Andy's Blog

Neuer Computer: BitLocker aktiv? Ja/Nein/Vielleicht

12. März 2024 / / 6 Kommentare

In Vorbereitung ein bestehendes Windows 11 Pro auf einen neuen Computer umzuziehen, hierfür reicht in der Regel ein Klonen oder Sichern/Wiederherstellen der C-Partition aus, fiel per Zufall auf das möglicherweise auf dem neuen Computer BitLocker aktiviert ist.

Auf dem neuen Computer ist Windows 11 Pro bereits vorinstalliert, aber das OOBE wurde noch nicht durchlaufen. Bevor irgendwas an diesem Gerät gemacht wird sollte eine Datensicherung erstellt werden. Nachdem das aktuelle c’t Notfall-Windows 2024 gestartet war, zeigte der Explorer ein entschlüsseltes Laufwerk C: (offenes Hängeschloss-Symbol) an, ab hier war klar, das offenbar BitLocker aktiviert ist. Nach der anfänglichen Datensicherung wurde das Gerät normal gestartet und das OOBE durchlaufen.

Nachdem soweit die ungeplante Ersteinrichtung fertig war (lokales Benutzerkonto, Arbeitsgruppe/keine Domäne), zeigte ein Blick in den Explorer allerdings keine Verschlüsselung an. Schaute man in die Systemsteuerung stand dort “C: BitLocker wartet auf Aktivierung”:

Die Datenträgerverwaltung wiederum zeigte an, das Laufwerk C: verschlüsselt sei:

In der Einstellungen-App zeigte sich dann, das die “Geräteverschlüsselung” eingeschaltet ist:

Klickt man auf eines der darunter liegenden Menüs gelangt man wieder in die Systemsteuerung. Ein Wiederherstellungsschlüssel konnte übrigens nicht gefunden werden. Es drängte sich die Frage auf: Wer lügt jetzt? Ist BitLocker nun aktiv oder nicht, ist das Laufwerk verschlüsselt oder nicht? Was ist Phase?

Offenbar ist diese Sache gar nicht so unbekannt. Recherchiert man danach, findet sich genau diese Situation z.B. bei manchen HP-, Dell- oder Lenovo-Geräten. Interessant ist an dieser Stelle die Dokumentation von Microsoft:

BitLocker drive encryption in Windows 10 for OEMs

"BitLocker automatic device encryption starts during Out-of-box (OOBE) experience.
However, protection is enabled (armed) only after users sign in with a Microsoft Account or an Azure Active Directory account.
Until that, protection is suspended and data is not protected. BitLocker automatic device encryption is not enabled with local accounts,
in which case BitLocker can be manually enabled using the BitLocker Control Panel."

Also irgendwie ist es aktiv und auch nicht.

Nach der Deaktivierung der Geräteverschlüsselung über die Einstellungen-App wurde das Laufwerk dann entschlüsselt (obwohl es gar nicht verschlüsselt sein sollte):

Geht es nach Microsoft, dann sollte

  • jeder Computer ein MS Konto verwenden und
  • in dieses wird automatisch (also ungefragt) der BitLocker-Wiederherstellungsschlüssel gespeichert.

Verwendet man allerdings kein MS Konto, hat keine Datensicherung und weiß man erstmal nichts von einer Laufwerksverschlüsselung hat man im Fehlerfall (TPM oder Mainboard defekt, Boot-Umgebung zerschossen, usw.) schlichtweg Pech, da man an die Daten nicht mehr ran kommt. Daher kann eine Verschlüsselung ab Werk bzw. automatisch aktiviert durchaus kritisch gesehen werden.

Das Geräte ab Werk mit BitLocker verschlüsselt sind kannte ich bislang nur von den Surface-Tablets. Wieder ein Punkt mehr auf den man ab sofort (bei allen Geräten unabhängig vom Hersteller) achten muss.

Update 10.07.2024

Bei einem weiteren Neugerät fand sich nun diese Meldung:

Hier das gleiche “Trauerspiel”, sprich: BitLocker ist nicht wirklich aktiviert. Man kann es wie oben gezeigt deaktivieren. Während eine mögliche Entschlüsselung läuft sieht man leider keinen wirklichen Fortschritt in den grafischen Dialogen. Abhilfe schafft ein Ausflug in die Eingabeaufforderung:

manage-bde -status

Ab Windows 11 24H2 soll BitLocker dann bei einer Neuinstallation sozusagen ab Werk aktiv sein, soweit sind wir allerdings eigentlich noch nicht.

Update 24.11.2024

In der Eingabeaufforderung mit erhöhten Rechten kann man mit

manage-bde C: -off

BitLocker deaktivieren und ein ggf. verschlüsseltes Laufwerk damit entschlüsseln.

Ähnliche Artikel:

  1. Eine Windows 10 C-Partition auf einem neuen Windows 11-Computer wiederherstellen
  2. Windows: Multiboot und BitLocker
  3. Windows: BitLocker aktivieren
  4. Ein Tablet, Windows 10, BitLocker und die Adware “MPC Cleaner”
  5. Windows: Drive Snapshot und BitLocker

Software

5 Kommentare

  1. Peter Hein

    Hallo Any,

    welcher Hersteller war das?

    Habe ich so bei Extracomputer noch nicht gesehen, aber es kann sein das Microsoft seine OEMS in diese richtung “drückt”

    mfg Peter

  2. Andy (Beitragsautor/in)

    Hallo Peter,

    es handelt sich um ein exone go Business 1560 X12.
    Also ja, ist von der Extra Computer. Ist jetzt auch der erste Computer von denen, wo ich das gesehen habe.

  3. Lutz

    Nach dem Win11 Update vom August finde ich die Geräteverschlüsselung über die Einstellungen-App nicht mehr. Wie kann ich sonst noch ausschalten?

  4. Andy (Beitragsautor/in)

    Man kann noch in der Systemsteuerung nachschauen oder mittels Befehl, siehe

    https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/manage-bde

  5. ITler

    Hallo, kann ich bei allen neuen Laptops bestätigen. Egal welcher Hersteller. ca. 150 Fälle allein dieses Jahr…

1 Pingback

  1. Wie migriert ihr auf Windows 11? – Andy's Blog

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2024 Andy's Blog

Theme von Anders NorénHoch ↑