Bitlocker Windows 11 Sinnvoll
Beat Przybylski
[English]Heute mal ein Thema, welches den einen oder anderen Nutzer in eine unangenehme Situation gebracht haben knnte. Eine Maschine mit der Windows 10 Home-Edition (oder Windows 11 Home) fordert nach einem Update oder sonst einer nderung pltzlich einen Bitlocker-Schlssel an. Der Nutzer steht wie der Ochs vorm Berg, da er diesen Schlssel nicht hat und sich eigentlich auch nicht bewusst ist, jemals etwas mit Bitlocker gemacht zu haben. Ursache ist eine doofe Verkettung von Unzulnglichkeiten in Form der Microsoft-Implementierung und des vorauseilenden Gehorsams durch OEMs.
Eigentlich ist die Verschlsselung von Datentrgern eine gute Sache, da die Daten ziemlich sicher vor der Einsichtnahme durch Unbefugte ist. Gelangt ein verschlsselter Datentrger in die Hnde Dritter, knnen diese ohne den Wiederherstellungsschlssel nichts damit anfangen. Mit Bitlocker hat Microsoft ja eine solche Verschlsselungsfunktion in Windows eingebaut, die in Firmen zur Absicherung von Datentrgern genutzt werden kann. Wenn ein Administrator das planvoll angeht und sicherstellt, dass die Bitlocker Wiederherstellungsschlssel gesichert werden und zur Wiederherstellung verwendet werden, ist alles gut.
Zum Problem wird dies, wenn ein System nach einem Update oder einer Konfigurationsnderung (z.B. Tausch des Mainboards) pltzlich einen Bitlocker-Wiederherstellungsschlssel anfordert, der Benutzer diesen aber nicht hat. Ich hatte einen solchen Fall im Blog-Beitrag Windows 10: Lst KB4535680 ein Bitlocker-Recovery aus? aufgegriffen, der aber wohl eher das Unternehmensumfeld betraf. Tritt ein solche Bitlocker Recovery-Problem bei Tausenden an Clients auf, kommt Arbeit auf Administratoren zu.
Und es gab im August 2022 den Fall, dass das Update KB5012170 fr Secure Boot DBX Bitlocker-Probleme verursachte. Nach der Installation des Updates forderte Windows den Bitlocker Recovery-Schlssel an, was aber auf manchen Systemen bse Probleme bereitete, weil dieser Schlssel nicht vorlag. Ich hatte das Ganze im Blog-Beitrag Update KB5012170 fr Secure Boot DBX verursacht Bitlocker-Probleme aufgegriffen.
Mir war das Thema irgendwie im Hinterkopf, dass es immer wieder Meldungen gab, dass auch Systeme mit Windows 10 Home (und damit auch Windows 11) fr Konsumenten pltzlich einen Wiederherstellungsschlssel verlangten, weil sie mit Bitlocker verschlsselt waren.
Ich hatte das 2017 mal im Blog-Beitrag Windows 10: Bitlocker verschlsselt automatisch aufgegriffen, wo sich herausstellte, dass Windows 10 Pro bei einem HP ProBook 430 G5 bei einer Neuinstallation automatisch bestimmte Partitionen verschlsselt. Bei der Recherche kam auch heraus, dass Dell etwas hnliches macht. Dell schrieb dazu:
Die BitLocker-Gerteverschlsselung wird auf einer breiten Palette von Gerten untersttzt, einschlielich Gerten, die modernen Stand-by-Standards entsprechen, und Gerten, auf denen Windows 10 Home Edition oder Windows 11 ausgefhrt wird.
Voraussetzung ist ein UEFI, ein TPM 2.0-Modul, bestimmte Speichermedien (SSD, Hybrides Laufwerk etc.), wie Dell hier angibt. Zudem muss der Modern Standby (S0) aktiviert sein. Microsoft geht sogar so weit, dass man selbstverschlsselnde Laufwerke mit Bitlocker verschlsselt, statt auf die Verschlsselung des Herstellers zu setzen (siehe meinen Blog-Beitrag Microsoft setzt bei self-encrypting drives (SEDs) auf Bitlocker-Verschlsselung).
Ende Januar 2023 hat mich Julia per Mail ber einen neuen Beitrag in der englischsprachigen Microsoft Answers-Community informiert (danke dafr). Der Beitrag When a manufacturer adds BitLocker encryption on Home edition wirft etwas Licht auf die Frage, wieso manche Systeme pltzlich mit Bitlocker verschlsselte Datentrger aufweisen. Ein Nutzer schrieb dort:
So previously seen posts/threads of people finding BitLocker enabled on Home editions when it isn't available on Home are true. I have checked my Microsoft account and it shows a 48 character key for BitLocker recovery registered against this new laptop. I have never used BitLocker in the past and this is a new addition to my account.
Ein weiterer Nutzer hat dann einen Link auf den Microsoft Support-Beitrag BitLocker Device Encryption gepostet, der mit meinen obigen Ausfhrungen zu Dell-Systemen bereinstimmt. Ich habe mal die betreffenden Passagen herausgezogen:
Beginning in Windows 8.1, Windows automatically enables BitLocker Device Encryption on devices that support Modern Standby. With Windows 11 and Windows 10, Microsoft offers BitLocker Device Encryption support on a much broader range of devices, including those devices that are Modern Standby, and devices that run Home edition of Windows 10 or Windows 11.
Das Verhalten ist also seit Windows 8.1 bei Gerten mit Modern Standby auch in Windows 10/11 Home verfgbar, sofern die Hardware-Anforderungen erfllt sind. Microsoft geht inzwischen davon aus, dass die meisten Gerte die Anforderungen fr BitLocker Device Encryption erfllen, sodass die BitLocker Device Encryption auf allen modernen Windows-Gerten weit verbreitet ist. So sollen die Systeme zustzlich durch die transparente Implementierung einer gerteweiten Datenverschlsselung mittels BitLocker Device Encryption geschtzt werden.
Microsoft empfiehlt die automatische Aktivierung der BitLocker-Gerteverschlsselung auf allen Systemen, die sie untersttzen. Der automatische BitLocker-Gerteverschlsselungsprozess kann jedoch durch ndern der folgenden Registrierungseinstellung verhindert werden:
Administratoren knnen domnenverbundene Gerte, bei denen BitLocker Device Encryption aktiviert ist, ber Microsoft BitLocker Administration and Monitoring (MBAM) verwalten. In diesem Fall stellt BitLocker Device Encryption automatisch zustzliche BitLocker-Optionen zur Verfgung. Es ist keine Konvertierung oder Verschlsselung erforderlich, und MBAM kann den vollstndigen BitLocker-Richtliniensatz verwalten, wenn Konfigurationsnderungen erforderlich sind.
Die Frage: Ist das Gert mit Bitlocker verschlsselt? lsst sich auf zwei Arten in den Home-Editionen klren. Einmal sollte beim Blick auf die Medien in der Datentrgerverwaltung ein Hinweis auf die Bitlocker-Verschlsselung erscheinen (siehe obigen Screenshot). Zudem gibt es das Kommandozeilen-Tool manage-bde.exe welches in einer mit Als Administrator ausfhren aufgerufenen Eingabeaufforderung verwendet werden kann. Mit:
wird der Zustand der Bitlocker-Verschlsselung auf dem System in der Kommandozeile angezeigt. Taucht dort bei Bitlocker ein Kein auf, ist die Verschlsselung nicht aktiv. Zum Abschalten der Bitlocker-Verschlsselung lsst sich der Befehl:
verwenden, wobei in obigem Beispiel das Ganze auf das logische Laufwerk C: wirkt. Alternativ kann man prfen, ob in der Einstellungen-Seite der Home-Editon unter Update & Sicherheit (Windows 10) oder unter Datenschutz und Sicherheit (Windows 11) der Punkt Gerteverschlsselung existiert. Dort sollte dann der Status und ggf. eine Option zum Abschalten zu finden sein.
Kommen wir nun noch zur Frage, wo der automatisch erstellte Bitlocker Recovery-Key (Wiederherstellungsschlssel) zu finden ist. Es klang bereits in obigem MS-Answers-Forenpost an: Der Nutzer hatte den Wiederherstellungsschlssel in seinem Microsoft Konto, das fr Windows 11 Home angelegt wurde, gefunden.
Wer also Zugriff auf ein Microsoft-Konto hat, kommt an den Bitlocker-Recovery-Key fr das Gert heran. Geht im Gegenzug der Zugriff auf das Microsoft-Konto verloren und wird der Bitlocker-Recovery-Key pltzlich bentigt, ist Ende Gelnde. An dieser Stelle wird auch klar, warum Microsoft die Online-Konten bei modernen Systemen immer weiter forciert.
Unter dem Strich finde ich das alles eine recht toxische Konstellation, denn in Hnden von Privatanwendern drften da Katastrophen durchaus vorprogrammiert sein. Neben den oben erwhnten "toxischen" Updates, die zur Anforderung eines Wiederherstellungsschlssels fhren, drften auch Wechsel des Mainboards oder sogar schlichte BIOS-Updates in dieses Szenario fhren. Und was ist, wenn dann das Microsoft Konto, dem der Schlssel zugeordnet wird, gesperrt oder gelscht ist und kein Zugriff auf den dort gespeicherten Schlssel mehr besteht?
Bisl unverschmt der Kommentar, selbst ein Backup verursacht Arbeit, der Anwender kann nicht arbeiten, ggf. ber Stunden oder Tage und das nur deshalb, weil Bitlocker auf einem Windoes 11 Home ohne Zutun des Administrators durch Microsoft/Lenovo eingeschalten wird und z.B. Lenovo ein Update durchzieht nach welchem ein Widerherstellungsschlssel gefordert wird. Statt dass vorher der Wiederherstellungsschlssel gesichert wird bzw. der User/Admin darauf hingewiesen wird.
Die Sache sehe ich durchaus als Kopfschttler. Fallen mir doch Beitrge hier im Blog ein, wo der dauerhafte Verlust von MS-Konten zu beklagen war. Da ist dann wieder pltzlich das beklemmende Gefhl da, bei MS nicht gut aufgehoben zu sein. Wobei ich die Verschlsselungsmglichkeit sehr positiv sehe. Nur, wer verschlsseln will sollte sich aktiv dazu entscheiden. In keinem Fall sollte jemand festlegen was gut fr die Nutzer zu sein hat.
Ich frage mich da vor allem, was passiert, wenn verschiedene User (mit verschiedenen MS-Konten) an einem Gert anmelden. Bekommen dann alle den Recovery-Key mit Ihrem Konto zu sehen? Wenn nein, was passiert, wenn das Hauptkonto gelscht wird oder online nicht mehr zugnglich ist, der Computer aber weiterhin von den anderen verwendet wird?
Zweites Szenario: Ein Computer wird anfnglich mit einem privaten MS-Konto genutzt und Bitlocker ist aktiviert. Spter wird der Computer eine Domne hinzugefgt (aus welchen Grnden sei mal dahingestellt). Das private Konto bleibt auf dem Computer bestehen, wird aber nicht mehr aktiv genutzt. Bleibt dann der Recovery-Key nur beim Microsoft-Konto ersichtlich, falls Bitlocker domnenseitig nicht aktiv ist?
Wegen der untenstehenden Kritik von Zacho, muss ich korrekterweise relativieren:
Das zweite Szenario kann bei Windows Home Gerten nicht vorkommen. Bei Windows Pro steht Bitlocker indessen zur Verfgung. Schliesslich sollte man annehmen knnen, dass ein Administrator sich der Auswirkungen bewusst ist, wenn er einen Computer in die Domne aufnimmt. Somit passt das nicht zum eigentlichen Thema.