Bitlocker nach Lernstick-Einsatz an elterlichem PC

36 views
Skip to first unread message

Udo Isaenko

unread,
Mar 20, 2023, 5:22:31 PM3/20/23
to lern...@googlegroups.com
Hallo zusammen

Ein Schüler meines Informatikpraktikums hat seinen Lernstick am
elterlichen PC eingesetzt. Dort war im Windows eine
Bitlocker-Verschlüsselung aktiv und da mein Schüler offenbar damit den
Stick nicht starten konnte, hat er kurzerhand im BIOS die
HDD-Verschlüsselung deaktiviert.

Nun kommen die Eltern nicht mehr auf ihren PC, da sie kein Passwort
kennen und auch nie für diesen PC ein Microsoft-Konto eröffnet haben.

Kennt irgendwer irgendeine Möglichkeit, was man da noch tun kann?

Die Eltern sind für jede Hilfe dankbar (und ich auch).

Liebe Grüsse
Udo

P.S.: Auf jeden Fall weiss ich nun, vor was ich meine Schüler:innen
künftig warnen muss...

Andreas Goebel

unread,
Mar 20, 2023, 5:43:29 PM3/20/23
to lern...@googlegroups.com
Am 20.03.23 um 22:22 schrieb Udo Isaenko:
Hallo,

ich würde mich an den Hersteller des PCs wenden, evtl. haben die einen
Master-Key oder so etwas. Und mal alte Mails durchforsten, vielleichdt
haben sie ein MS Konto und wissen es nur nicht mehr.

Mir ist das selbst (zum Glück) mal mit einem Schul-PC passiert, der aber
ein MS Konto hatte, dann kann man den PC wieder entsperren. War trotzdem
ätzend, hat mich eine Stunde Arbeit gekostet. Deswegen sage ich immer
an: Niemals unter keinen Umständen Secure Boot deaktivieren, es sei
denn, man möchte Windows löschen und Linux richtig installieren (dann
hat das Vorteile, etwa die Möglichkeit, unsignierte Kernel zu installieren).

LG

Andreas

Udo Isaenko

unread,
Mar 20, 2023, 5:48:24 PM3/20/23
to lern...@googlegroups.com
Hallo Andreas

Danke für die schnelle Reaktion. Hab es gleich an die Eltern so weiter
gegeben.

Frage an die Runde: Kann es sein, dass man so ein Secure Boot mitsamt
der Verschlüsselung deaktivieren muss, um den Lernstick überhaupt zu
starten? Oder hat mein Schüler einfach zu viel im BIOS herumprobiert
(und nicht an der richtigen Stelle angesetzt, z.B. wollte er vielleicht
nur die Bootsequenz umstellen oder überhaupt Booten von USB zulassen)
und dieses Problem versehentlich ausgelöst?

LG
Udo

Am 20.03.23 um 22:43 schrieb Andreas Goebel:

Thore Sommer

unread,
Mar 20, 2023, 6:05:09 PM3/20/23
to lern...@googlegroups.com
Hallo Udo,

Bitlocker funktioniert so, dass der Zustand der UEFI Konfiguration mit in die Entscheidung spielt, ob die Festplatte automatisch entsperrt wird.
Theoretisch sollte es wider funktionieren, wenn man die Einstellungen auf die gleichen wie vorher zurück setzt. D.h. alte Boot-Reihenfolge, Secure Boot wieder anschalten wenn es abgeschaltet wurde.
Wichtig ist auch, dass der Stick dann nicht mehr am Rechner steckt.

Für den Lernstick muss Secure Boot nicht ausgeschaltet werden, solange die MS 3rd-party CA zugelassen ist.

Viele Grüße
Thore


--
Sie erhalten diese Nachricht, weil Sie Mitglied der Google Groups-Gruppe "lernstick" sind.
Wenn Sie sich von dieser Gruppe abmelden und keine E-Mails mehr von dieser Gruppe erhalten möchten, senden Sie eine E-Mail an lernstick+...@googlegroups.com.
Besuchen Sie https://groups.google.com/d/msgid/lernstick/2b01b50d-7eb7-89bf-92ee-c35fd249f96b%40isaenko.ch, um diese Diskussion im Web anzuzeigen.

Andreas Goebel

unread,
Mar 21, 2023, 3:01:36 AM3/21/23
to lern...@googlegroups.com
Am 20.03.23 um 23:04 schrieb Thore Sommer:
Hallo Udo,

Bitlocker funktioniert so, dass der Zustand der UEFI Konfiguration mit in die Entscheidung spielt, ob die Festplatte automatisch entsperrt wird.
Theoretisch sollte es wider funktionieren, wenn man die Einstellungen auf die gleichen wie vorher zurück setzt. D.h. alte Boot-Reihenfolge, Secure Boot wieder anschalten wenn es abgeschaltet wurde.
Wichtig ist auch, dass der Stick dann nicht mehr am Rechner steckt.

Für den Lernstick muss Secure Boot nicht ausgeschaltet werden, solange die MS 3rd-party CA zugelassen ist.

Viele Grüße
Thore

Bei mir war es so, dass ich mich an dem MS-Konto, das ich beim Einrichten des Rechners angegeben hatte, anmelden musste, da gibt es irgendwo eine Option Festplatte entsperren, dann bekam ich einen kilometerlangen Key, und den musste ich dann (hatte zu dem Zeitpunkt keine Tastatur) mit der Bildschirmtastatur des Surface eingeben.

Davon abgesehen ist es m.E. eines der entscheidenden Features des Lernsticks, dass er mit Secure Boot funktioniert, und das Lernstick-Team steckt viel Arbeit rein, dass es funktioniert (vielen Dank dafür!).

Wenn es also nicht ein ganz merkwürdiges UEFI ist, das der REchner da hat, dann hat eher der Schüler was falsch gemacht.

Beim Surface etwa gibt es ein Häkchen für "3rd Party CA", das kann man leicht vergessen. Bei anderen Geräten (Lenovo, Acer) kann man das UEFI einfach so lassen, wie es ist.

Die Useability ist besser ohne Secure-Boot, weil man dann beim Lernstick noch die Möglichkeit hat, von der Festplatte zu booten, wenn der Stick drinsteckt. Generell finde ich Secure Boot für Privatpersonen eher sinnlos, für Lehrer finde ich das Verschlüsseln eines Verzeichnisses für pers. bez. Daten besser.

Gruß,

Andreas

Sie erhalten diese Nachricht, weil Sie in Google Groups E-Mails von der Gruppe "lernstick" abonniert haben.

Wenn Sie sich von dieser Gruppe abmelden und keine E-Mails mehr von dieser Gruppe erhalten möchten, senden Sie eine E-Mail an lernstick+...@googlegroups.com.

Udo Isaenko

unread,
Mar 21, 2023, 4:19:22 PM3/21/23
to lern...@googlegroups.com
Hallo zusammen

Ich habe gerade eine Mail der Mutter des Schülers bekommen, dass sie
dank eines Teams-Zugangs von einer Weiterbildung einen MS-Schlüssel
generieren und so den Bitlocker wieder entsperren konnte.

Hat sich also auf diese Weise geregelt, wobei mich der andere, von Thore
beschriebene, Weg technisch sehr interessiert hätte.

Im Dialog via Klapp (Schul-Chat-System) hat sich auch klar heraus
gestellt, dass es ihr Sohn war, der da (wohl unnötigerweise) am BIOS
rumgeschraubt hatte.

Ich werde in Zukunft meine Schüler:innen besser informieren und warnen.

Vielen Dank auf jeden Fall für eure schnellen Hilfen. So hat diese
Mutter jedenfalls mittelbar auch erfahren, dass der Lernstick eine tolle
Hilfe durch die Community bieten kann, was ganz sicher auch dazu
beiträgt, ihren anfänglichen Groll gegen "dieses Linux" massiv
abzuschwächen.

Liebe Grüsse aus dem zentralen Aargau
Udo

Andreas Goebel

unread,
Mar 22, 2023, 8:49:57 AM3/22/23
to lern...@googlegroups.com
Am 20.03.23 um 23:04 schrieb Thore Sommer:
Hallo Udo,

Bitlocker funktioniert so, dass der Zustand der UEFI Konfiguration mit in die Entscheidung spielt, ob die Festplatte automatisch entsperrt wird.
Theoretisch sollte es wider funktionieren, wenn man die Einstellungen auf die gleichen wie vorher zurück setzt. D.h. alte Boot-Reihenfolge, Secure Boot wieder anschalten wenn es abgeschaltet wurde.
Wichtig ist auch, dass der Stick dann nicht mehr am Rechner steckt.

Für den Lernstick muss Secure Boot nicht ausgeschaltet werden, solange die MS 3rd-party CA zugelassen ist.

Viele Grüße
Thore

Hallo,

wir hatten heute das Problem ganz konkret am Surface Go. Secure boot von Microsoft auf Microsoft + 3rd-party CA umgestellt, anschließend wurde nach dem BitLocker-Key gefragt.

So ganz verstehe ich nicht, warum man MS + 3rd Party braucht, der Lernstick ist doch von MS signiert, oder?

Also, konkret: Hat jemand einen möglichst einfachen Workflow, um ein Bitlocker Verschlüsseltes MS Surface vom Lernstick zu booten?

Dank + Gruß,

Andreas

Sie erhalten diese Nachricht, weil Sie in Google Groups E-Mails von der Gruppe "lernstick" abonniert haben.
Wenn Sie sich von dieser Gruppe abmelden und keine E-Mails mehr von dieser Gruppe erhalten möchten, senden Sie eine E-Mail an lernstick+...@googlegroups.com.

Thore Sommer

unread,
Mar 22, 2023, 9:42:17 AM3/22/23
to lern...@googlegroups.com

So ganz verstehe ich nicht, warum man MS + 3rd Party braucht, der Lernstick ist doch von MS signiert, oder?

Ja, aber es gibt zwei CAs, eine die nur von Microsoft für Windows benutzt wird und die 3rd-party CA welche für bestimmte Treiber und andere Distributionen genutzt wird.
Einige der neueren Geräte haben nur die erstere als Standard konfiguriert.
 

Also, konkret: Hat jemand einen möglichst einfachen Workflow, um ein Bitlocker Verschlüsseltes MS Surface vom Lernstick zu booten?



Viele Grüße
Thore

Andreas Goebel

unread,
Apr 24, 2023, 9:55:03 AM4/24/23
to lern...@googlegroups.com
Mal wieder eine Bitlocker-Frage: Weiß jemand von Euch, wie man an einem
Gerät mit Windows-S feststellt, ob Bitlocker aktiv ist?
Die Kommandozeile kann man da ja nicht starten, wenn ich danach Google,
finde ich nur Anleitungen für "normales" Windows.

Gruß,
Andreas

Am 21.03.23 um 21:19 schrieb Udo Isaenko:
Reply all
Reply to author
Forward
0 new messages