Bitlocker automatisch aktiviert mit 24H2

[mchawk777]

Und das BitLocker noch nicht aktiviert ist ändert nichts an den Verschlüsselten Daten.

Ebend, weil BitLocker <> Geräteverschlüsselung.
Genau so wie Girokonto <> Sparbuch. 😉

Würde mich nach den ganzen Meldungen hier keinesfalls wundern, wenn Microsoft die Funktion der Geräteverschlüsselung per Default einschaltet - BitLocker (als das "volle Paket") jedoch nicht.

 

[Spock37]

@mchawk777 Nochmal: Ich konnte nichts deaktivieren, sondern musste Bitlocker aktivieren, was 1 Sekunde gedauert hat, und durfte dann nach dem Deaktivieren circa 15 Minuten der Entschlüsselung zusehen.

Ich weiß nicht, was eine "Vor-Verschlüsselung" sein soll, aber ohne die Entschlüsselung durch Bitlocker, die entsprechend lange gedauert hat, konnte ich nicht wieder auf die Daten zugreifen.

Das hat für mich was von "Ransomware", wobei der Lösegeldpreis nur Googlen nach der Lösung, einige Klicks und etwas Wartezeit waren.

Diesmal. Wer weiß, was nächstes Mal passiert.

 

[qiller]

Ich weiß nicht, was eine "Vor-Verschlüsselung" sein soll

Windows verschlüsselt schon ab Installation mit einem Dummy-Key, wenn gewisse Voraussetzungen erfüllt sind. Diese "Installation" muss auch nicht zwangsläufig eine Neuinstallation sein. Auch ein größeres Feature-Upgrade kann diese Verschlüsselung triggern (was eben bei einigen beim Wechsel von 23H2 auf 24H2 passiert ist). Dieses Vorgehen tritt bei beiden Editionen, also Home und Pro, auf und nennt sich halt "Geräteverschlüsselung". Das ist eine vereinfachte, abgespeckte Variante von Bitlocker. In der Pro-Edition gibts dann zusätzlich noch das richtige Bitlocker mit entsprechend mehr Optionen.

Rufus kann wohl diese "Vor-Verschlüsselung" ab Installation verhindern, indem in der "\sources\$OEM$\$$\Panther\unattend.xml" folgendes gesetzt wird:

<component name="Microsoft-Windows-SecureStartup-FilterDriver" processorArchitecture="amd64" language="neutral" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" publicKeyToken="31bf3856ad364e35" versionScope="nonSxS">
      <PreventDeviceEncryption>true</PreventDeviceEncryption>
</component>
<component name="Microsoft-Windows-EnhancedStorage-Adm" processorArchitecture="amd64" language="neutral" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" publicKeyToken="31bf3856ad364e35" versionScope="nonSxS">
      <TCGSecurityActivationDisabled>1</TCGSecurityActivationDisabled>
</component>

Hatte zumindest bei mir die letzten Male funktioniert und die Geräteverschlüsselung ab Installation verhindert.

Die automatische Aktivierung der Geräteverschlüsselung erfolgt dann erst mit dem Anmelden in ein MS Online Konto, weil hier dann der richtige Verschlüsselungskey im TPM gesetzt, der Recovery-Key erzeugt und ins MS-Online Konto hochgeladen wird.

 

[nutrix]

Ich nutze.. viel unnützes Blabla

Heißt noch lange nicht, daß Du Dich auch entsprechend auskennst.😉

Warum aktiviert Microsoft gestern abend ohne Hinweis (!) die Laufwerksverschlüsselung, so dass ich mich heute wundere, warum ich die Platten in Debian nicht mehr mounten kann?

Das ist ein ganz anderes Problem. Aber hier von Sabotage usw. zu reden finde ich einfach nur daneben und beknackt.

Und warum kann ich die Verschlüsselung nicht deaktivieren, sondern muss Bitlocker formell aktivieren, anschließend deaktivieren und darf dann 15 Minuten bei der Entschlüsselung zusehen?

Ich kenne jetzt leider Deine Geräte nicht, noch weiß ich, wie Du was da installiert hast. Bei all den Geräten, wo ich zu tun hatte, konnte ich ohne Probleme BL wieder deaktiveren.

Hätte ich Windows nicht gestartet, hätte ich erst irgendwann mitbekommen, dass die Daten von Linux nicht mehr zugreifbar sind.

Hast Du Linux auf NTFS installiert oder wie? Windows faßt Partitionen, dessen Dateisystem es nicht kennt, nicht an.

Wäre dann in der Zwischenzeit mit dem Windows etwas passiert, wären die Dinge weg. Ja, ich mache Backups, aber sicher nicht deswegen!

Nichts weiter, Bitlocker wäre aktiviert und Du würdest im Normalfall nichts weiter bemerken.

Ich sehe hier ausnahmsweise mal nicht, dass das Problem vor dem Bildschirm sitzt, jedenfalls nicht vor meinem, sondern woanders.

Anscheinend schon, weil Du hast ja die Probleme, und viele andere eben nicht.

Nur mal so, ich kann natürlich Deinen Ärger und Frust nachvollziehen. Dennoch finde ich Deine Übertreibungen nicht angemessen bzw. richtig. Fehler passieren bei diversen Softwarereleases, egal welches OS. Zudem liegt es eben oft auch daran, daß man sich vorher nicht richtig erkundigt oder gelesen hat, sprich RFTM fehlte. Und wir müssen auch Bitlocker (Pro) und Geräteverschlüsselung (Home) unterscheiden:
https://www.computerbase.de/forum/t...nstellungen-desktop-pc.2257161/#post-31060182
In der Pro kenne ich bisher keine Installation, wo es angeblich automatisch aktiviert wurde. Ansonsten ist alles dokumentiert:
https://learn.microsoft.com/de-de/windows-hardware/design/device-experiences/oem-bitlocker

Machen aber vermutlich nicht viele, sich vorher mal einlesen, bevor sie upgraden. Das Problem hat man bei Linux übrigens auch, wenn man einfach nur diverse Pakete aktualisiert, ohne die Readme oder Infos vorher zu lesen. Aber ja, das könnte man überall besser machen, daß man vorher vielleicht doch nochmal genauer informiert und darauf hinweist, daß die Laufwerksschlüsselung aktiviert wird.
Jedoch ist das alles schon bald 2 Jahre bekannt, siehe
https://www.deskmodder.de/blog/2024...utomatisch-bei-der-neuinstallation-aktiviert/

Ergänzung (Montag um 11:22)

Die automatische Aktivierung der Geräteverschlüsselung erfolgt dann erst mit dem Anmelden in ein MS Online Konto, weil hier dann der richtige Verschlüsselungskey im TPM gesetzt, der Recovery-Key erzeugt und ins MS-Online Konto hochgeladen wird.

So weit ich weiß, aber nur bei der HOME Version. Bei Pro ist mir bisher das nirgends so mal untergekommen, daß BL automatisch aktiviert wurde.

 

[mchawk777]

Nochmal: Ich konnte nichts deaktivieren, sondern musste Bitlocker aktivieren, was 1 Sekunde gedauert hat, und durfte dann nach dem Deaktivieren circa 15 Minuten der Entschlüsselung zusehen.

Bitte beachte den Kontext, in dem ich schreibe.
Schon interessant, dass Du Dich angesprochen fühlst. 🤷‍♂️

 

[qiller]

So weit ich weiß, aber nur bei der HOME Version. Bei Pro ist mir bisher das nirgends so mal untergekommen

Doch, das passiert auch mit der Pro Edition. Das gehört auch zum Prozess der "Geräteverschlüsselung" dazu. Das ist quasi nichts weiter als eine vereinfachte Automatisierung der Bitlockerverschlüsselung.

Hier hatte ich ja Windows 11 Pro frisch installiert und guess what, die "Geräteverschlüsselung" war ab Installation aktiviert. Und hätte ich mich mit einem MS Online Konto angemeldet, wäre die Verschlüsselung auch aktiviert worden.

Edit: Ach, das war noch der Fall mit dem Feature-Upgrade. Irgendwo hatte ich hier im Forum aber auch den Fall mit einer Neuinstallation dokumentiert. Vlt. finde ichs noch.

Edit2: Aber auch bei dem Feature-Upgrade sieht man ja, dass es eine Pro-Edition war und trotzdem wurde die Geräteverschlüsselung einfach mit dem Dummy-Key aktiviert.

 

[Gohrbi]

Win 11 Pro im Sep 25 neu aufgesetzt, 25H2, 26200.7840 .....
bei meinem Win Konto bin ich angemeldet,
Kernisolierung an,
Sicherer Start an,
Sicherheitschip an,
Datenverschlüsselung an, C:\ aktiviert der Rest deaktiviert.

bisher gab es keine Probleme mit Bit-locker.
Ich habe Lw C aktiviert und alles 4 anderen Platten haben noch nie was von
BitLocker angeboten oder selbstständig aktiviert.

 

[mchawk777]

Kernisolierung an,
Sicherer Start an,
Sicherheitschip an,
Datenverschlüsselung an, C:\ aktiviert der Rest deaktiviert.

Sorry, aber "Datenverschlüsselung" ist keine Einstellungsoption.
...und gerade hier müssen wir Obacht geben, wie ein Erbsenzähler.

Kleiner Exkurs:
Wenn Du bei der Kerinsolierung die "Speicher-Integrität" aktiviert hast, dann kannst Du den Rechner nicht mehr in den hybriden Energiesparmodus versetzen.

Sprich: Gehst Du auf den Energiesparmodus und der Strom fällt aus, ist alles, was Du nicht gespeichert hast,
weg.

Auch so ein Ding was Dir sonst keiner sagt - selbst Windows nicht.

 

[Gohrbi]

Kleiner Exkurs:
Wenn Du bei der Kerinsolierung die "Speicher-Integrität" aktiviert hast, dann kannst Du den Rechner nicht mehr in den hybriden Energiesparmodus versetzen.

hae ich noch nie gemacht, Enegiesparmodus.......