Notebook defekt, SSD Bitlocker verschlüsselt, Wiederherstellungscode nicht vorhanden

[mchawk777]

Dafür, dass du so unglaublich viel geschrieben hast, hättest du dir auch die Zeit nehmen können

Tja, Beiträge, die sofort mit dem Niveau des Ad Hominem beginnen kann man erfahrungsgemäß ignorieren.
Ein paar Zeilen gelesen - jup, isso. 🤷‍♂️

 

[RedPanda05]

Tja, Beiträge, die sofort mit dem Niveau des Ad Hominem beginnen kann man erfahrungsgemäß ignorieren.

Xd Äh nein, dich auf die technische Unkorrektheit deines Beitrags hinzuweisen ist kein Angriff gegen deine Person.

 

[tollertyp]

... aber es lenkt von den Argumenten ab. Nichts anderes wollte er doch damit erreichen.
Ist doch typisch für Leute, die sich ertappt fühlen. Dinge, die er von mir zitiert, hatte ich im Grunde auch schon erklärt, warum es ein Problem sein könnte. Aber der Zeitdruck war zu groß, weil der Thread so schnelllebig war, es kamen ja tatsächlich noch 2-3 Beiträge innerhalb von 24h, da ging es halt nicht anders.

 

[Uzer1510]

Ganz normalerweise sollte Bitlocker nur dann automatisch scharfgeschalten sein, wenn man sich auch mit einem MS Online Konto angemeldet hat. Ergo, siehe #2.

Ne das stimmt nicht ich habe zu 100% noch nie ein MS Konto genutzt aber mit irgendeinem Update hat Win11 auch begonnen die System HDD zu bitlocken.

Herhe ich hab das nur dann zufällig entdeckt und sofort rückgängig gemacht

 

[NJay]

Ich finde auch, dass die Leute, die "symmetrische Verschlüsselung ist unknackbar" propagieren sich sehr weit aus dem Fenster lehnen.

Hast du da auch ne Quelle für? Aus aktueller wissenschaftlicher Sicht sind symmetrische Verfahren unknackbar, auch nicht durch Quantencomputer. Die besten Chancen in der Praxis sind Fehler in de Implementierung der Verschlüsselung oder zu kurze Passwörter.

 

[qiller]

Ne das stimmt nicht ich habe zu 100% noch nie ein MS Konto genutzt aber mit irgendeinem Update hat Win11 auch begonnen die System HDD zu bitlocken.

Du musst bei Bitlocker unterscheiden:

• Konvertierungsstatus
• Schutzstatus
• Sperrstatus

Ersteres ist seit den letzten Windows 11 Versionen in der Tat ab Installation aktiviert, unabhängig ob ein MS-Online Konto verwendet wird (die Konvertierung erfolgt schon direkt bei der Installation). Das, was aber Probleme macht, ist zweiteres. Und der Schutzstatus wird erst mit der Hinterlegung eines MS Online Kontos automatisch aktiviert. Ohne MS Online Konto bleibt der Schutzstatus deaktiviert, es sei denn, man richtet Bitlocker manuell ein (bei der manuellen Aktivierung kommt dann auch der Recoverykey-Hinweis).

 

[tollertyp]

Und dann gibt es noch Geräte, die ab Werk mit aktiver Geräteverschlüsselung ausgeliefert wurden...

 

[qiller]

ab Werk mit aktiver Geräteverschlüsselung

Wie gesagt, das ist nur der Konvertierungsstatus. Muss ja auch so sein. Sonst würden sich ja diverse Sicherheitsfragen stellen, z.B. wo befindet sich der Recovery-Key etc. Denn das gibts halt auch bei Win 11 Pro so (wo man ganz normal lokale Konten anlegen kann).

 

[tollertyp]

Seit wann ist das mit diesen 3 Status so, und wo ist das dokumentiert?

 

[qiller]

Mach mal

manage-bde -status

Da siehst du es.

Wenn man ein BIOS Update macht oder die CPU/TPM-Modul tauscht, ist es auch immer der Schutzstatus, den man anhält bzw. pausiert - die Laufwerke bleiben komvertiert.

 

[tollertyp]

Das beantwortet meine Frage nicht, aber ich habe sie wohl auch nicht präzise genug gestellt..
Also seit wann ist das hier z.B. so "Und der Schutzstatus wird erst mit der Hinterlegung eines MS Online Kontos automatisch aktiviert."

 

[BFF]

die ab Werk mit aktiver Geräteverschlüsselung ausgeliefert wurden.

Hast Du mal Beispielgeraete/Hersteller?
Ich stell mir da die Frage wie man sich ueberhapt an denen anmeldet? Wuerde ja nur klappen wenn bereits eingerichtetes Konto. Und das wird kein MS-Konto sein.

seit wann ist das hier z.B. so "Und der Schutzstatus wird erst mit der Hinterlegung eines MS Online Kontos automatisch aktiviert.

Das automatische Starten der Verschluesselung kam wohl erst mit W11 Home bei Notebooks. Jedenfalls habe ich es da zuerst beobachtet. In VM spaeter getested unter 24H2 startet das sofort sowie eine MS Account-Anmeldung stattfindet. Ob W10 spaeter angepasst wurde dahin? Keine Ahnung. Hab ich nicht mehr. Und meine VM sind alle Pro. Das ist eh anders. Bei W10 passiert da rein nix wenn man sich mit einem MS-Konto anmeldet.

 

[tollertyp]

Lenovo lieferte Geräte bereits seit mindestens 2021 mit aktiviertem Bitlocker aus (also dem Erscheinen von Windows 11), z,B, IdeaPads, also lange bevor das zum "Standardverhalten" wurde.

 

[BFF]

Das Symptom? @tollertyp

https://support.lenovo.com/us/en/so...r-recovery-screen-thinkpad-ideapad-ideacentre

 

[tollertyp]

Cool, habe das nicht gefunden. Also sollte auch in dem Fall der Recovery-Key im Konto sein.
Mich wundert nur etwas, dass bei meinem Laptop kein Key vom Inbetriebnahme-Monat drin ist. Aber ist nun auch über 4 Jahre her.

 

[BFF]

Es klebt am MS oder Azure-Account. Kann ich mir auch garnicht anders vorstellen im Moment.
Der Dienst ist an, rennt aber erst/nur automatisch los wenn der MS-Account da ist. Startet man das Ding manuell kommt die Frage wohin der Key gehen soll. @tollertyp

https://learn.microsoft.com/en-us/windows-hardware/design/device-experiences/oem-bitlocker

Also sollte auch in dem Fall der Recovery-Key im Konto sein.

Korrekt.

 

[Uzer1510]

Du musst bei Bitlocker unterscheiden:

• Konvertierungsstatus
• Schutzstatus
• Sperrstatus

Ersteres ist seit den letzten Windows 11 Versionen in der Tat ab Installation aktiviert, unabhängig ob ein MS-Online Konto verwendet wird (die Konvertierung erfolgt schon direkt bei der Installation). Das, was aber Probleme macht, ist zweiteres. Und der Schutzstatus wird erst mit der Hinterlegung eines MS Online Kontos automatisch aktiviert. Ohne MS Online Konto bleibt der Schutzstatus deaktiviert, es sei denn, man richtet Bitlocker manuell ein (bei der manuellen Aktivierung kommt dann auch der Recoverykey-Hinweis).

Hmm ich meine wohl das hier dann bei mir

------------------- von MS Bitlocker Seite --------------------------------

Device encryption is enabled automatically so that the device is always protected.

As part of preparation, device encryption is initialized on the OS drive and fixed data drives on the computer with a clear key that is the equivalent of standard BitLocker suspended state.

If a device uses only local accounts, then it remains unprotected even though the data is encrypted

----------------------------------------

https://learn.microsoft.com/en-us/w...ng-system-security/data-protection/bitlocker/

Der Schlüssel liegt dann einfach auf der lokalen Festplatte ohne MS Konto als glaub Textdatei - aber wenn der verloren - oder man die Verschlüsselung gar nicht mitbekommt - ist halt schnell Sense.


Wenn ich verschlüsseln will nutze ich ausschliesslich VeraCrypt - Bitlocker ist mir einfach zu Windows-beschänkt.

 

[tollertyp]

Und ich weiß nicht mehr, wann ich mich auf dem Laptop zum ersten Mal mit dem MS-Konto angemeldet habe.

Aber ich denke, es gibt berechtigte Hoffnung, dass in diesem Fall die Keys im Konto hinterlegt sein dürften.

(Leider habe ich damals noch keine Images vom Auslieferungszustand gemacht)

 

[qiller]

device encryption is initialized on the OS drive and fixed data drives on the computer with a clear key that is the equivalent of standard BitLocker suspended state

Das ist das entscheidende.

Das wird ja bei Fertig-Geräten wie Laptops schon länger so gemacht. Das gabs auch teilweise schon bei Windows 10 Business-Geräten. Mit Windows 11 24H2 hat MS das jetzt in die breite Masse gedrückt, so dass auch Windows Home Geräte standardmäßig verschlüsselt werden (halt mit dem "clear key").

 

[Uzer1510]

Weiss nicht ich finde das nicht wirklich sinnvoll was MS hier macht - vielleicht mal 500 Entwickler abziehen die alle 3 Monate das Startmenü optimieren und in dem Bereich mal werkeln lassen

Wer verschlüsseln will sollte selber wissen was er macht - und das nicht untergeschoben bekommen - dass MS das optional anbietet ok nicht verkehrt - aber dann nur als echtes Opt-In.