Bitlocker - wie kann ich die externen Schlüssel löschen?

[Snoopy69]

Weiß jmd, wie ich die externen Schlüssel, bis auf den Letzten von meinem Datenlaufwerk löschen kann?

Letzter Eintrag in der Liste, ist der aktive Schlüssel...

Im OS werden die wohl nicht abgelegt, weil ich zum Test ein frisches OS geladen hab. Auf dem Daten-Laufwerk selbst auch nicht. Bliebe nur noch das MB selbst

Dem MB hab ich vorhin ein neues Updates verpasst. Dabei sollte doch ALLES gelöscht werden oder nicht?

 

[Zer0DEV]

Dafür müsstest Du schon das TPM-Modul im Bios zurücksetzen (clear).
Vorher solltest Du aber unbedingt alles mit BitLocker deaktivieren, weil da das komplette TPM zurückgesetzt wird. Also nicht nur anhalten, sondern deaktivieren und dann von vorne mit BitLocker verschlüsseln.

 

[KillerCow]

Vorher solltest Du aber unbedingt alles mit BitLocker deaktivieren

Ist im Zweifel die sicherste Variante (neben dem obligatorischen Backup). Der Wiederherstellungsschlüssel reicht aber auch (dürfte das "Numerische Kennwort" sein!?). Ist das nen Windows Home? Da hat man wohl irgendwie deutlich weniger Möglichkeiten mit dem verkrüppelten Bitlocker, das da nur bei ist.

 

[Snoopy69]

Dafür müsstest Du schon das TPM-Modul im Bios zurücksetzen (clear).
Vorher solltest Du aber unbedingt alles mit BitLocker deaktivieren, weil da das komplette TPM zurückgesetzt wird. Also nicht nur anhalten, sondern deaktivieren und dann von vorne mit BitLocker verschlüsseln.

Würde ja heißen, dass bei einem BIOS-Flash keine TPM-Schlüssel gelöscht werden? (nur die angelegten BIOS-Profile)

Hatte vorhin hier TPM gelöscht, aber scheinbar betrifft das nur die externen Schlüssel des System-Laufwerks
Der cmd-Befehl mit "-clearallkeys" gilt auch nur für System-Laufwerke

Ergänzung (17. August 2023)

Ist im Zweifel die sicherste Variante (neben dem obligatorischen Backup). Der Wiederherstellungsschlüssel reicht aber auch (dürfte das "Numerische Kennwort" sein!?). Ist das nen Windows Home? Da hat man wohl irgendwie deutlich weniger Möglichkeiten mit dem verkrüppelten Bitlocker, das da nur bei ist.

Geht weder mit WIN10 Pro noch mit WIN11 Pro...
Soweit ich mit erinnere, gibt es bei Home standardmäßig garkein Bitlocker (kann man aber dazu-modden)

 

[IlluminatusUnus]

Totaler Holzweg! Leute ...

manage-bde -protectors -delete Volume
                       [{-Type|-t} {RecoveryPassword| ExternalKey|
                                    Certificate| TPM| TPMAndStartupKey|
                                    TPMAndPIN| TPMAndPINAndStartupKey|
                                    Password| Identity}]
                       [-ID KeyProtectorID]
                       [{-ComputerName|-cn} Computername]
                       [{-?|/?}] [{-Help|-h}]

Beschreibung:
    Löscht die Schlüsselschutzmethoden. Alle Schlüsselschutzvorrichtungen
    werden entfernt, sofern keine optionalen Parameter angegeben werden.
    Um den weiteren Zugriff auf durch BitLocker verschlüsselte Daten
    zuzulassen, können Sie alle Schlüsselschutzvorrichtungen deaktivieren,
    indem Sie die letzte Schutzvorrichtung löschen.

Parameterliste:
    Volume      Ein Laufwerkbuchstabe gefolgt von einem Doppelpunkt, ein
                Volume-GUID-Pfad oder ein eingebundenes Volume. Beispiel:
                "C:", \\?\Volume{26a21bda-a627-11d7-9931-806e6f6e6963}\
                oder "C:\EingebundenesVolume"
    -Type oder -t Löscht Schlüsselschutzvorrichtungen eines bestimmten Typs
                (optional).
    -id         Löscht die Schlüsselschutzvorrichtung mit einer bestimmten
                Kennung (optional).
    -ComputerName oder -cn
                Ausführung auf einem anderen Computer. Beispiele:
                "ComputerX", "127.0.0.1"
  -? oder /?    Zeigt eine kurze Hilfe an. Beispiel: "-ParameterSet -?"
  -Help oder -h Zeigt die vollständige Hilfe an. Beispiel: "-ParameterSet -h"

Beispiele:
    manage-bde -protectors -delete C: -id {84E151C1...7A62067A512}
    manage-bde -protectors -delete C: -Type TPMAndStartupKey

 

[Snoopy69]

Muss ich gleich mal probieren...
Unter "-automount" werden ja nur die Schlüssel vom Systemlaufwerk gelöscht

Noch eine wichtige Frage...
Mit dem Befehl " manage-bde -protectors -get "Laufwerk": " werden alle *.bek-Files in der Liste von Daten-Laufwerk angezeigt
Ich nehme mal an, dass nur noch das letzte *.bek in der Liste funktioniert?

Und wo genau werden die externen Schlüssel nun abgelegt?
Auf dem OS oder Laufwerk nicht. Bliebe nur das MB. Aber blöd ist, dass ein BIOS-Flash die Keys anscheinend nicht löscht

Finde ich suboptimal, weil man mit bissl Hardware und Anleitung, die man im www findet, den TPM auslesen kann

 

[bisy]

Würde ja heißen, dass bei einem BIOS-Flash keine TPM-Schlüssel gelöscht werden? (

Naja, das TPM hat ja im Grunde so nichts mit dem BIOS zu tun, das stellt entweder die CPU bereit, oder man hat ne extra Steckkarte dafür.

 

[Snoopy69]

D.h. man muss beim Verkauf des MB die Keys manuell löschen, weil ein BIOS-Update das nicht tut
Ich frage mich, warum kurz vor einem BIOS-Flash eine Warnung erscheint, dass man den Wiederherstellungsschlüssel sichern sollte. Anscheinend weiß ASUS selbst nicht genau, was ein BIOS-Flash verursacht!? Oder es ist nur eine Standardwarnung!?

Normalerweise sollte der Normal-User nichts mit den Keys auf einem gebrauchten MB anfangen können, wenn sie nicht mehr benutzt werden (gibt ja zuhauf Anleitungen, wie man den TPM auslesen kann)

btw:
Du schreibst "CPU"...
Werden die Keys nicht auf dem MB abgelegt? CPU klingt seltsam...

 

[tollertyp]

Das fTPM liegt in der CPU. Deshalb führt ein CPU-Wechsel dazu, dass Bitlocker nach Wiederherstellungskeys fragt.

Dass Bitlocker während des BIOS-Updates deaktiviert werden soll, damit steht Asus nicht alleine da, das macht mein Lenovo-Laptop auch immer.

 

[KnolleJupp]

Das TPM Modul befindet sich entweder in der CPU (AMD fTPM oder Intel PTT) oder als kleine Erweiterungskarte auf dem Mainboard.
Üblich ist heutzutage das TPM Modul in der CPU zu verwenden.

TPM hat mit dem BIOS nichts zu tun.
Im BIOS kann TPM lediglich ein- oder ausgeschaltet werden.

"Externer Schlüssel" bedeutet aber was anderes. Das hast du eingerichtet damit ein Laufwerk automatisch entsperrt wird.
Diese Schlüssel werden in der Registry hinterlegt, also im Betriebssystem. (IMHO)

 

[bisy]

Werden die Keys nicht auf dem MB abgelegt?

Nö nicht auf dem Mainboard.
Sondern im TPM Modul, wenn man eins verbaut und das Board dafür ein Anschluss bereit stellt, oder halt in der CPU, denn die bringt seit ein paar Jahren sozusagen selbst TPM mit, nennt sich fTPM oder bei Intel halt PTT (Platform Trust Technology)

 

[Snoopy69]

@IlluminatusUnus
Hat 1a funktioniert - danke

War zuerst stutzig wegen dem kleinen, gelben Warndreieck (ab da ist der Schutz angehalten)

Löschen der ganzen Keys geht auch nur, wenn das Laufwerk entsperrt ist (waren insgesamt 13!!!)

btw:
Das Daten-Laufwerk ist mit einem Kennwort gesichert. Habe alle Keys gelöscht. Der Befehl "manage-bde -protectors -get e:" zeigt mir die ID des Kennwortes und die ID des neuen, externen Keys (*.bek) an. Wie kann ich die neue *.bek sichern?

 

[Snoopy69]

Mit "Macrium Reflect" (Backup-Software) konnte ich alle *.bek´s und Wiederherstellungsschlüsseln aus dem OS herausextrahieren (rechts die entpackte *.wim). Die *.bek´s von Reflect sind etwas größer, als die orginal-bek´s weil es ext. *bek´s sind

Hätte es gerne mit Boardmitteln gemacht, aber irgendwie klappt es nicht