In Vorbereitung ein bestehendes Windows 11 Pro auf einen neuen Computer umzuziehen, hierfür reicht in der Regel ein Klonen oder Sichern/Wiederherstellen der C-Partition aus, fiel per Zufall auf das möglicherweise auf dem neuen Computer BitLocker aktiviert ist.
Auf dem neuen Computer ist Windows 11 Pro bereits vorinstalliert, aber das OOBE wurde noch nicht durchlaufen. Bevor irgendwas an diesem Gerät gemacht wird sollte eine Datensicherung erstellt werden. Nachdem das aktuelle c’t Notfall-Windows 2024 gestartet war, zeigte der Explorer ein entschlüsseltes Laufwerk C: (offenes Hängeschloss-Symbol) an, ab hier war klar, das offenbar BitLocker aktiviert ist. Nach der anfänglichen Datensicherung wurde das Gerät normal gestartet und das OOBE durchlaufen.
Nachdem soweit die ungeplante Ersteinrichtung fertig war (lokales Benutzerkonto, Arbeitsgruppe/keine Domäne), zeigte ein Blick in den Explorer allerdings keine Verschlüsselung an. Schaute man in die Systemsteuerung stand dort “C: BitLocker wartet auf Aktivierung”:
Die Datenträgerverwaltung wiederum zeigte an, das Laufwerk C: verschlüsselt sei:
In der Einstellungen-App zeigte sich dann, das die “Geräteverschlüsselung” eingeschaltet ist:
Klickt man auf eines der darunter liegenden Menüs gelangt man wieder in die Systemsteuerung. Ein Wiederherstellungsschlüssel konnte übrigens nicht gefunden werden. Es drängte sich die Frage auf: Wer lügt jetzt? Ist BitLocker nun aktiv oder nicht, ist das Laufwerk verschlüsselt oder nicht? Was ist Phase?
Offenbar ist diese Sache gar nicht so unbekannt. Recherchiert man danach, findet sich genau diese Situation z.B. bei manchen HP-, Dell- oder Lenovo-Geräten. Interessant ist an dieser Stelle die Dokumentation von Microsoft:
BitLocker drive encryption in Windows 10 for OEMs
"BitLocker automatic device encryption starts during Out-of-box (OOBE) experience. However, protection is enabled (armed) only after users sign in with a Microsoft Account or an Azure Active Directory account. Until that, protection is suspended and data is not protected. BitLocker automatic device encryption is not enabled with local accounts, in which case BitLocker can be manually enabled using the BitLocker Control Panel."
Also irgendwie ist es aktiv und auch nicht.
Nach der Deaktivierung der Geräteverschlüsselung über die Einstellungen-App wurde das Laufwerk dann entschlüsselt (obwohl es gar nicht verschlüsselt sein sollte):
Geht es nach Microsoft, dann sollte
- jeder Computer ein MS Konto verwenden und
- in dieses wird automatisch (also ungefragt) der BitLocker-Wiederherstellungsschlüssel gespeichert.
Verwendet man allerdings kein MS Konto, hat keine Datensicherung und weiß man erstmal nichts von einer Laufwerksverschlüsselung hat man im Fehlerfall (TPM oder Mainboard defekt, Boot-Umgebung zerschossen, usw.) schlichtweg Pech, da man an die Daten nicht mehr ran kommt. Daher kann eine Verschlüsselung ab Werk bzw. automatisch aktiviert durchaus kritisch gesehen werden.
Das Geräte ab Werk mit BitLocker verschlüsselt sind kannte ich bislang nur von den Surface-Tablets. Wieder ein Punkt mehr auf den man ab sofort (bei allen Geräten unabhängig vom Hersteller) achten muss.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Artikel (RSS)
XING
Hallo Any,
welcher Hersteller war das?
Habe ich so bei Extracomputer noch nicht gesehen, aber es kann sein das Microsoft seine OEMS in diese richtung “drückt”
mfg Peter
Hallo Peter,
es handelt sich um ein exone go Business 1560 X12.
Also ja, ist von der Extra Computer. Ist jetzt auch der erste Computer von denen, wo ich das gesehen habe.