Daten-SSD mit Bitlocker verschlüsselt, wie entschlüsseln?

[Renegade334]

Mainboards bis 2013~ haben nur ein 32Bit BIOS/UEFI, dass akzeptiert (interne) Datenträger nur bis rund 2TB.
Einige Hersteller hatten Updates rausgebracht, so dass mit Zunahme vom RAM ein 34Bit (oder 36 Bit, lang ist's her) Modus emuliert und damit das Problem gelöst wurde.
Vor dem Update, je nach Programmierung, war der Effekt dabei, dass entweder der Datenträger gar nicht erkannt wurde, nur 192GB oder knapp unter 2TB (1,92TB~) verwendet werden konnten.

Das ist mir real noch nie untergekommen.
Sobald das OS gestartet war, war es egal wie viel Speicher das BIOS konnte.
Vor dem Boot konnte das passieren. Selbst uralte Raid Controller hatten damit keine Probleme.

Mein alter selbstbau Fileserver aus 2009 hatte zwischenzeitlich 2 16TB HDDs verbaut. Es würde mich sehr wundern, wenn man real auf solche Probleme trifft.

Für Windows 7 mit NVMe Unterstützung musste man damals eigentlich einen extra Treiber installieren. Wenn dein verschlüsseltes Laufwerk angezeigt wird, sollte das aber kein Problem sein.
Was war denn für ein Windows auf System 1? Nicht, dass du gerade versuchst ein Bitlocker von Windows 10/11 auf einem Windows 7 System zu öffnen.

Eine automatische Verschlüsselung kommt unter Windows 11 eigentlich nur vor, wenn du mit einem Microsoft Konto angemeldet bist, oder den PC als Arbeits- oder Schulgerät bei Microsoft (z.B. beim Start von Office) registrierst.
So sind damals einige Bitlocker Schlüssel in Schulen / Universitäten gelandet.
Ohne den Schlüssel speichern zu können verschlüsselt Windows nicht von alleine.

Wobei ich bisher auch nicht davon ausgegangen bin, dass zusätzliche Datenlaufwerke automatisch verschlüsselt werden. Normalerweise betraf das nur die Systempartition.

 

[User007]

Hi...

[...] dass Win7 bzw am3 das problem sein könnte.

Ich les' hier grad mal hochinteressiert mit und kann wahrscheinlich leider nicht wirklich einen Lösungshinweis anbieten, allerdings mal was mglw. Grundsätzliches:
In meinem Selbstbau-NAS läuft auf einer Crucial-SSD auch noch ein W7 (Ult) an einem Gigabyte AM3-Board und hat keinerlei Probleme auf eine Kingston NVMe-SSD mit W10 zuzugreifen - ist allerdings auch nicht 8TB groß, sondern nur 1TB. 🤷‍♂️​

[...] an welchem Punkt da eine Verschlüsselung stattgefunden hat.

Vermutlich genau da im Moment der aus dem Eingangsbeitrag beschriebenen Nachrüstung und dsh.

[...] ich war mit meinem MS Konto verbunden.

, wie auch dieser t3n-Artikel dazu berichtet.

Btw.:
@nutrix:

[...] mag ich nicht glauben, [...]

Ist ja nicht so, als wär's noch nie vorgekommen, wie dieser borncity-Artikel mal berichtete.

 

[OdlG]

Was war denn für ein Windows auf System 1? Nicht, dass du gerade versuchst ein Bitlocker von Windows 10/11 auf einem Windows 7 System zu öffnen.

Doch, genau das... Deiner Frage entnehme ich, dass das nicht geht?

Wobei ich bisher auch nicht davon ausgegangen bin, dass zusätzliche Datenlaufwerke automatisch verschlüsselt werden. Normalerweise betraf das nur die Systempartition.

Genau das hat mich auch so überrascht. Auf den Systemlaufwerken kenne ich das mittlerweile. Aber auf der Daten-SSD will ich das auf keinen Fall.

Vermutlich genau da im Moment der aus dem Eingangsbeitrag beschriebenen Nachrüstung und dsh.

Das hätte ich jetzt mal so angenommen. Muss ich mir für die Zukunft auf jeden Fall merken.

Danke für alle Hinweise bisher

 

[Evil E-Lex]

Doch, genau das... Deiner Frage entnehme ich, dass das nicht geht?

So ist es. Wie kommt man überhaupt auf diese Idee?
Wenn kein WIndows 10 oder 11 vorhanden ist, bietet sich eher ein Live-Linux wie SystemRescue an. Dort ist dislocker enthalten, das zum einen Informationen zum Bitlocker-Volume anzeigen kann und zum anderen auch entschlüsselt (bei Kenntnis des Passworts oder Wiederherstellungsschlüssels).

Davon abgesehen verschlüsselt Windows 11 nur das Systemlaufwerk und nicht alle Datenträger.
Edit: Offensicht hat sich das geändert:

Unlike a standard BitLocker implementation, device encryption is enabled automatically so that the device is always protected. When a clean installation of Windows is completed and the out-of-box experience is finished, the device is prepared for first use. As part of this preparation, device encryption is initialized on the OS drive and fixed data drives on the computer with a clear key that is the equivalent of standard BitLocker suspended state. In this state, the drive is shown with a warning icon in Windows Explorer. The yellow warning icon is removed after the TPM protector is created and the recovery key is backed up.

Allerdings heißt es dort weiter:

• If the device isn't Microsoft Entra joined or Active Directory domain joined, a Microsoft account with administrative privileges on the device is required. When the administrator uses a Microsoft account to sign in, the clear key is removed, a recovery key is uploaded to the online Microsoft account, and a TPM protector is created. Should a device require the recovery key, the user is guided to use an alternate device and navigate to a recovery key access URL to retrieve the recovery key by using their Microsoft account credentials.

Bedeutet: Mit einem MS-Account wird die Verschlüsselung "scharf" geschaltet, aber gleichzeitig der Wiederherstellungsschlüssel im MS-Account hinterlegt.

• If a device uses only local accounts, then it remains unprotected even though the data is encrypted.

Bedeutet: Clear Key. Das Laufwerk ist zwar verschlüsselt, aber der Schlüssel im Klartext auf dem Laufwerk gespeichert. Kompatible Windows Versionen (alles ab Windows 10 Version 1511) erkennen das und entschlüsseln das Laufwerk automatisch.

Dass es mit Windows 7 nicht klappt, liegt schlicht daran, dass Windows 7 die modernen Verschlüsselungsalgorithmen nicht unterstützt und daher den Schlüssel nicht auslesen kann.

 

[nutrix]

Doch, genau das... Deiner Frage entnehme ich, dass das nicht geht?

Warum verwendest Du Window 7?

Ergänzung (4. August 2025)

Dass es mit Windows 7 nicht klappt, liegt schlicht daran, dass Windows 7 die modernen Verschlüsselungsalgorithmen nicht unterstützt und daher den Schlüssel nicht auslesen kann.

Was eigentlich zu erwarten ist.

 

[OdlG]

Bedeutet: Clear Key. Das Laufwerk ist zwar verschlüsselt, aber der Schlüssel im Klartext auf dem Laufwerk gespeichert. Kompatible Windows Versionen (alles ab Windows 10 Version 1511) erkennen das und entschlüsseln das Laufwerk automatisch.

Anscheinend ist genau das passiert. Die neue System-SSD kam vorhin an. Ich habe ein frisches Win11 installiert (mit Internetverbindung) und mich im Rahmen des Setups auch in mein MS-Konto eingeloggt. In der Folge konnte ich die Daten einer vergangenen Installation wiederherstellen. Da wählte ich die letzte Installation aus und tatsächlich kann ich die Daten-SSD ganz normal nutzen und auf alle Dateien zugreifen.

Warum verwendest Du Window 7?

Ich habe nur einen weiteren PC, das ist mein Retro-System.

- Trennung -

Eine ungewöhnliche Auffälligkeit stach mir jedoch ins Auge, siehe anhängiger Screenshot. Das Laufwerk D:\ (Daten-SSD) wird als verschlüsselt angezeigt, ich kann die Verschlüsselung jedoch nicht offensichtlich entfernen. Habt ihr sowas schonmal gesehen?


So oder so tausend Dank für alle Hinweise bis hierher, Daten verloren habe ich somit keine. Allerdings werde ich mir nochmal Gedanken machen, wie ein Backup sinnvoll aussehen könnte

 

[Evil E-Lex]

Habt ihr sowas schonmal gesehen?

Ja, normal. Formell ist das Volume nach wie vor verschlüsselt und stammt aus einem Fremdsystem.

Einfach eine PowerShell mit Adminrechten öffnen und Disable-BitLocker -MountPoint "D:" sollte genügen.

 

[OdlG]

Ha, Tatsache Ich danke vielmals. Und jetzt installiere ich Win11 nochmal ganz frisch offline, damit ich ohne dewn Datenmüll von der Wiederherstellung starte.

Danke für die vielen hilfreichen Tipps. Habe wieder ein paar Sachen dazu gelernt

 

[Evil E-Lex]

Mach dir lieber einen Bootstick mit Rufus oder Ventoy. Damit bist du den Ärger los.

 

[User007]

@OdlG:

Prima, dass es eine für Dich zufriedenstellende Lösung gegeben hat. So ganz nebenbei hab' auch ich so einiges gelernt. 😇
Kleine Frage noch: in Deinem Screenshot sieht man, dass Du den Disable-Befehl wohl zweimal ausgeführt hast - wieso?​

 

[OdlG]

Mach dir lieber einen Bootstick mit Rufus oder Ventoy. Damit bist du den Ärger los.

Wie genau meinst du das? Also eine vorkonfigurierte Windows Installation oder worauf willst du hinaus?

Dass diesmal alles vollgemüllt ist mit toten Verknüpfungen liegt ja nur an der Wiederherstellung der alten Installation. Das mache ich sonst nicht. Ich will ja sauber beginnen.

@OdlG:

Prima, dass es eine für Dich zufriedenstellende Lösung gegeben hat. So ganz nebenbei hab' auch ich so einiges gelernt. 😇
Kleine Frage noch: in Deinem Screenshot sieht man, dass Du den Disable-Befehl wohl zweimal ausgeführt hast - wieso?​

Beim ersten Mal hat er ja noch decryption in progress angezeigt. Ich hab es dann 15 Sekunden später nochmal probiert und dann war es fertig

 

[mchawk777]

Android etc. verschlüsseln auch Datenträger. Stimmt. Nur kann ich diesen nicht ausbauen/austauschen etc.

Korrekt - nur was ist der Punkt?
Wenn es nicht um die Daten gehen kann, weil die im Backup sind, dann kannst Du über die Datenträgerverwaltung locker die Parititonen/Volumes löschen und neue (unverschlüsselte) anlegen.

Aber was Windows/MS hier macht, fällt extrems auf.
Es ist nicht der einzige Thread dieser Art, welche hier diskutiert werden. Im Forum.

Die SSD-Verschlüsselung gehört zu den Themen, deren Umsetzung lange überfällig waren, die aber zu viele thematisch verschlafen.
Genau so wie: "Ändere keine Mobilfunknummer oder Email-Adresse, die Du für 2FA verwendest." - Da machste nix - kommt leider ständig vor.

Wichtig ist halt die persönliche Gefahren-/Relevanzabschätzung.
Auf SSDs lassen sich halt Daten nicht so zuverlässig löschen, wie z. B. auf einer HDD.
Grund ist schlicht und ergreifend der Controller(chip), der zwischen den Speicherzellen und dem Betriebssystem hängt und verhindert, dass ein Betriebssystem gezielt Zellen löschen kann.
Selbst wenn du versuchen würdest einfach nur alle Zellen überschreiben zu wollen - wirst Du nie alle erwischen.
(Mal abgesehen davon, dass dies eine blödsinnige Aktion in Bezug auf SSD-Verschleiß darstellt.)

Wenn ich dann noch vom CCC höre, dass selbst SecureErase nicht so zuverlässig funktioniert, wie man es sich wünschen würde.... 🤷‍♂️

Kurz: Verschlüsselung mach Sinn - Backups machten schon immer Sinn.

Ich weis nicht, wer im Thread danach gefragt hatte:
Windows nennt dies in der Home-Edition "Laufwerksverschlüsselung".
Da steckt halt BitLocker dahinter - aber halt nicht mit allen Features.

 

[Evil E-Lex]

Wie genau meinst du das? Also eine vorkonfigurierte Windows Installation oder worauf willst du hinaus?

Ich meine diese Funktion von Rufus:

Alternativ geht das auch manuell:

Bitlocker bei Windows 11 Installation deaktivieren​

1. Drückt während der Installation Shift + F10, um die Eingabeaufforderung zu öffnen.
2. Gebt regedit ein und drückt die Eingabetaste, um den Registry Editor zu starten.
3. Navigiert zum Schlüssel:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
4. Klickt mit der rechten Maustaste auf die leere Seite und wählt die Option Neu > DWORD-Wert (32-Bit).
5. Benennt den Wert PreventDeviceEncryption.
6. Setzt den Wert auf 1.

Ergänzung (4. August 2025)

Die SSD-Verschlüsselung gehört zu den Themen, deren Umsetzung lange überfällig waren, die aber zu viele thematisch verschlafen.

Zumal es so, wie MS es umsetzt, ein Nicht-Problem ist. Es gibt nur zwei Möglichkeiten:
1. Microsoft-Konto: Der Wiederherstellungsschlüssel ist jederzeit im Microsoft-Konto abrufbar.
2. Lokales-Konto: Es wird verschlüsselt, aber der Schlüssel liegt im Klartext vor. Der Datenträger kann von jedem aktuellen Windows direkt entschlüsselt werden.

 

[OdlG]

Die SSD-Verschlüsselung gehört zu den Themen, deren Umsetzung lange überfällig waren, die aber zu viele thematisch verschlafen.

Ich bin jederzeit bereit, mich auf neue Dinge einzustellen, aber nichts hiervon wurde jemals ordentlich von MS kommuniziert. Das finde ich vermeidbar. So war meine Aufregung nun erstmal groß, aber am Ende hat das MS-System zugegeben funktioniert.

Ich meine diese Funktion von Rufus:

Das kannte ich noch nicht, Danke für den Tipp

 

[PC295]

aber nichts hiervon wurde jemals ordentlich von MS kommuniziert.

Bei der Installation von Win 11 wird beim Anmeldefenster beiläufig erwähnt, dass die Geräteverschlüsselung aktiviert wird:

 

[OdlG]

Bei der Installation von Win 11 wird beim Anmeldefenster beiläufig erwähnt, dass die Geräteverschlüsselung aktiviert wird:

Anhang anzeigen 1644038

Und Der kleine Hinweis ist mir zu wenig. Damit wird nicht erklärt, welche Laufwerke betroffen sind, was für eine mögliche Wiederherstellung benötigt wird,...
Solange man weiß, was einen erwartet, ist die Lösung von Microsoft ja gar nicht so schlecht.

 

[mchawk777]

Ich bin jederzeit bereit, mich auf neue Dinge einzustellen, aber nichts hiervon wurde jemals ordentlich von MS kommuniziert. Das finde ich vermeidbar. So war meine Aufregung nun erstmal groß, aber am Ende hat das MS-System zugegeben funktioniert.

Dass Microsoft jetzt keinen Riesenweckruf veranstaltet hat, dem ist so und wäre definitiv vermeidbar gewesen.

Andererseits:
Im Rahmen einer Installation wurde ich bisher klar und deutlich auf die Verschlüsselung hingewiesen inkl. dem Fakt den Notfallschlüssel gut wegzulegen - z. B. auf dem Microsoft-Account zu speichern, als Datei auf einem Datenträger (natürlich nicht dem verschlüsselten!) oder auszudrucken.

Mir fallen da bestenfalls 3 Varianten ein, bei denen das Unklar wäre:

• Vorinstallierte Systeme, bei denen der Händler nicht sauber gearbeitet hat.
• Vorinstallierte Systeme, bei denen der Nutzer sich bei der Einrichtung des Systems unaufmerksam durchgeklickt hat
• "Rufus-Installationen", bei denen der Nutzer nicht wusste, was er tut: Nur lokales Konto erstellt und die Verschlüsselungshinweise durchgewunken, beispielsweise.

Vielleicht gibt es noch mehr - aber das wäre meine Hauptverdächtigen. 😉

Ich kann auch das Chaosradio 270 "Daten archivieren, wiederherstellen und löschen" diesbezüglich empfehlen.
Der Teufel steckt mitunter im Detail, wie ich dort gelernt habe.

 

[PC295]

inkl. dem Fakt den Notfallschlüssel gut wegzulegen - z. B. auf dem Microsoft-Account zu speichern, als Datei auf einem Datenträger (natürlich nicht dem verschlüsselten!) oder auszudrucken.

Diese Möglichkeiten hast du während der Installation nicht, sondern nur beim manuellen Einrichten von Bitlocker.

Während der Installation wird der Wiederherstellungsschlüssel automatisch im MS-Konto gespeichert.

 

[BFF]

Rufus-Installationen", bei denen der Nutzer nicht wusste, was er tut: Nur lokales Konto erstellt und die Verschlüsselungshinweise durchgewunken, beispielsweise.

Bei lokalem Account wird Bitlocker nicht aktiv.
Es erscheint auch der Hinweis nicht im Setup.

Erst wenn man einen MS Account verwendet legt Bitlocker los.

 

[PC295]

Erst wenn man einen MS Account verwendet legt Bitlocker los.

Bitlocker legt auch ohne Account los. Der Datenträger wird verschlüsselt, befindet sich aber im Zustand Entsperrt / Angehalten, weil keine Schlüsselvorrichtungen aktiv sind.

Das physikalisch vorbereitet wurde, sieht man in der Bitlocker-Verwaltung (nur Pro):

oder in der Datenträgerverwaltung:

Windows wartet hier nur noch bis du dich nachträglich anmeldest.
Deswegen sollte nach der Installation geprüft werden, ob unter Datenschutz und Sicherheit die Geräteverschlüsselung deaktiviert ist.

Wenn die Option deaktiviert wird, sieht man dort auch den Entschlüsselungsprozess, der eine Weile dauern kann.

Dann ist man auch sicher vor der automatischen Verschlüsselung.
Oder man setzt eben mit Rufus / Ventoy vorher entspr. Optionen zur Deaktivierung.