ComputerBase Menü
Aktuelles

Fragen zur Ersteinrichtung von Windows 11 auf ASUS Fertig-PC

Cin-Hoo

Cin-Hoo

Lieutenant
🎅Rätsel-Elite ’24
Registriert
Feb. 2011
Beiträge
654
Hallo!

Weil meine neuesten PCs allesamt Generation 2012 sind, möchte ich mir doch endlich mal etwas Aktuelles zulegen. Ausnahmsweise ist meine Wahl auf einen Fertig-PC von ASUS gefallen (vor ein paar Stunden erst bestellt, daher noch nicht vorhanden). Zur bevorstehenden Ersteinrichtung von Windows 11 hätte ich ein paar Fragen an euch:
1. Ich möchte den PC mit einer frischen Windows 11 Clean-Install versehen, aber zuvor die Werksinstallation sichern. Bis einschließlich Windows 8.1 besaß der Systemdatenträger ja eine Recovery-Partition, die man mithilfe des Assistenten zur Erstellung eines Wiederherstellungslaufwerks auf einen USB-Stick kopieren konnte. Seit Windows 10 gibt es meines Wissens nach nur noch die Windows-eigene Wiederherstellungspartition mit Windows RE und der Assistent besitzt die Option "Systemdateien auf das Wiederherstellungslaufwerk sichern". Microsoft schreibt dazu in seinem Support-Artikel, dass dabei alle vom PC-Hersteller vorgenommenen Änderungen übernommen würden. Hat jemand von euch damit schon mal einen PC wiederhergestellt und kann bestätigen, dass man danach die Werksinstallation wieder originalgetreu inklusive aller Software erhält? Oder muss man dafür ein Komplettabbild mit der Image-Software seines Vertrauens erstellen (Gegebenenfalls schon vor dem ersten Windows-Start? Deshalb frage ich.)?
2. Laut Deskmodder.de soll für die Speicher-Integrität (Teil der Kernisolierung in Windows-Sicherheit) das Vorhandensein des CPU-Features Mode Based Execution Control notwendig sein, um diese ohne Leistungsverlust verwenden zu können. In dem neuen PC werkelt ein AMD Ryzen AI 7 350. Empfiehlt es sich bei einer so aktuellen CPU das Sicherheitsfeature in Windows zu aktivieren oder führt die Funktion eher zu Problemen? Ein Bekannter von mir besitzt ein Notebook mit einer Intel Core i7-CPU der 8. Generation, die ja ebenfalls über MBEC-Funktionalität verfügt und vorher mit Windows 10 lief. Nach einem In-Place-Upgrade auf Windows 11 war die Speicher-Integrität trotzdem noch deaktiviert, weshalb ich mir nicht sicher bin, was nun auf aktuellen Systemen wirklich Standard bzw. empfehlenswert ist.
3. Da ich gerne mit Live-Boot-Systemen arbeite, lege ich keinen Wert darauf, dass die Datenträger in meinem PC verschlüsselt sind. Um auf der neuen SSD nun keine unnötigen, langwierigen Schreibvorgänge zu verursachen, hatte ich überlegt, bei der Erstellung meines Windows-Installations-Sticks mithilfe von Rufus die automatische Geräteverschlüsselung von vornherein zu deaktivieren. Nach dem In-Place-Upgrade auf Windows 11 auf dem besagten Notebook gab es in der Einstellungen-App den Menüpunkt "Geräteverschlüsselung" gar nicht mehr, obwohl das TPM 2.0 definitiv aktiviert war und es sich um originale Installationsdateien ohne den Einfluss von Rufus handelte. Deshalb wüsste ich gerne, ob Rufus den Menüpunkt bei der Modifikation ebenfalls komplett entfernen würde oder ob die Geräteverschlüsselung zur späteren manuellen Aktivierung weiterhin zur Verfügung stünde?

Vielen Dank im Voraus!

Gruß von Cin-Hoo
 
Zuletzt bearbeitet:
Cin-Hoo schrieb:
Notebook gab es in der Einstellungen-App den Menüpunkt "Geräteverschlüsselung" gar nicht mehr, obwohl das TPM 2.0 definitiv aktivier
Zum Vergrößern anklicken....

Lokales Konto mit einem aktuellem W11 Home 25H2? Wenn ja, da ist nix mit Geraeteverschluesselung. Vorgestern fuer mich heraus gefunden.
 
Ja, ist ein lokales Konto.

Aber eben fällt mir ein, dass ich Quatsch geschrieben habe. Das Notebook hatte ich per In-Place-Upgrade auf Windows 11 Version 24H2 gebracht und kurz darauf via Enablement Package auf 25H2 aktualisiert. Dort war und ist trotz lokalem Konto die Geräteverschlüsselung verfügbar (allerdings seit Tag 1 unter Windows 10 manuell deaktiviert, daher verfügbar, aber inaktiv). Bei seinem Desktop-PC hatte ich das AMD fTPM 2.0 kurz vor dem In-Place-Upgrade auf Windows 11 Version 25H2 (ohne Umweg über 24H2) im UEFI-Setup aktiviert. Hier war die Geräteverschlüsselung dann gar nicht verfügbar. Ob das jetzt am Zusammenspiel von Direktumstieg auf 25H2 und lokalem Konto oder an der Tatsache lag, dass Windows 10 das TPM nicht von Anfang an zur Verfügung hatte, weiß ich natürlich nicht. Umso gespannter bin ich darauf, wie sich das Ganze bei meinem neuen PC mit einem lokalen Konto verhalten wird. :) Unter Windows 10 war das Konto dafür ja egal (habe ich bei mehreren Notebooks erlebt).

Gruß von Cin-Hoo
 
Cin-Hoo schrieb:
Oder muss man dafür ein Komplettabbild mit der Image-Software seines Vertrauens erstellen
Zum Vergrößern anklicken....
Nimm lieber das. Die Windows-Funktionen Systemabbild / Wiederherstellungslaufwerk werden nicht mehr weiterentwickelt und werden zukünftig durch neue Funktionen ersetzt.

Cin-Hoo schrieb:
war die Speicher-Integrität trotzdem noch deaktiviert, weshalb ich mir nicht sicher bin, was nun auf aktuellen Systemen wirklich Standard bzw. empfehlenswert ist.
Zum Vergrößern anklicken....
Wenn du die Speicher-Integrität aktivierst wird eine Kompatibilitätsprüfung durchgeführt.
U.U. verhindert inkompatible Treiber die Aktivierung dieser Funktion.

Die Funktion kann zu Leistungsproblemen, Fehlschlagen von Programminstallationen und sogar zu Bluescreens führen.
Man muss letztendlich selbst abwägen und testen, ob man diese Funktion verwenden kann.
Zwingend notwendig ist sie nicht.


Bei der Geräteverschlüsselung ist es so, dass auch bei Umgehung des Online-Kontos bzw. Erstellung eines lokalen Benutzerkontos die SSD vor-verschlüsselt wird.
Im Bereich der Geräteverschlüsselung erscheint dann der Hinweis, dass man sich mit dem MS-Konto anmelden soll, um die Geräteverschlüsselung abzuschließen (zu aktivieren).
Wenn du mit Rufus entspr. Optionen setzt wird die Verschlüsselung nicht vorbereitet.
Dadurch wird offenbar auch das Menü der Geräteverschlüsselung aus den Einstellungen entfernt.

Den Fall hatten wir heute auch hier: https://www.computerbase.de/forum/t...lung-moeglich-win11home.2266891/post-31355841
 
Das ist hier jetzt jede Menge Text, bei der es sich hauptsächlich um Geräteverschlüsselung dreht.
Das Einfachste ist doch, diese nach der Installation - falls sie dann angeschaltet ist - einfach wieder abzuschalten.
Punkt, fertig, aus ...

Dazu kann es sein, dass beim ASUS-PC das gar nicht an ist bzw. durch eine BIOS-Einstellung bei einer Neuinstallation verhindert wird. Das war bei zwei von mir gebauten PCs mit ASUS-Boards so, wo sogar darauf hingewiesen wurde, dass die automatische Geräteverschüsselung bei einer Neuinstallation deaktiviert ist und im BIOS aktiviert werden muss.

Bei Fertig-Geräten (PCs oder Notebooks) mache ich GRUNDSÄTZLICH eine frische Installation, das was mitgeliefert wurde ist hier vollkommen uninteressant und enthält sowieso nur Bloatware des Herstellers und diverser "Partner", die für ihre Anwesenheit bezahlen (Virenscanner der unnützen Art tauchen hier gerne auf).

Somit, weniger Text und einfach platt machen die Kiste.
Ob nun lokales oder MS-Konto ist persönliche Vorliebe.
 
PC295 schrieb:
Nimm lieber das. Die Windows-Funktionen Systemabbild / Wiederherstellungslaufwerk werden nicht mehr weiterentwickelt und werden zukünftig durch neue Funktionen ersetzt.
Zum Vergrößern anklicken....
Bist du dir sicher, dass wir das Gleiche meinen? Daran, dass "Sichern und Wiederherstellen" und auch der "Dateiversionsverlauf" eingestellt wurde bzw. werden soll, kann ich mich erinnern, aber zum Assistenten "Wiederherstellungslaufwerk erstellen" konnte ich weder per Internetsuche noch im Assistenten selber etwas Derartiges finden.
Screenshot 2026-03-04 143158.png

PC295 schrieb:
Die Funktion kann zu Leistungsproblemen, Fehlschlagen von Programminstallationen und sogar zu Bluescreens führen.
Zum Vergrößern anklicken....
Dann werde ich schauen, ob die Speicher-Integrität standardmäßig aktiviert ist und sie gegebenenfalls manuell deaktivieren. Das muss ich mir nicht antun. :D

PC295 schrieb:
Den Fall hatten wir heute auch hier: https://www.computerbase.de/forum/t...lung-moeglich-win11home.2266891/post-31355841
Zum Vergrößern anklicken....
Den Thread hatte ich gestern auch gelesen, aber dort ging es dem TE ja im Grunde um etwas Anderes als mir.

prian schrieb:
Das Einfachste ist doch, diese nach der Installation - falls sie dann angeschaltet ist - einfach wieder abzuschalten.
Punkt, fertig, aus ...
Zum Vergrößern anklicken....
Die mit der Deaktivierung einhergehende Entschlüsselung dauert aber gefühlt ewig und treibt zudem die TBW der SSD in die Höhe...

prian schrieb:
Bei Fertig-Geräten (PCs oder Notebooks) mache ich GRUNDSÄTZLICH eine frische Installation, [...]
Zum Vergrößern anklicken....
Genau um die richtige Vorbereitung dieser Neuinstallation geht es mir doch in diesem Thread.

Auf jeden Fall erst mal vielen Dank an alle für die bisherigen Antworten! :)

Gruß von Cin-Hoo
 
Cin-Hoo schrieb:
Hier war die Geräteverschlüsselung dann gar nicht verfügbar. Ob das jetzt am Zusammenspiel von Direktumstieg auf 25H2 und lokalem Konto oder an der Tatsache lag,
Zum Vergrößern anklicken....
Exakt das habe ich auch bemerkt.
Das Ding Geräteverschlüsselung ist nicht aufrufbar wenn mit lokalem Account installiert wurde.
Das Verhalten von 25H2 will ich demnächst nochmal gegen testen für diesen Fall.

PC295 schrieb:
Bei der Geräteverschlüsselung ist es so, dass auch bei Umgehung des Online-Kontos bzw. Erstellung eines lokalen Benutzerkontos die SSD vor-verschlüsselt wird.
Zum Vergrößern anklicken....

Prüf das mal genau nach.

Und mich würde ungemein interessieren was Vorverschlüsselung überhaupt bedeutet.

Im realen Szenario gibt es eigentlich nur zwei Seiten. Verschlüsselt / Nicht verschlüsselt. Also so wie Lebend / Tot.
 
Zuletzt bearbeitet:
Cin-Hoo schrieb:
Bist du dir sicher, dass wir das Gleiche meinen?
Zum Vergrößern anklicken....
Ja. Das Wiederherstellungslaufwerk macht ja letztendlich nichts anderes als das Systemabbild.
Nur dass du gleich einen bootfähigen Datenträger hast.

Auch wenn es (noch) nicht verschwunden ist, würde ich es trotzdem nicht mehr nehmen.
Andere Systemimageprogramme arbeiten zuverlässiger und bieten mehr Optionen.

BFF schrieb:
Prüf das mal genau nach.
Zum Vergrößern anklicken....
Schon mehrfach getan.
Den Menüpunkt gibt es zudem auch wenn nur das Online-Konto umgangen wird.
Wenn es fehlt, dann sind zusätzliche Einschränkungen aktiv, wie sie z.B. Rufus macht.
 
Ich habe jetzt nicht den ganzen einleitenden Text gelesen und kann dir deshalb nur den Rat geben, die ASUS Pre-Installation (OOBE) erst fertig zu stellen. Ob die Installation dann das Laufwerk verschlüsselt oder nicht, hängt davon ob du in der Lage bist, die erforderlichen REG-Einträge zu setzen.

Ob du noch mit oobe\bypassnro arbeiten kannst, hängt ebenso von der von ASUS verwendeten ISO ab. Möglichweise ist die Pre-Installation schon etwas älter. Aber auch das ließe sich konfigurieren, denn auch da ist nur eine REG-Anpassung erforderlich.

Wichtiger scheint mir aber die "Aktivierung" zu sein, denn die ist zunächst wichtig. Danach kannst du nach Lust und Laune herumexperimentieren und brauchst dir um die Lizenz keine Sorgen zu machen.

Entgegen der "öffentlichen" Meinung ist die Funktion "Sichern und Wiederherstellen" besser als ihr Ruf. Dabei werden einige Dateien erstellt, von denen aber nur eine Image-Datei wichtig ist: {VOL-ID.vhdx} Sie enthält das Image der C-Partition und kann auch gemountet werden. Durch einen kleinen Eingriff kann sie auch noch bootfähig gemacht werden. Im gemounteten Zustand kann sie sogar geklont werden (vdisk ==> rdisk).
 
Danke noch mal an alle! :)

@Rosen
Den PC wollte ich sowieso erst mal mit der Windows 11 Home-Werksinstallation testen, bis ich mir sicher bin, dass ich ihn wirklich behalten möchte. Bis dahin muss für persönlichen Kram noch mein alter iMac mit Windows 11 Boot Camp leiden. :evillol: Wenn dann alles klar sein sollte, bekommt der Rechner eine Windows 11 Clean-Install mit der höherwertigen Windows 10 Lizenz, die momentan noch meine Boot Camp-Installation legitimiert, verpasst.

Gruß von Cin-Hoo
 
BFF schrieb:
Exakt das habe ich auch bemerkt.
Das Ding Geräteverschlüsselung ist nicht aufrufbar wenn mit lokalem Account installiert wurde.
Das Verhalten von 25H2 will ich demnächst nochmal gegen testen für diesen Fall.
Zum Vergrößern anklicken....

Und nun habe ich vier identische Installationen von der Reihenfolge mit W11 25H2 Home (kein Netzwerk, lokaler Account per start ms-cxh:localonly) auf gleicher HW wo bei der einen nix zu finden ist mit Geraete Verschluesselung / Bitlocker. Daraus werd mal einer schlau. 🤷‍♂️🤦‍♂️
 
BFF schrieb:
nix zu finden ist mit Geraete Verschluesselung
Zum Vergrößern anklicken....
Dann ist entweder UEFI deaktiviert, Secure Boot oder TPM.
In diesen Fällen verschwindet der Abschnitt Geräteverschlüsselung in den PC-Einstellungen.

Hier ein Screen: Win 11 Home 25H2 mit lokalen Benutzerkonto und verfügbarer Geräteverschlüsselung:

01.png

Ergänzung ()

Der Registry-Schlüssel

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker]
"PreventDeviceEncryption"=dword:00000001

den offenbar Rufus für die Deaktivierung der automatischen Verschlüsselung verwendet, lässt übrigens nicht das Geräteverschlüsselungs-Menü verschwinden.
 
@PC295
Danke für die Info! :daumen: Dann werde ich die Option in Rufus verwenden. :)

Gruß von Cin-Hoo
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz