Windows eDrive auf neueren Laptops (hier: P14s Gen3, gilt aber auch für andere)

[cuco]

Hi,

auch wenn eDrive eine Nischenlösung zu sein scheint, ist es doch ein nettes Feature: Vollverschlüsselung aller Daten auf der SSD ohne Performanceeinbußen (ja, auch AES-NI in der CPU kostet Leistung! Teilweise sogar massiv!).

Ich habe es vor kurzem auf einem Lenovo P14s Gen3 mit einer Samsung 980 Pro probiert und musste feststellen, dass die "alte" Methode nicht mehr funktionierte. Jetzt ist (mindestens) ein Zusatzschritt nötig. Ich rekonstruiere es mal etwas aus dem Gedächtnis:

• BIOS/UEFI am besten auf Standardeinstellungen laden. Oder folgende Einstellungen kontrollieren: TPM bzw. Security-Chip muss angeschaltet sein, mindestens in Version 1.2. Es sollte im UEFI-Modus mit Secure Boot gebootet werden.
• Ein Windows (>=8) booten (ggf. vorher kurz eines installieren)
• Samsung Magician installieren und starten
• Unter "Data Management | Encrypted Drive" den Schalter anschalten. Es sollte jetzt "Zur Aktivierung bereit" da stehen.
• Neu starten, mit F12 in die Boot-Liste wechseln, mit "Tab" in den Reiter der Lenovo-Apps gehen und ThinkShield Secure Wipe starten
• einen ATA Secure Erase ausführen
• Neu starten, mit F1 ins BIOS wechseln. Dort die Option "Block SID" auf "Disabled" stellen. Speichern und neu starten
• jetzt vom USB-Stick o.ä. die Windows-Installation (>=8) starten. Achtung: Du hast nur diesen einen Versuch. Wenn du ein zweites Mal rebootest und dann erst den Installer starten willst, ist "Block SID" wieder auf "Enabled". Das wird nur für *einen* Reboot disabled. Ggf. also sonst wieder ins BIOS, wieder "Block SID" disablen und im nächsten Start vom Windows-USB-Stick starten
• Windows (Pro-Version, nicht Home) installieren. Dabei keine Partitionen manuell anlegen, sondern einfach den leeren unpartitionierten Bereich für die Installation auswählen und Windows legt selbst mehrere Partitionen passend an
• Samsung Magician installieren und starten, unter "Data Management | Encrypted Drive" checken, ob dort nun "Aktiviert" steht. Wenn nicht (z.B. weiterhin nur "zur Aktivierung bereit"), ist bis hier hin etwas schief gelaufen und du brauchst nicht weiter zu machen.
• Im Explorer auf den Arbeitsplatz gehen ("Dieser PC"), Rechtsklick auf die Festplatte, "Bitlocker verwalten", dann auf "BitLocker deaktivieren" klicken und warten, bis die Entschlüsselung der Daten fertig ist. Das ist nämlich eine unnötige Verschlüsselung in Software, die gerade zusätzlich aktiv ist.
• Startmenü öffnen (oder Windows+R drücken), gpedit.msc eintippen, Enter drücken/starten
• Unter "Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | BitLocker-Laufwerksverschlüsselung | Betriebssystemlaufwerke" folgende drei Punkte aktivieren (Doppelklick, "Aktiviert", "OK" - *nichts* dort verändern, *nur* auf Aktiviert setzen): "Verwendung der hardwarebasierten Verschlüsselung für Betriebssystemlaufwerke konfigurieren", "Zusätzliche Authentifizierung beim Start anfordern" und "Erweiterte PINs für Systemstart zulassen". Dann den Editor für Gruppenrichtlinien schließen
• Jetzt wieder im Explorer auf den Arbeitsplatz gehen ("Dieser PC"), Rechtsklick auf die Festplatte, "Bitlocker verwalten". Jetzt kannst du BitLocker aktivieren und dabei auch ein Passwort vergeben. Die Frage, ob nur der verwendete Speicherplatz oder die gesamte Platte verschlüsselt werden soll, darf *nicht* erscheinen, sonst ist bis hierhin etwas schief gegangen. Du solltest nur nach dem Passwort gefragt werden, sowie ob du vorher noch einen Reboot zum Test machen möchtest. Sonst nix. Wenn das der Fall ist: Herzlichen Glückwunsch, eDrive ist nun aktiv

 

[der_ingo]

Dummerweise dann halt möglicherweise mit Sicherheitslücken. Genau aus dem Grund ist die Funktion seit 2019 in Bitlocker ja so, dass standardmäßig immer Softwareverschlüsselung verwendet wird.

Würde ich so also eher nicht umsetzen. Ich weiß ja nicht, was du für I/O-lastige Dinge auf dem Laptop machst, aber Bitlocker war hier nicht mal auf Geräten von vor zehn Jahren an der CPU-Auslastung zu merken. Das sollte sich heute also irgendwo im irrelevanten Bereich bewegen.

 

[cuco]

Dummerweise dann halt möglicherweise mit Sicherheitslücken.

Stimmt, aber die kann es theoretisch in BitLockers-Softwareverschlüsselung auch geben. Aber du hast Recht: in den Implementierungen auf den SSDs hat es schon Lücken gegeben - wobei die nicht an eDrive lagen, sondern an Problemen in der Implementierung der Hersteller. Außerdem waren sie aufwändig auszunutzen und nur durch Ausbau der SSH und Manipulation der SSD-Firmware möglich - und sind in der Regel gepatcht.
In der Software-Variante von BitLocker sind dagegen die Lücken noch rar. Es gab mal eine fiese Lücke, bei der man das Passwort ändern konnte, ohne das alte zu kennen, die funktionierte aber nur bei PCs die mit einer Domäne verbunden sind. Aber es lässt sich sagen: Für Standard-Nutzer sollte auch die SED-Variante (eDrive) ausreichend sicher sein, erst recht seit die Hersteller nachgebessert haben.

Genau aus dem Grund ist die Funktion seit 2019 in Bitlocker ja so, dass standardmäßig immer Softwareverschlüsselung verwendet wird.

War der Standard nicht schon immer auf Software? Ich meine, man musste schon immer die Gruppenrichtlinie setzen. Aber da kann ich mich irren.

Würde ich so also eher nicht umsetzen. Ich weiß ja nicht, was du für I/O-lastige Dinge auf dem Laptop machst

Muss ich dafür unbedingt I/O-lastige Dinge tun, wenn ich weniger Leistung und damit auch Akkulebensdauer verschwenden möchte? eDrive hat da schon einige Vorteile!

aber Bitlocker war hier nicht mal auf Geräten von vor zehn Jahren an der CPU-Auslastung zu merken.

Das stimmt nicht. Ich hab' hier im Forum damals Benchmarks gepostet, weil ich die Einbußen selbst nicht glauben konnte. Ein W520, das mit seinem i7 etwa 2GB/s per AES-NI verschlüsselte hat z.B. trotzdem mit Softwareverschlüsselung in AS SSD etwa 70% der Punktzahl verloren. Das finde ich schon enorm und war alles andere als "nicht an der CPU-Auslastung zu merken" - im Gegenteil, beim Benchmark mit Verschlüsselung laggte das Gerät merkbar, ohne nicht. Und auch sonst waren die -70% merkbar. Siehe hier: https://thinkpad-forum.de/threads/wie-stark-bremst-truecrypt-vollverschlüsselung.165427/page-2#post-1666531 Da sind Links zu den Screenshots der Benchmarks.

Das sollte sich heute also irgendwo im irrelevanten Bereich bewegen.

Da wäre ich mir nach meinen bisherigen Erfahrungen nicht so sicher...

Abgesehen davon bin ich in den vergangen Jahren immer mal wieder kontaktiert worden mit Fragen zur Einrichtung von BitLocker. So klein scheint das Interesse da also nicht zu sein

 

[der_ingo]

Das stimmt nicht. Ich hab' hier im Forum damals Benchmarks gepostet, weil ich die Einbußen selbst nicht glauben konnte. Ein W520, das mit seinem i7 etwa 2GB/s per AES-NI verschlüsselte hat z.B. trotzdem mit Softwareverschlüsselung in AS SSD etwa 70% der Punktzahl verloren.

Da hast du allerdings Truecrypt gemessen und nicht Bitlocker.

Abgesehen davon bin ich in den vergangen Jahren immer mal wieder kontaktiert worden mit Fragen zur Einrichtung von BitLocker. So klein scheint das Interesse da also nicht zu sein

Bitlocker einzurichten ist ja auch generell sinnvoll.
Ob es nun der oben beschriebene Hardware-Weg sein muss, der ja nun nicht gerade einfach und schnell zu bewerkstelligen ist, muss dann jeder selbst beurteilen. Mir persönlich wäre das schon vom Aufwand zuviel.

 

[sl500]

@cuco

Wo finde ich denn die Option im BIOS/UEFI?

Neu starten, mit F1 ins BIOS wechseln. Dort die Option "Block SID" auf "Disabled" stellen. Speichern und neu starten

 

[cuco]

Bei mir ist sie unter "Security | Password" - wo man sie nicht unbedingt vermuten würde, zumindest nicht unter "Password"... Und sie heißt bei mir vollständig "Block SID Authentication", aber laut Internet heißt sie bei manchen Geräten/Herstellern auch "Block SID support" oder einfach nur "Block SID". Oder ist sogar umgekehrt bezeichnet, nämlich "Disable block SID", was man aufgrund der Negierung dann auf "Enabled" stellen muss (MSI nennt es wohl so... ).

Da hast du allerdings Truecrypt gemessen und nicht Bitlocker.

Ich kann mich erinnern, dass Tests mit BitLocker genau so aussahen.

Bitlocker einzurichten ist ja auch generell sinnvoll.
Ob es nun der oben beschriebene Hardware-Weg sein muss, der ja nun nicht gerade einfach und schnell zu bewerkstelligen ist, muss dann jeder selbst beurteilen. Mir persönlich wäre das schon vom Aufwand zuviel.

Ist halt ein Tick mehr Aufwand, das stimmt. Man muss aufgrund des nötigen Secure Erase auf jeden Fall neu installieren. Und halt die Gruppenrichtlinien einmal anpassen. Aber ich installiere selten genug neu, als dass sich das lohnt. Wenn man die Schritte weiß (deswegen ja meine Anleitung oben), ist es auch schnell eingerichtet (wenn man eh neu installieren will oder z.B. ein neues Gerät hat). Wenn man halt erstmal rumprobieren und googlen muss, dann kann es wirklich einiges an Zeit kosten. Aber deswegen die Hilfestellung.

 

[sl500]

Bei meinem Gerät heisst die Option so...

Beitrag automatisch zusammengeführt: 27 Sep. 2022

@cuco

Wie hast du das mit dem Block SID überhaupt herausgefunden?
Bin gespannt wie es sich verhält, wenn es diese Option im UEFI gar nicht gibt --> E15 Gen3 AMD z.Bsp.

Beitrag automatisch zusammengeführt: 27 Sep. 2022

Kurzes Zwischenfazit:

Habe es jetzt mit der Samsung 980 in einem E15 Gen3 AMD probiert --> dort gibt es den Punkt Block SID im UEFI nicht und der Secure Wipe hat auch 20min statt nur ein paar Sekunden gedauert...

eDrive wird auch nach der Windows 10 Pro Installation in Samsung Magican als aktiv angezeigt, aber Bitlocker fragt dann ob der gesamte oder nur der verwendete Speicherplatz verschlüsselt werden soll :/

 

[cuco]

@cuco

Wie hast du das mit dem Block SID überhaupt herausgefunden?

Hab es erfolglos probiert und dann gegoogelt, dabei bin ich in einem Samsung-Forum auf die Option gestoßen. Also ausprobiert und dann ging es bei mir auf Anhieb.

Bin gespannt wie es sich verhält, wenn es diese Option im UEFI gar nicht gibt --> E115 Gen3 AMD z.Bsp.

Gute Frage...

Habe es jetzt mit der Samsung 980 in einem E15 Gen3 AMD probiert --> dort gibt es den Punkt Block SID im UEFI nicht und der Secure Wipe hat auch 20min statt nur ein paar Sekunden gedauert...

Letzteres ist wirklich komisch. Das klingt irgendwie, als wenn er keinen echten "ATA Secure Erase" ausgeführt hat - also den Schlüssel nicht "weggeworfen" hat, wie er müsste, sondern stattdessen die ganze SSD überschrieben hat, was zwar zum Vernichten der Daten ähnlich effektiv sein könnte, aber eben nicht den nötigen Secure Erase nutzt.

eDrive wird auch nach der Windows 10 Pro Installation in Samsung Magican als aktiv angezeigt

Das wiederum klingt, als wenn der Secure Erase und alles weitere doch geklappt hat. Bis hierhin eigentlich schon mal positiv.

aber Bitlocker fragt dann ob der gesamte oder nur der verwendete Speicherplatz verschlüsselt werden soll :/

Gruppenrichtlinien gesetzt? Und auch nur aktiviert, aber nichts darin verändert?

 

[sl500]

Gruppenrichtlinien gesetzt? Und auch nur aktiviert, aber nichts darin verändert?

Korrekt, nur die 3 Richtlinien aktiviert und sonst nix...

 

[cuco]

Du könntest mal probieren bei der Richtlinie "Verwendung der hardwarebasierten Verschlüsselung für Betriebssystemlaufwerke konfigurieren" den Haken bei "Softwarebasierte Verschlüsselung von BitLocker verwenden, wenn keine hardwarebasierte Verschlüsselung verfügbar ist" abzuwählen. Vermutlich wird dir BitLocker nun aber melden, dass es den Vorgang gar nicht mehr ausführen kann?

 

[sl500]

Dann kommt trotzdem die Abfrage welcher Bereich verschlüsselt werden soll^^

 

[cuco]

Wenn du "rsop.msc" ausführst, sieht es dann auch so aus?


Und was kommt raus, wenn du in einer Admin-Shell "manage-bde -status" eintippst?

 

[sl500]

Ja, sieht auch so aus

Das XTS-128 oder sowas verwendet wird, und er gerade am Verschlüsseln ist...

 

[cuco]

Hm, da sollte eigentlich nichts am verschlüsseln sein, eigentlich müsste da sowas wie "der Schutz ist deaktiviert" stehen, bevor du BitLocker jetzt aktivierst.

 

[sl500]

War ja schon nachdem Neustart...

Beitrag automatisch zusammengeführt: 30 Sep. 2022

Update:

Habe bei der 980er jetzt einen PSID Revert via Samsung Magican im Zweitgerät durchgeführt und dann eDrive wieder auf bereit zum Aktivieren gesetzt.

Im Hauptgerät dann die ATA Secure Erase durchgeführt (diesmal war er auch in ein paar Sekunden durch) - danach Block SID Authentication im UEFI auf disabled gesetzt und beim nächsten Boot dann Windows 10 Pro vom Stick installiert.


Nach der Installation mit Samsung Magican im Hauptgerät den eDrive Status gecheckt - Aktiviert - also die 3 Gruppenrichtlinien gesetzt und Bitlocker aktiviert (es war kein Bitlocker nach der Installation aktiv) - tada, es kam wieder die Abfrage welcher Platz verschlüsselt werden soll :/

eDrive mag mich einfach nicht

 

[cuco]

Hmm strange... In der 970er Serie gab's Mal einen Firmware-Bug, durch den es mit der Evo nicht ging, mit der Pro aber schon. Keine Ahnung ob sie das je gefixt haben aber wäre schon komisch, wenn das in der 980er Serie wieder so wäre. Irgendwo ist da aber offenbar ein Bug... In der SSD-Firmware, im UEFI-BIOS oder Windows mag da irgendwas nicht

 

[ebastler]

Hab dsa jetzt bei meiner 980Pro im T14s G3A gemacht (wenn auch nicht nach deiner Anleitung sondern nach einer ähnlichen im Netz - den Thread hat mir sl500 eben erst gezeigt, hab ihn leider nicht selbst gefunden gehabt). Hat problemlos geklappt.

"Zusätzliche Authentifizierung beim Start anfordern" und "Erweiterte PINs für Systemstart zulassen"

Was machen die beiden? Die hat meine Anleitung nicht aktiviert, sollte ich das noch machen?

Wenn du ein zweites Mal rebootest und dann erst den Installer starten willst, ist "Block SID" wieder auf "Enabled".

War bei mir nicht so, ich musste manuell ins UEFI und es wieder aktivieren - andere Anleitung meinte auch das solle sich selber aktivieren. Ggf ein Bug im UEFI des T14s G3A?

Das sollte sich heute also irgendwo im irrelevanten Bereich bewegen.

Von oben nach unten: Bitlocker mit Hardwareverschlüsselung, kein Bitlocker, Bitlocker mit Software-Verschlüsselung. T14s G3A, Samsung 980Pro 2 TB. Benches in direkter Folge (also, mit Reboots dazwischen wegen HW ENcryption, aber ohne Änderungen am System) laufen lassen, keine (auffälligen) Hintergrundprozesse oder Windows Updates am Laufen. Bei manchen Anwendungen auch spürbar langsamerer Start oder Betrieb.

 

[sl500]

Was machen die beiden? Die hat meine Anleitung nicht aktiviert, sollte ich das noch machen?

Du musst dann noch eine PIN vorm Booten ins OS eingeben

 

[cuco]

Was machen die beiden? Die hat meine Anleitung nicht aktiviert, sollte ich das noch machen?

Vermutlich bootet er gerade einfach so trotz BitLocker?
"Zusätzliche Authentifizierung beim Start anfordern" sollte dafür sorgen, dass du beim Start nach dem Passwort gefragt wirst damit das ganze überhaupt startet.
"Erweiterte PINs für Systemstart zulassen" sorgt dafür, dass du nicht nur Zahlen (PIN) sondern auch Buchstaben und Sonderzeichen als Passwort festlegen kannst.

War bei mir nicht so, ich musste manuell ins UEFI und es wieder aktivieren - andere Anleitung meinte auch das solle sich selber aktivieren. Ggf ein Bug im UEFI des T14s G3A?

Könnte sein, bei mir hat es sich jedenfalls selbstständig zurück gestellt.

Von oben nach unten: Bitlocker mit Hardwareverschlüsselung, kein Bitlocker, Bitlocker mit Software-Verschlüsselung. T14s G3A, Samsung 980Pro 2 TB. Benches in direkter Folge (also, mit Reboots dazwischen wegen HW ENcryption, aber ohne Änderungen am System) laufen lassen, keine (auffälligen) Hintergrundprozesse oder Windows Updates am Laufen. Bei manchen Anwendungen auch spürbar langsamerer Start oder Betrieb.

Positiv: das deckt sich absolut mit meinen eigenen Erfahrungen und Messwerten. Starker Einbruch mit BitLocker in Software trotz AES-NI, besonders bei zufälligen Zugriffen und vor allem ein merkbarer Einbruch, nicht nur ein theoretischer laut Benchmark. Vielen Dank für deine Tests!
Negativ: daran hat sich offenbar auch in über 10 Jahren nichts verändert, ja nicht Mal wirklich verbessert, es ist immer noch genau so desaströs heftig. Ich hätte schon erwartet, dass der Unterschied zwischen Verschlüsselung in Hardware und in Software langsam geringer geworden wäre, immerhin ist die Technik 10 Jahre weiter. Leider nicht.

 

[schnag]

Vermutlich bootet er gerade einfach so trotz BitLocker?
"Zusätzliche Authentifizierung beim Start anfordern" sollte dafür sorgen, dass du beim Start nach dem Passwort gefragt wirst damit das ganze überhaupt startet.
"Erweiterte PINs für Systemstart zulassen" sorgt dafür, dass du nicht nur Zahlen (PIN) sondern auch Buchstaben und Sonderzeichen als Passwort festlegen kannst.


Könnte sein, bei mir hat es sich jedenfalls selbstständig zurück gestellt.


Positiv: das deckt sich absolut mit meinen eigenen Erfahrungen und Messwerten. Starker Einbruch mit BitLocker in Software trotz AES-NI, besonders bei zufälligen Zugriffen und vor allem ein merkbarer Einbruch, nicht nur ein theoretischer laut Benchmark. Vielen Dank für deine Tests!
Negativ: daran hat sich offenbar auch in über 10 Jahren nichts verändert, ja nicht Mal wirklich verbessert, es ist immer noch genau so desaströs heftig. Ich hätte schon erwartet, dass der Unterschied zwischen Verschlüsselung in Hardware und in Software langsam geringer geworden wäre, immerhin ist die Technik 10 Jahre weiter. Leider nicht.

Meine Erfahrungen sind da anders. Nahezu keine Leistungseinbusen mit Bitlocker.
CPUs die ich nutze: AMD 5800x, Intel mit 8th und 9th Generation.

Eventuell wurde nach der Verschlüsselung mit Bitlocker ein Trimmen mit der Win-Defragmentierung nicht durchgeführt?