Täglich was Neues - heute der Bitlocker Wiederherstellungsschlüssel

Täglich was Neues - heute der Bitlocker Wiederherstellungsschlüssel (49 Beiträge, 1034 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Tochter raunzt, dass ihr Laptop langsam ist. Daher heute alle Updates durchlaufen lassen, H121 installiert etc. Am Ende der Prozedur taucht das Lenovo Service Tool auf und empfiehlt, das aktuelle BIOS zu installieren. Man kontrolliert, ob das nicht fake ist, etc. Und dann sagt man halt OK.

Und nach dem Reboot steht man vor dem Blauen BitLocker Screen, der den Bitlocker Wiederherstellungsschlüssel verlangt. Noch nie in meinem Leben davon gehört. Herzstillstand...

Zum Glück ein Verweis auf https://support.microsoft.com/de-de/windows/suchen-des-bitlocker-wiederherstellungsschl%C3%BCssels-in-windows-6b71ad27-0b89-ea08-f143-056f5ab347d6
dabei.

Nächstes Glück. Ich habe den Laptop mit MEINEM Windows und O365 User aufgesetzt. Dadurch konnte ich den Schlüssel auf einem anderen Gerät in MEINEM User finden.

Danke Lenovo & Microsoft!

Daher Leute, geht mal über alle eure W10 PC's und checkt, ob ihr die jeweiligen Wiederherstellungsschlüssel irgendwo dokumentiert habt.

Microsoft speichert diesen Wiederherstellungsschlüssel in der Cloud? WTF? Dann könnten sie ja die Daten entschlüsseln.

Nein, wieso? Der Rückschluss ergibt sich nicht automatisch. Ich habe viele Daten in der Cloud, mit denen der Anbieter selber nix anfangen kann

Na wenn man das Gerät hätte und den Wiederherstellungsschlüssel, wird man wohl die Daten entschlüsseln können oder?

Wer sagt dass sie den Schlüssel entschlüsseln können?

Ach so hast du das gemeint. Könnte sein dass sie es nicht können. Glaub ich aber nicht

wenn sie dir noch den PC fladdern, ja
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

wenn sie dir noch den PC fladdern, ja

Dafür gibts die Polizei.

Meinte damit das man für sonst nix den Key nutzt
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Daher Leute, geht mal über alle eure W10 PC's und checkt, ob ihr die
jeweiligen Wiederherstellungsschlüssel irgendwo dokumentiert habt.

das laß ich den Händler machen, von dem das Graffl stammt. Aber unter Garantie.

mfg
AVS

aus gegebenem Anlaß: keine Toleranz gegenüber Fundamentalisten!

Die Ironie daran: Die DIY-Motherboards weisen einen sogar darauf hin, dass man sich den Wiederherstellungsschlüssel vor einem BIOS-Update zurechtlegen soll.

Das sollte man vielleicht allen Laptop-Herstellern schicken.

Dell hat das Memo schon erhalten, Lenovo stellt sich hier alleine deppert an.

Edith: Und wieder einmal demonstriert ein OEM auf eindrucksvolle Art und Weise, wie archaisch und scheiße die Wintel-Allianz aus Konsumentenperspektive ist. Dass ich mir einmal Qualcomm-Silizium herbeisehne, damit der PC Masterrace auf eindrucksvolle Art und Weise vorgeführt wird, wie Computing im 21. Jahrhundert auszusehen hat...

17.09.2021, 15:57 Uhr - Editiert von scientificallyilliterate, alte Version: hier

Oder man belässt das vorinstallierte Windows Home drauf, da gibt's kein BitLocker

Ich habe ausschließlich die von MS vorgeschlagenen Updates installiert!!! Das ist kein Bare-Metal Setup!

Ich wusste nicht mal, dass da drunter der Bitlocker installiert ist! Ich werde auch beim Hochfahren NIE nach dem Bitlocker Passwort gefragt. Daher war ich ja komplett perplex.

Es scheint, dass wenn ein Gerät mit W10 ausgeliefert wird, automatisch der BL scharf ist. Und wenn dann signifikante Parameter (zB BIOS) geändert werden, schreit der BL auf.

Ich wurde nie im Rahmen der Erstinstallation darauf hingewiesen, mir die 36 Zeichen lange Wurst aufzuschreiben.

Und auf der anderen Seite hat Lenovo nicht mitbekommen, dass ein BIOS Change den BL hysterisch macht. Denn dort wäre eine Warnung VOR der Installation durchaus hilfreich gewesen.

Wenn's dein Windows ist, also nachträglich drüberinstalliert, und BitLocker aktiviert wurde - per Default ist BitLocker nämlich nicht aktiv - wird man aufgefordert den Key auf einem USB-Stick zu kopieren, oder sich den Key zu notieren.

17.09.2021, 13:36 Uhr - Editiert von ein Kritiker, alte Version: hier

Nein, Lenovo Originalimage und ab dann Windows Update. Heute habe ich übers Windows Update H1 21 angeboten bekommen und installiert.

Hinweis von MS: https://support.microsoft.com/de-de/windows/suchen-des-bitlocker-wiederherstellungsschl%C3%BCssels-in-windows-6b71ad27-0b89-ea08-f143-056f5ab347d6

Wie wurde BitLocker auf meinem Gerät aktiviert?
Es gibt drei gängige Möglichkeiten, wie BitLocker Ihr Gerät schützen kann:

Ihr Gerät ist ein modernes Gerät, das bestimmte Anforderungen für die automatische Aktivierung der Geräteverschlüsselung erfüllt: In diesem Fall wird Ihr BitLocker-Wiederherstellungsschlüssel automatisch in Ihrem Microsoft-Konto gespeichert, bevor der Schutz aktiviert wird.

Auf Deutsch, mit irgendeiner W10 Release haben die einfach BL scharfgeschaltet und den Key in meinem User abgelegt. Dort liegen jetzt 2 Keys - die 2 modernen Laptops meiner Töchter.

Jetzt werde ich mal den meines Sohnes ansehen, was dort los ist. Der Stand PC ist dann der nächste.

Ich habe nämlich nicht alle Geräte mit meinem O365 User erst-installiert.

Demnächst steig ich auf Apple um. Der Wahnsinn wird mir privat langsam zu viel.

17.09.2021, 14:18 Uhr - Editiert von Paulas_Papa, alte Version: hier

Demnächst steig ich auf Apple um. Der Wahnsinn wird mir privat langsam zu
viel.

dann laß es jemanden machen, der sich damit auskennt. Diesmal sogar ironiefrei.

mfg
AVS

aus gegebenem Anlaß: keine Toleranz gegenüber Fundamentalisten!

Für Privatanwender kostspielig. Und auch für Firmen nicht gratis, aber die sind es gewöhnt, dass PC-Administration kostet.

Ein Freund von mir hat seit ewig eine Grafikbude mit ~15 Leuten. Er hatte noch nie einen Admin. Aber rate, was für Computer er verwendet

> Er hatte noch nie einen Admin. Aber rate, was für Computer er verwendet

SGI Onyx? Echt schöne Kisten!

Leider nein - er macht nur zweidimensionale, nicht bewegte Grafik... Und ob man ein Irix als Grafiker so nebenbei administriert?

> Und ob man ein Irix als Grafiker so nebenbei administriert?

Wenn man zu den Glücklichen mit langfristigem SLA gehörte dann gibt's sogar heute noch Support von HPE.

Demnächst steig ich auf Apple um. Der Wahnsinn wird mir privat langsam zu
viel.

Zu dieser Erkenntnis bin ich schon 1984 gelangt. Ich fasse Windows nur an, wenn ich dafür bezahlt werde, auf Rechnern, die von Profis administriert werden, und verwende dort ausschliesslich die für meine Arbeit erforderlichen Programme.

Für alles andere habe ich seit 1991 NextStep.

Es gibt drei gängige Möglichkeiten, wie BitLocker Ihr Gerät schützen kann:

Ihr Gerät ist ein modernes Gerät, das bestimmte Anforderungen für die
automatische Aktivierung der Geräteverschlüsselung erfüllt: In diesem Fall
wird Ihr BitLocker-Wiederherstellungsschlüssel automatisch in Ihrem
Microsoft-Konto gespeichert, bevor der Schutz aktiviert wird.

Auf Deutsch, mit irgendeiner W10 Release haben die einfach BL scharfgeschaltet
und den Key in meinem User abgelegt. Dort liegen jetzt 2 Keys - die 2 modernen
Laptops meiner Töchter.

Ok, das höre ich zum ersten Mal. Interessant...

So kann man sich auch vergnügen

>Demnächst steig ich auf Apple um.

Linux.

braucht man ja nur wenn man den Bitlocker nutzt (und das ist nur bei Pro möglich)

Edith: Mein Arbeitsrechner und mein Gaming Rechner habe beide Pro oben und alle aktuellen Updates installiert.

Eben noch mal geprüft: BitLocker ist DEAKTIVIERT. Also bei mir hat kein MS Update diesen aktiviert.

17.09.2021, 15:01 Uhr - Editiert von Alkestis, alte Version: hier

Ich verspreche dir, dass ich BL niemals aktiviert habe. Und er fragt auch nicht beim Start nach dem Passwort. Weder vorher noch jetzt.

Ich starte täglich meinen Firmenhobel mit BL. Ich kenn das Ding.

Ich verspreche dir, dass ich BL niemals aktiviert habe.

Ich glaube dir schon, kann halt sein, dass das Lenovo Image das bereits aktiviert hat.

Ich habe ein Firmennotebook von Lenovo mit Windows 10 Pro ... da ist es jedenfalls nicht von Haus aus aktiviert gewesen, das musste ich aktivieren (Meine Firma will das der BL aktiv ist ... deren Entscheidung und ist mir recht). Aber ich habe kein eigenes BL Kennwort welches beim Start abgefragt wird. Nur das normale Profil Login (mach ich über Fingerprint)

Ich starte täglich meinen Firmenhobel mit BL. Ich kenn das Ding.

und der fragt jedesmal? ist bei meinem firmenrechner definitiv nicht so!

Mein Firmenlaptop fragt bei jedem Boot.

omg! Wie viele Stellen darfst du da eingeben?

Nein, das ist ein normales wählbares Passwort. Nicht der Key!

Das Problem dieser „Lösung“ ist, dass du keine automatisierten Installationen über Nacht laufen kannst. Weil beim Boot ist der Spaß zu Ende.

Ich denke, dass das eine zusätzliche Securityanforderung war.

Nein, das ist ein normales wählbares Passwort.

davon bin ich ausgegangen, nur sind wahrscheinlich auch wieder mind. 10 Stellen einzugeben...

Das Problem dieser „Lösung“ ist, dass du keine automatisierten Installationen
über Nacht laufen kannst. Weil beim Boot ist der Spaß zu Ende.

An das habe ich gar nicht gedacht !

Aeh - was ist denn das fuer eine "komische" Installation?

Wir haben auch BL, da fragt niemand irgendwas beim boot - das liesze sich nicht "verkaufen".

Und wieso muss man einen Corporate Client ueberhaupt "wiederherstellen"? Naechstes device -> Sync -> Done.

Leute, die lokal was speichern (sofern ueberhautp moeglich): SSKM.

Lenovo BIOS update meckert eh wenn Bitlocker aktiv ist - ignoriert?
RoboCop Smiley

17.09.2021, 22:50 Uhr - Editiert von RoboCop, alte Version: hier

Ja, das wäre vernünftig. Bloß tut es das nicht. Es weist nur auf die konkrete Modellbezeichnung hin. Die hat gepasst.

Ich habe den Laptop mit MEINEM Windows und O365 User aufgesetzt.

Noch nie in meinem Leben davon gehört.

Das passt nicht zusammen.
Der Bitlocker aktiviert sich nicht automatisch - das muss man manuell machen. Und wenn man das macht, dann muss man den Schlüssel irgendwie sichern, bevor der Bitlocker überhaupt mit der Arbeit beginnt.

Und beim nächsten Mal einfach den Bitlocker suspenden - dazu genügt in der Systemsteuerung ein simpler Klick. Dann kannst Du mit dem Ding bis zum nächsten Start machen, was Du willst. Danach aktiviert sich der Bitlocker wieder von selbst.

greetz

glockman

- There's no replacement for displacement. Not even Diesel. - ________________________________________________________________

Who is General Failure, and why is he reading my disk?

Danke für den Tipp, BL zu suspendieren!

Frage: wann hast du das letzte Mal einen Lenovo aufgesetzt? Einschalten, Sprache, Land, Zeit, Computername erfinden, User eingeben, WLAN, fertig. Das ist es. Und ab dann alle MS Updates einspielen.

Mir ist kein Hinweis erinnerlich, dass jetzt BL aktiviert wird und ich mir gefälligst den Key aufschreiben soll.

Und so steht’s auch nicht in der MS Doku. https://support.microsoft.com/de-de/windows/suchen-des-bitlocker-wiederherstellungsschlüssels-fd2b3501-a4b9-61e9-f5e6-2a545ad77b3e

Frage: wann hast du das letzte Mal einen Lenovo aufgesetzt?

Zufällig vor ein paar Monaten, mein neues Firmengerät. Mit UEFI, Secureboot, TPM 2.0 und Windows 10 Enterprise.

Und Überraschung: da ist nix mit automatischem mit Bitlocker. Den muss mann immer (Ausnahme siehe unten) erst manuell aktivieren. Das machen weder Windows Updates noch Upgrades.

Es ist auch völlig egal, vom welchem Hersteller das Gerät kommt. Der Bitlocker ist ein Windows Feature, da kann Dir der Hersteller nix vorschreiben.

Es gibt de facto nur zwei Wege, wie der Bitlocker automatisch und ohne Zutun Deinerseits aktiv werden konnte: das Gerät wurde in eine Domäne gehängt und dort gibt es eine entsprechende GPO, oder Du hast das Gerät ins Azure AD gejoined, dann Intune installiert und Dir damit die Policies des Tenant eingetreten.

greetz

glockman

- There's no replacement for displacement. Not even Diesel. - ________________________________________________________________

Who is General Failure, and why is he reading my disk?

Ich versuch’s nochmal und ganz langsam!

Was du machst, ist Bare Metal Setup: Laptop, Installationsimage, partitionieren, formatieren und vollkommen aufsetzen von der „Installations CD“.

Der Consumer hingegen nimmt den Laptop, schaltet ihn ein, gibt seinen User und das WLAN ein, nickt ein paar Security Ideen ab und kann nach 5 Minuten arbeiten. Das Gerät ist vom Werk bereits komplett installiert. Es werden nur einige Registry Keys gesetzt und fertig. Danach kommen in den nächsten Stunden und Tagen die Updates von MS angeflogen.

Ob da ein BL läuft oder nicht, weiß niemand. 80% der privaten Laptopbesitzer wissen nicht, was BL überhaupt ist.

Was du machst, ist Bare Metal Setup: Laptop, Installationsimage,
partitionieren, formatieren und vollkommen aufsetzen von der „Installations CD“.

Korrekt. Ich setze das Gerät auf.

Du allerdings schließt lediglich die Ersteinrichtung eines vorinstallierten Geräts ab. Das ist ein meilenweiter Unterschied. Nur hast Du das im Eröffnungsposting nicht so gesagt:

Ich habe den Laptop mit MEINEM Windows und O365 User aufgesetzt.

Das mag jetzt wie Haarspalterei klingen, macht aber, wie Du siehst, den Unterschied zwischen "kann nicht sein" und "blöd g'laufen" aus.

Aber auch bei einem vorinstallierten Windows 10 ist der Bitlocker erst mal nicht aktiv; dazu muss man sich entweder mit einem Microsoft Account oder Azure AD Account anmelden:

BitLocker drive encryption in Windows 10 for OEMs

Note: BitLocker automatic device encryption starts during Out-of-box (OOBE) experience. However, protection is enabled (armed) only after users sign in with a Microsoft Account or an Azure Active Directory account. Until that, protection is suspended and data is not protected. BitLocker automatic device encryption is not enabled with local accounts, in which case BitLocker can be manually enabled using the BitLocker Control Panel.

Und während ich genauso nicht damit einverstanden bin, dass sowas überhaupt passiert und/oder dass der Verbraucher davon schlecht oder gar nicht informiert wird: man hat als User schon auch eine gewisse Verpflichtung, sich über sein Gerät und die darauf laufende Software zu informieren. Nur scheint es so, dass sich die Leute so daran gewöhnt haben, dass ihnen alles vorgekaut und vorgebetet wird, dass sie sich blind darauf verlassen, dass eh schon alles passen wird.

greetz

glockman

- There's no replacement for displacement. Not even Diesel. - ________________________________________________________________

Who is General Failure, and why is he reading my disk?

Doch doch hatte ich bei einem yoga auch - bitlocker von Haus aus aktiviert. Lenovo Image.
RoboCop Smiley

Ohne es exakt zu wissen, wird BitLocker immer mehr kommen und forciert.
Bei Android ist eine Verschlüsselung seit 2015 Version 6 Marshmello standard (https://www.androidpolice.com/2015/10/19/android-6-0-will-finally-require-manufacturers-to-enable-full-disk-encryption-by-default-on-new-devices/ ). Warum sollen Laptops die mit genau so sensiblen persönlichen Daten, hoch mobil eingesetzt werden können nicht verschlüsselt werden.

Seit Windows 11 wissen wir alle was ein TPM 2.0 Modul ist. Genau so etwas wird gebraucht um den Schlüssel lokal in einer sicheren Umgebung zu speichern.

Wenn ich mich dunkel erinnere hat der neueste Laptop den ich für die Familie (Meinen Vater) gekauft habe 2018 Dell Latitude Business Laptop auch Bitlocker out of the Box aktiviert gehabt. Da wurde ich bei irgendwelchen Updates (wahrscheinlich Bios) darauf hingewiesen in zu suspenden. Ich war damals auch etwas überrascht, weil ich für Generation 75+ den nicht manuell aktivert hätte.

Kurze Google suche findet einen PCWorld Artikel von Juli über Win 11, Microsoft accounts und Bitlocker. Vielleicht hat sich auch etwas inzwischen geändert. Da gibt es auch einen interessanten Absatz, der vielleicht die Lösung ist:

BitLocker has been available since Windows 8. On Windows 10, it’s been on by default on newer machines that support a feature called Modern Standby (basically making PCs wake up as fast as your phone). If you haven’t noticed BitLocker on your new computer it may be because, well, you skipped creating a Microsoft account and used a local account. If you did that, BitLocker is not turned on.

https://www.pcworld.com/article/3623827/mandatory-microsoft-accounts-for-windows-11-home-might-be-a-good-thing.html

Ja, der Absatz ist die Lösung. MS schaltet, ohne zu fragen, BL scharf, wenn ein MS Account fürs Setup verwendet wird.

Blöd nur, dass das Lenovo Setup Utility das nicht weiß (schaut aus wie eine Win 3.1 Anwendung) und daher nicht warnt, dass man vorher den BL stilllegen soll.

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung