann Bescheid ob es klappt :)
 
Zuletzt bearbeitet:
90% der Startprobleme unter Windows resultieren m.E. aus dem aktivierten Fastboot in Windows (Energieoptionen).
 
Mornsgrans schrieb:
90% der Startprobleme unter Windows resultieren m.E. aus dem aktivierten Fastboot in Windows (Energieoptionen).
Zum Vergrößern anklicken....
Ist eine der ersten Sachen die ich immer aus mache aus genau dem Grund - zumal es bei NVMe Laufwerken eigentlich eh fast nix mehr ausmacht.
 
Bitlocker unterstützt generell keine Hardware-Verschlüsselung mehr.

Ich würde lieber nach UEFI-Reset und Windows-Neuinstallation noch mal einen neuen Benchmark starten. Möglicherweise ist der Performance-Einbruch ja auch das Ergebnis irgendeines Problems.
 
Die Option den in den HW Modus zu zwingen gibt's in den Gruppenrichtlinien, nur behauptet meiner dann meine SSD werde nicht unterstützt, obwohl sie es eigentlich wäre
 
Es gibt eine Open-Source-Software namens SEDutil, die eine SSD zwangsweise mit OPAL 2.0 unter WINDOWS und LINUX erzwingen kann. Hierfür wird eine kleine Partition am Anfang der Platte abgeknapst, in der ein Passwort eingegeben werden muss, sofern es nicht identisch mit dem Admin-Passwort ist.

Ich bezweifle allerdings, dass Bitlocker die Ursache des Problems ist. Man kann Bitlocker im Betrieb ganz einfach auch deaktivieren, dann sieht man ja den Unterschied. Mein Tipp geht eher dahin, dass die Platte "schlecht gelüftet" ist, der Controller zu heiß wird und deshalb die Verschlüsselungsrate heruntergeht.
 
ebastler schrieb:
Da ich es heute Abend oder morgen neu installieren werde...
Hab eine Anleitung gefunden
Zum Vergrößern anklicken....
Tschuldigung, ich habe keine automatisch aktivierte Bitlocker Hardware. Samsung Magician wird in der Anleitung genannt.

In einer Test-VM Maschine gibt es eine Diskette mit Autounattend.xml
Code: 
<RunSynchronous>
    <RunSynchronousCommand wcm:action="add">
       <Order>1</Order>
       <Description>PreventDeviceEncryption</Description>
       <Path>reg add HKLM\SYSTEM\CurrentControlSet\Control\BitLocker /v PreventDeviceEncryption /t REG_DWORD /d 1 /f</Path>
    </RunSynchronousCommand>
    <!-- offline local account via OOBE\BYPASSNRO on every site but literally no one credits AveYo for sharing it -->
    <RunSynchronousCommand wcm:action="add">
      <Order>2</Order>
      <Path>reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\OOBE /v BypassNRO /t reg_dword /d 1 /f</Path>
    </RunSynchronousCommand>
   </RunSynchronous>
PreventDeviceEncryption findet sich im installierten Windows 11.

Möglicherweise kannst du PreventDeviceEncryption verwenden und dann Samsung Magician verwenden. Antwort bitte nicht mit Gewehr ;)
 
think_pad schrieb:
Ich bezweifle allerdings, dass Bitlocker die Ursache des Problems ist. Man kann Bitlocker im Betrieb ganz einfach auch deaktivieren, dann sieht man ja den Unterschied. Mein Tipp geht eher dahin, dass die Platte "schlecht gelüftet" ist, der Controller zu heiß wird und deshalb die Verschlüsselungsrate heruntergeht.
Zum Vergrößern anklicken....
Hab ich schon getestet. IOPS waren katastrophal, Bitlocker aus - alles bestens. Bitlocker wieder an - mies. Bitlocker wieder aus, alles bestens. Dabei blieb es dann bis heute :/
 
Jepp.. Verschlüsselung, selbst AES mit Hardwarebeschleunigung, lässt Random Reads, IOPS, etc. zuweilen drastisch sinken selbst wenn im Benchmark rauskommt dass man 1800 MB/s packen sollte. Es gibt eben verschiedene Arten des Festplattenzugriffs. VeraCrypt ist performanter als BitLocker. Aber selbst da wird man es bei bestimmten Sachen merken.
 
Yup, sequentiell war kein Problem - immer noch 4-5 GB/s. Weit mehr als ich je brauche. Aber die deutlich gesunkenen IOPS hab ich leider bemerkt.

Ich habe es endlich Mal geschafft das Samsung Ding dazu zu zwingen, Opal zu aktivieren (dafür muss das User Passwort im uefi weg, dann secure wipe der ssd und neues Windows).

Bin gerade an der Installation des neuen Windows - schauen wir mal ob es jetzt auch mit Bitlocker auf HW Encryption gezwungen klappt.
 
@ebastler

Ich vermute mal nicht, stand damals vor dem gleichen Problem und habe es mit Windows 10 nicht hinbekommen, obwohl die SSD mit Magican vorbereitet wurde und ready war...

@cuco hatte doch auch auch schon einiges dazu geschrieben...
 
Bitlocker auf Opal zwingen hat geklappt - an den Performance Problemen hat es aber leider nichts geändert. Für den aktuellen Bench hab ich das Laufwerk kurz entschlüsselt, die zwei älteren waren mit aktiviertem Bitlocker der Opal nutzt.
1692781221324.png

Der Magician sagt, Encrypted Drive sei aktiv:
1692781295814.png

In den Gruppenrichtlinien ist Software-Verschlüsselung explizit verboten:
1692781373686.png

Als die SSD noch nicht entsprechend konfiguriert war, hat dieses Setup in den Gruppenrichtlinien dazu geführt, dass der Rechner sich weigert Bitlocker zu aktivieren ("keine unterstützte Hardware"), nun ist es möglich - das hieße für mich eigentlich dass es auf der SSD laufen muss. Warum die Performance trotzdem fast identisch schlecht ist wie bei SW Verschlüsselung... Ich hab keine Ahnung.
Beitrag automatisch zusammengeführt:

Okay, anscheinend hatte sich der Bitlocker in SW aktiviert bevor ich die Gruppenrichtlinien entsprechend gesetzt habe... Bitlocker deaktiviert (ewiges Entschlüsseln...) + neu aktiviert ("bitte starten Sie Ihr Gerät neu um die Verschlüsselung zu aktivieren") und jetzt läuft der Eimer:
1692782443741.png

Volle Performance, aktivierter Bitlocker - die Hardware Verschlüsselung hat damit geklappt und ich bin zufrieden.

ebastler schrieb:
https://blog.odenthal.cc/how-to-enable-bitlocker-hw-encryption-with-modern-ssds-e-g-samsung-980-pro/:)
Zum Vergrößern anklicken....
Das Windows to go war übrigens nicht nötig - ich konnte nachdem ich das UEFI SSD PW entfernt hatte in meinem alten Windows auf der 980 Pro direkt booten und dort im Magician das Encrypted Device aktivieren, dann secure erase, dieses SID Setting im UEFI (unter Security -> Password) und neues Windows etc nach Anleitung und alles lief bestens.
 
Zuletzt bearbeitet:
manage-bde -status sagt auch Hardwareverschlüsselung?
 
Ich hatte auch alles so vorbereitet und trotzdem kam dann bei der manuellen Bitlockerverschlüsselung die Abfrage ob die ganze Platte verschlüsselt werden soll oder nur der belegte Speicherplatz --> eindeutiges Zeichen, dass es keine HW-Verschlüsselung ist...
 
sl500 schrieb:
Ich hatte auch alles so vorbereitet und trotzdem kam dann bei der manuellen Bitlockerverschlüsselung die Abfrage ob die ganze Platte verschlüsselt werden soll oder nur der belegte Speicherplatz --> eindeutiges Zeichen, dass es keine HW-Verschlüsselung ist...
Zum Vergrößern anklicken....

Hmm, kurios... Ich find Microsoft da allgemein übel nervig. Warum kommt nicht einfach ein "Wir empfehlen Software Verschlüsselung wegen höherer Sicherheit, bitte klicken Sie hier wenn sie auf eigene Gefahr auf Hardware Verschlüsselung zurückgreifen wollen (Achtung, potentiell sind Ihre Daten nicht sicher verschlüsselt!)" und gut ist. Kann dann jeder selbst entscheiden.

Hast du auch diesen Punkt abgearbeitet? Bei mir gabs das als Option im UEFI, daher musste ich das Powershell Zeug nicht machen. Ich hab aber nicht wirklich verstanden was das tut und warum man es machen sollte.
Now you need to disable "Block SID" in the BIOS of your mainboard, where you also find your TPM config. If you do not have this option in the BIOS (like me) there is a way to do this in a Windows 2 Go installation:
- open Powershell as admin in Windows 2 Go
- Run: `$tpm = gwmi -n root\cimv2\security\microsofttpm win32_tpm`
- Run: `$tpm.SetPhysicalPresenceRequest(97)`
- Reboot
Zum Vergrößern anklicken....
 
Ja, genau das hatte ich damals nach @cuco's Anleitung ja gemacht - hier ist der Post:

Windows - eDrive auf neueren Laptops (hier: P14s Gen3, gilt aber auch für andere)

Hi, auch wenn eDrive eine Nischenlösung zu sein scheint, ist es doch ein nettes Feature: Vollverschlüsselung aller Daten auf der SSD ohne Performanceeinbußen (ja, auch AES-NI in der CPU kostet Leistung! Teilweise sogar massiv!). Ich habe es vor kurzem auf einem Lenovo P14s Gen3 mit einer...
thinkpad-forum.de thinkpad-forum.de
 
Oh den Thread kannte ich nicht, da hätte ich mir meinen sparen können... Cuco hat im Grunde das selbe erklärt wie die von mir verlinkte Anleitung, nur deutlich ausführlicher :)

Schräg, dass es bei cuco und mir klappt, bei dir aber spinnt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben