Windows 8 Bitlocker (eDrive) für Samsung SSD 840 EVO einrichten; Secure Erase?

P

PeterW

New member
Themenstarter
Registriert
22 Dez. 2013
Beiträge
5
Hallo,

nachdem ich nun auch ein T440s habe und bisher sehr zufrieden damit bin, wollte ich nun mal die Festplattenverschlüsselung in Windows 8.1 aktivieren.

Es scheint wohl so zu sein, dass man hier die von der SSD angebotene Hardware-Verschlüsselung nutzen kann (neueste Firmware wurde installiert). Voraussetzung: Es wurde ein Secure Erase auf der SSD durchgeführt. Ich habe also mit dem Samsung Magician Tool einen startfähigen USB-Stick erstellt, der das Secure Erase durchführen soll. Leider bekomme ich an der Stelle nur die Fehlermeldung, dass die SSD sich in einem "frozen state" befindet. Der von dem Tool angebotene Lösungsansatz ist: Stromversorgung zur SSD kurzzeitig trennen. Mal abgesehen davon, dass das irgendwie gruselig klingt... wie soll das bei einem Notebook funktionieren?

Daher die Frage: Hat schon irgendjemand hier Bitlocker und Windows 8(.1) in Verbindung mit einer Samsung 840 EVO zum Laufen gebracht? Und zwar so, dass man bei Aktivieren von Bitlocker nicht gefragt wird, ob man nur die tatsächlich vorhandenen Daten oder die ganze SSD verschlüsseln möchte. In diesem Fall greift wohl die Windows-interne Software-Verschlüsselung, während, wenn alles "richtig" funktioniert", die Verschlüsselung einfach "quasi sofort" aktiv ist.

Danke für eure Hilfe!

Viele Grüße,
Peter
 
Danke! Das klingt doch schon mal interessanter, als das, was ich bisher gefunden habe. Werd mich mal durcharbeiten...
 
Erfolg! :)

Ein Problem war vorher vermutlich tatsächlich der installierte RST-Treiber, der die eDrive-Funktionalität aktuell nicht zu unterstützen scheint. Zudem war auf jeden Fall auch ein Secure Erase der SSD notwendig, woran ich ja vorher gescheitert war. Mit Parted Magic hat es dann allerdings funktioniert (es gibt dort für kleines Geld die jeweils aktuelle Version als ISO zu kaufen; eine Ausgabe, die sich lohnt).

Nach der anschließenden Installation von Windows 8.1 war dann im "BIOS" unter Passwords schon der Eintrag für das Festplatten-Kennwort nicht mehr sichtbar. Wie ich gelernt habe, ein Indiz dafür, dass eDrive aktiv/verfügbar ist. Abschließend musste ich nur noch Bitlocker aktivieren, das dann tatsächlich nicht gefragt hat, ob nur der belegte Teil der SSD oder eben alles verschlüsselt werden soll. Stattdessen kam direkt der Hinweis, dass der Rechnen neu gestartet werden muss. Anschließend war Bitlocker aktiv.

Viele Grüße,
Peter
 
Hallo. Ganz kurze Frage. Ich habe beim Clean Install die Erfahrung gemacht, dass sich Windows 8 nicht ohne treiberdatenträger(Intel RST-treiber) auf das T440s installieren lässt. Ist das bei Windows 8.1 anders? Will auch auf EDrive umrüsten, habe jedoch vor der Installation kein Secure Erase durchgeführt, sondern nur die Recovery-Datenträger aufgespielt.

Gruß

Jo
 
Hi!

Einen fehlenden RST-Treiber habe ich bei der Installation von 8.1 nicht bemerkt. Im verlinkten Thread von rhwk (siehe oben) wird sogar davor gewarnt, das Update zu installieren. Daran habe ich mich zunächst mal gehalten und habe mit der 840 EVO keinerlei Probleme (auch performancemäßig bin ich durchaus zufrieden; wollte ja ebenfalls erst eine Pro kaufen).

Allerdings: Beim "ersten Versuch" habe ich bei der Installation lediglich sämtliche Partitionen auf der SSD gelöscht. Das ist jedoch nicht mit einem Secure Erase gleichzusetzen, den Bitlocker in Verbindung mit eDrive wohl braucht. Ich konnte Bitlocker dann zwar aktivieren, jedoch startete dann die bereits von früher bekannte Software-Verschlüsselung mit Fortschrittsbalken. Das will man aber nicht... ;)

Ich habe dann einen Secure Erase durchgeführt und noch einmal von vorn begonnen. Der Rest lief dann wie oben beschrieben.

Es muss allerdings sichergestellt sein, dass Windows in UEFI-Modus bootet. Ob das von mir vergebene "BIOS"-Kennwort wichtig ist, kann ich nicht sagen; der Vollständigkeit halber erwähne ich einfach mal, dass ich eins gesetzt habe.

Möglicherweise funktioniert diese Methode mit dem Recovery-Datenträger aber nicht, da dieser ja bereits den "problematischen" RST-Treiber enthalten dürfte.

Viele Grüße,
Peter
 
Hallo zusammen,

möchte ebenfalls mit der 840 EVO und Windows 8.1 Pro die Hardware-gestützte Verschlüsselung mit Bitlocker nutzen. Das Problem ist jedoch, dass in "Samsung SSD Magician" unter "Encypted Drive" immer "Ready to enable" steht. Laut den Anweisungen muss man ja einen Secure Erase durchführen und danach Win neu installieren.

Problem:

* Mit SSD Magician kann ich kein bootfähiges USB Medium erstellen... ("USB read/write error ..."). Hab schon alle Ports durch, auch andere Sticks, klappt nicht.
* Mit SSD Magician kann ich erfolgreich ein bootfähiges DVD Medium erstellen. Aber es bootet nicht. Auch die direkte Auswahl per F12 und dann DVD Drive klappt nicht.
* Habe - glaube ich bei anandtech - gelesen dass die Magician Software mit UEFI/GPT Probleme haben soll. Dann check ich aber nicht warum man aus dieser Software eDrive konfigurieren soll, da hierfür ja genau UEFI/GPT Voraussetzung ist?!

Habe dann nach alternativen gesucht und bin auf die bereits von Peter empfohlene Software "Parted Magic" gestoßen. Hier bin ich dann diesem Tutorial gefolgt, problemlos.
Dann Windows neu aufgesetzt, SSD Magician installiert und - siehe da - "Encrypted Drive" steht immer noch auf "Ready to enable".
 
Hallo,

ich kann mich noch ganz dunkel an meine (erfolgreiche) edrive installation erinnern: wichtig ist, dass der IRST-Treiber NICHT installiert ist und auch nicht nachträglich, sondern der Microsoft-eigene SATA-Treiber. Intel scheint edrive nicht zu unterstützen.

Wenn du die Meldung "Ready to enable" stehen hast, musst du diese edrive-option innerhalb Magician aktivieren. Anschließend führt man einen Secure Erase durch. DIes habe ich mit einer Ubuntu Live CD (bzw. USB) gemacht.
ins terminal gewechselt. anschließend bin ich folgendem Artikel gefolgt:

http://www.heise.de/ct/hotline/SSD-komplett-loeschen-1427587.html (kann ruhig im nicht-UEFI-Modus durchgeführt werden)

um den pc in den sleep modus zu verfrachten (zum unfreezen) habe ich bei ubuntu einfach pm-suspend eingegeben.
nach dem Secure erase kann Windows 8.1 (zwingend im UEFI, CSM no) installiert werden. nach der installation fällt im BIOS auf, dass die Option, ein HDD-Passwort einzugeben, fehlt. Nach dem ersten Start von Windows aktiviert man Bitlocker, wie man es klassischerweise von nicht-edrive-laufwerken kennt. Einziger unterschied, woran man merkt, dass edrive aktiv ist, dass nach dem Neustart der Fortschrittsbalken zum Verschlüsseln nicht auftaucht.

Viel Erfolg.

Gruß

Jo
 
Hallo, danke für deine Antwort.

Des Rätsels Lösung war es nun - wie du auch schon sagtest - das Samsung Secure Erase Tool im Legacy/MBR Modus durchzuführen. Dann bootet auch die von mir mit Magician erstellte DVD.
Dann wieder secure boot an (--> bedingt UEFI an und CSM aus), Windows installieren und siehe da, eDrive enabled. Bitlocker fragt mich nicht ob ich die gesamte Platte oder nur den benutzten Bereich verschlüseeln möchte, und das crypten ist sofort nach dem Neustart wirksam.

Top funktioniert nun alles!
 
Auf meinem PC habe ich auch die eDrive Funktionalität mit einer Samsung 840 Evo am laufen. Meiner Mitbewohnerin habe ich auch eine Installation auf ihrem Laptop mit eDrive eingerichtet.

Also:
- Voraussetzungen: Ein PC oder Laptop, in dem eine eDrive-fähige Platte steckt (z.B. eben die 840 Evo mit neuester Firmware, aber wohl auch die Samsung 840 Pro mit neuester Firmware oder wohl auch die Crucial M500(?)), außerdem ein TPM-Modul (v.1.2) sowie ein BIOS, was UEFI unterstützt und sich in den UEFI-only Modus mit abgeschaltetem CSM stellen lässt.
Dann:
- mit dem Samsung Magician die eDrive-Funktionalität "aktivieren" (ready to enable). Dafür ist vermutlich ein bereits installiertes Windows nötig. Bei nicht-Samsung-Platten ist dies eventuell nicht nötig?
- eventuell TPM-Modul überprüfen. Dieses muss aktiviert sein (eine Sache, die ich letztens beim Laptop meiner Mitbewohnerin vergessen hatte). Und es kann nicht schaden, dass einmal zu leeren. Das geht meist im BIOS oder auch unter Windows mit "tpm.msc" und dann auf "TPM löschen" gehen.
- Secure Erase der SSD durchführen. Geht mit einem USB-Stick oder einer DVD, die mit dem Magician dafür erstellt wird, aber UEFI muss dafür aus sein bzw. im Legacy Mode gebootet werden. Zum Löschen muss man im laufenden Betrieb die SSD einmal aus und wieder einstecken (nur Strom oder Strom+Daten ist egal). Wenn das nicht geht, nimmt man andere Möglichkeiten. Es geht wohl mit einer Linux-Live-CD und dem Tutorial: http://www.heise.de/ct/hotline/SSD-komplett-loeschen-1427587.html Alternativ geht halt wohl auch Parted Magic, wenn man es per ISO bootet oder irgendwo hab ich auch mal gelesen, dass die gparted-CD das auch kann, die man ja kostenlos im Netz downloaden kann. Keine Ahnung, wie dort dann das vorgehen ist. Aber für diese Lösungen muss man die SSD wohl nicht im laufenden Betrieb ausbauen.
- dann BIOS unbedingt auf UEFI only stellen und CSM abschalten. Also alle Legacy-Features deaktivieren. Mein PC hat anfangs gemeckert, dass eine PCIe-Netzwerkkarte dann nicht zum Booten initialisiert werden kann. Nach einem BIOS-Update konnte ich dieser aber PXE abgewöhnen und dann war auch die Fehlermeldung weg.
- Windows 8 installieren, dabei Windows die Partitionierung übernehmen lassen (wichtig! Sonst fehlen die spezielle 300MB-Partition für Bitlocker sowie die 100MB EFI-Partition). Also im entsprechenden Punkt im Setup einfach die nicht initialisierte/leere SSD anklicken und keine Partition anlegen, einfach auf Weiter klicken, dann legt Windows alles selbst an. Bei Bedarf kann man später die Windows-Partition ohne Probleme wieder verkleinern und weitere Partitionen dahinter anlegen oder für Over-Provisioning Platz frei lassen. Aber erstmal Windows die Verwaltung übernehmen lassen.
- Nach der Installation kann man den Magician wieder installieren und öffnen. Beim eDrive-Feature sollte nun bereits "aktiviert" stehen.
- "gpedit.msc" ("Editor für lokale Gruppenrichtlinien") öffnen und in folgenden Schlüssel wechseln: Richtlinien für Lokaler Computer | Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | BitLocker-Laufwerksverschlüsselung | Betriebssystemlaufwerke.
- Den Schlüssel "Zusätzliche Authentifizierung beim Start anfordern" öffnen (Achtung, genau hinschauen, es gibt einen sehr ähnliche klingenden weiteren Schlüssel) und auf "Aktiviert" stellen. Unten ggf. alle Werte auf "zulassen" stellen, falls nicht schon standardmäßig gesetzt. Mit OK schließen.
- "Erweiterte PINs für Systemstart zulassen" öffnen und ebenfalls auf "Aktiviert" setzen, mit OK schließen.
- Explorer öffnen und Rechtsklick auf das Systemlaufwerk machen, "Bitlocker aktivieren" wählen.
- Ab hier weiß ich es nicht mehr exakt aus dem Kopf und kann es gerade nicht nachschauen, aber ich meine, man wählt nun die Entsperrvariante (Kennwort bzw. ich meine, es wird hier "PIN" genannt, auch wenn durch die Einstellungen in gpedit.msc nun auch Passwörter möglich sein sollten, die nicht nur aus Zahlen bestehen, was eine PIN implizieren würde), vergibt das Kennwort und klickt sich weiter durch.
- Die Frage, ob nur der benutzte Bereich oder alles verschlüsselt werden soll, sollte NICHT kommen. Ansonsten ist irgendwas schief gegangen und eDrive nicht aktiv. Wer möchte, kann den angebotenen Test, ob das ganze alles kompatibel ist, noch einmal vorher ausführen. Das sollte aber eigentlich alles direkt klappen und man kann den Test auch überspringen. Einmal hatte ich auch, dass der Test im ersten Versuch fehlschlug. Im zweiten klappte dann aber alles.
- Den "Wiederherstellungsschlüssel" sollte man irgendwo sichern. Auf dem gleichen Systemlaufwerk funktioniert nicht! Also auf einen externen (verschlüsselten?) USB Stick speichern oder ausdrucken und guuuuuut weglegen. Besser irgendwo sicher verstauen und/oder den Zettel sicher zerstören. Den Schlüssel braucht man, wenn mal etwas schief geht oder man die Platte in einen anderen Rechner legt oder das TPM-Modul z.B. gelöscht wurde, fehlt oder kaputtgegangen ist.
- Fertig, BitLocker sollte nun aktiv sein und die hardwareseitige Verschlüsselung nutzen, die keine Performance kostet. Dass es aktiv ist, erkennt man an dem Schlosssymbol, was jetzt das Laufwerk im Explorer ziert. Dass die Hardwareverschlüsselung aktiv ist, erkennt man unter anderem daran, dass eben keine Abfrage beim Anlegen kam, welchen Bereich man verschlüsseln möchte (alles oder nur belegtes).

WICHTIG:
Nun können natürlich alle Treiber installiert werden, aber es darf NICHT der Intel RST (IRST, Intel Rapid Storage Technology) installiert werden. Weder der Treiber alleine ("F6 Treiberdiskette"), noch das ganze Softwarepaket!!! Im besten Fall ist eDrive dann nicht mehr aktiv, meist endet das aber in Bluescreens oder nicht mehr bootenden Systemen. Die Systemwiederherstellung ist dabei auch nicht immer hilfreich, das System zurückzusetzen. Abgesicherter Modus geht dann natürlich auch nicht mehr.
Nach aktuellem Stand kommt der Treiber nicht automatisch per Windows Update/Microsoft Update und wird auch nicht zwingend gebraucht - auch wenn er vielleicht ein paar wenige % Geschwindigkeitszuwach bringt. Nicht drum kümmern, weglassen.
Ich weiß nicht, ob Lenovo den Treiber per System Update anbietet. Falls dem so ist: Unbedingt ein Auge drauf haben und das Update nie einspielen!
 
Hallo allerseits,

erstmal vielen Dank für die ausführlichen Anleitungen zum Thema BitLocker mit eDrive.

Ich würde diese Kombination auch gerne nutzen, allerdings ist Samsung Magician bei mir der Meinung, dass keine Samsung-SSD verbaut wäre, obwohl in dem Laufwerks-DropDown "Samsung MZ7TE512HMHP-000L1" zur Auswahl steht. Das ist die von Lenovo mitgelieferte SSD in meinem T440s. Ist diese nicht eDrive-tauglich? Die 840-Evo-Modelle haben ja ähnliche Bezeichnungen, z.B. "Samsung MZ7TE500BW".

Inzwischen habe ich entdeckt, dass bei den T440s-Varianten mit 256-GByte-SSD immer eDrive hinter der SSD-Bezeichnung steht, bei denen mit 512-GB-SSD nicht. Heißt das, dass meine SSD kein eDrive unterstützt?

Vielen Dank für Eure Unterstützung

Gruß querty
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • IT Refresh - IT Teile & mehr
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
  • ok2.de - Notebook Computer Server

Werbung

Zurück
Oben