[English]Sozusagen ein Nachtrag aus der Gruft – seit Oktober 2023 ist ein Problem mit Bitlocker unter Windows 10 und Windows 11 bekannt, was zu Problemen bei der Verwaltung mittels MDMs führen kann. Es wurde dann von Bitlocker ein Fehler 65000 gemeldet. Im Januar 2024 wurde dann das Problem mit Preview-Updates behoben. Aber Microsoft hat die Informationen erst zum 26. April 2024 öffentlich gemacht.
Anzeige
Bitlocker-Error 65000 bei MDM-Geräten
Seit Oktober 2023 ist Microsoft wohl bekannt, dass es in Umgebungen, die über Mobile Device Management (MDM)-Lösungen wie Intune oder von Drittanbietern verwaltet werden, zu Problemen bei der Verschlüsselung mit Bitlocker kommen kann. Ein Eintrag vom 26. April 2024 mit dem Titel BitLocker might incorrectly receive a 65000 error in MDM im Windows Health Status-Bereich besagt, dass bei Verwendung der Richtlinieneinstellungen FixedDrivesEncryptionType oder SystemDrivesEncryptionType im BitLocker-Konfigurationsdienstanbieter (CSP)-Knoten in MDM-Apps (Mobile Device Management) für einige Geräte der verwalteten Umgebung möglicherweise fälschlicherweise ein 65000-Fehler in der Einstellung "Geräteverschlüsselung erforderlich" angezeigt wird.
Betroffen seien Umgebungen, hießt es, in denen die Richtlinien "Laufwerksverschlüsselungstyp auf Betriebssystemlaufwerken erzwingen" oder "Laufwerksverschlüsselung auf festen Laufwerken erzwingen" aktiviert sind und entweder "vollständige Verschlüsselung" oder "nur belegter Speicherplatz" ausgewählt wurde.
Betroffen sei Microsoft Intune, heißt es, aber Microsoft mein auch, dass auch MDMs von Drittanbietern betroffen sein können. Im Known-Issues-Eintrag schreibt Microsoft, dass nur Windows-Clients folgender Windows-Versionen von diesem Bug betroffen sind.
- Windows 11 Version 21H2, 22H2 – 23H2
- Windows 10, Version 21H2 – 22H2
- Windows 10 Enterprise LTSC 2019
Microsoft betont, dass es sich ausschließlich um ein Meldeproblem handelte, das sich nicht auf die Laufwerksverschlüsselung oder die Meldung anderer Probleme auf dem Gerät, einschließlich anderer BitLocker-Probleme, auswirkt. Um dieses Problem in Microsoft Intune zu entschärfen, können Administratoren die Richtlinien "Enforce drive encryption type on operating system drives" oder "Enforce drive encryption on fixed drives" auf nicht konfiguriert setzen.
Anzeige
Korrektur bereits im Januar 2024
Im Beitrag BitLocker might incorrectly receive a 65000 error in MDM schreibt Microsoft, dass dieses Problem wurde durch Windows-Updates behoben wurde, die am 23. Januar 2024 (z.B. KB5034204 für Windows 11 23H2) und später veröffentlicht wurden. In der Liste der behobenen Probleme wird Bitlocker erwähnt (siehe Windows 11 23H2/22H2: Preview Update KB5034204 (23. Januar 2024)). Im Februar 2024 wurde dann beispielsweise das kumulative Update KB5034765 für Windows 11 22H2 – 23H2 veröffentlicht, welches den Fix ebenfalls enthielt. Bei den Kollegen von Bleeping Computer habe ich die Information gelesen, dass der Fix nicht für Windows 10 Enterprise LTSC 2019, welches sich im Extended Support befindet, zurück portiert werde (es sei ja nur ein Reporting-Problem).
Korrektur auch für Windows 11 21H2
Zum 11. Juni 2024 hat Microsoft im Known Issues-Abschnitt von Windows 11 21H2 den Beitrag BitLocker might incorrectly receive a 65000 error in MDMs veröffentlicht. Dort erfährt man, dass der Bitlocker-Fehler 65000 auch in Windows 11 21H2 behoben ist.
Ähnliche Artikel:
Patchday: Windows 10-Updates (13. Februar 2024)
Patchday: Windows 11/Server 2022-Updates (13. Februar 2024)
Anzeige
Mal eine Kleinigkeit in Sachen IT-Kompetenz bei Microsoft: Ich habe gerade mit leichtem Kopfschütteln festgestellt, dass Microsoft seine eigenen E-Mails als Spam einstuft. Offenbar verwendet MS für den Mailversand teilweise IP-Adressen, für die es keinen gültigen SPF-Record in der jeweiligen Domain gibt.
Die Mail kommt vom Microsoft Defender for Endpoint, die Einstufung als Spam erfolgte serverseitig seitens Exchange 365. Und ja, Mail und IP sind eindeutig von MS.
Authentication-Results: spf=fail (sender IP is 40.116.73.90)
smtp.mailfrom=microsoft.com; dkim=pass (signature was verified)
header.d=microsoft.com;dmarc=pass action=none
header.from=microsoft.com;compauth=pass reason=100
Received-SPF: Fail (protection.outlook.com: domain of microsoft.com does not
designate 40.116.73.90 as permitted sender) receiver=protection.outlook.com;
client-ip=40.116.73.90;