[English]Zum 9. Juli 2024 hat Microsoft eine Reihe Sicherheitsupdates für Windows veröffentlicht. Bei einigen Nutzern führt dies dazu, dass beim Booten eine Abfrage des Bitlocker Recovery-Keys erscheint. Ich hatte bereits für Windows 11 darüber berichtet. Wie Microsoft aber bestätigt, betrifft das Problem quasi alle Windows-Client und alle Windows Server, die zum 9. Juli 2024 Sicherheitsupdates erhalten haben. Hier eine Übersicht über den Sachverhalt.
Anzeige
Windows-Updates 9. Juli 2024
Zum 9. Juli 2024 wurden durch Microsoft eine Reihe Sicherheitsupdates für Windows veröffentlicht. Ich habe diese in den Blog-Beiträgen Patchday: Windows 10/Server-Updates (9. Juli 2024), Patchday: Windows 11/Server 2022-Updates (9. Juli 2024) und Windows Server 2012 / R2 und Windows 7 (9. Juli 2024) aufgeführt.
Ziel dieser Sicherheitsupdates ist es, verschiedene Bugs und Sicherheitslücken zu beseitigen. Bereit sehr schnell erreichten mich Lesermeldungen, dass die Updates eine Abfrage des Bitlocker Recovery-Keys erzwingen. Ich hatte dies im Blog-Beitrag Windows 10/11 Updates (z.B. KB5040442) triggern Bitlocker-Abfragen (Juli 2024) angerissen, dort aber nur auf Windows 10 und Windows 11 bezogen. Inzwischen ist klar, dass das Problem bei allen gepatchten Windows-Versionen auftreten kann.
Bitlocker-Abfragen durch Microsoft bestätigt
Microsoft hat zum 23. Juli 2024 den Eintrag Devices might boot into BitLocker recovery with the July 2024 security update im Windows 11 23H2 Release Health-Dashboard veröffentlicht. Dort gibt Microsoft an, dass nach der Installation der Windows-Sicherheitsupdates (genannt wird Update KB5040442 für Windows 11 23H2) vom 9. Juli 2024 beim Booten des Geräts möglicherweise ein Bildschirm zur BitLocker-Wiederherstellung angezeigt wird.
Dieses Verhalten mit der Abfrage des Bitlocker Recovery-Keys ist für den Vorgang der Update-Installation nicht normal. Der Boot-Vorgang kann nur fortgesetzt werden, wenn der Nutzer den Bitlocker-Wiederherstellungsschlüssel (ggf. aus dem Microsoft-Konto auszulesen) eingeben. Nur dann wird das Laufwerk entsperrt und Windows sollte booten.
Anzeige
Diese Abfrage tritt nur auf, wenn Bitlocker zum Einsatz kommt – was vordergründig in Unternehmensumgebungen der Fall ist. Ich hatte aber im Blog-Beitrag Windows 10/11 Home-Edition und die OEM Bitlocker-Falle darauf hingewiesen, dass BitLocker bei Windows-Systemen mit Home-Editionen automatisch aktiviert wird, sobald in den Einstellungen unter Datenschutz und Sicherheit -> Geräteverschlüsselung aktiviert wird. Das passiert bei OEM-Systemen ggf. automatisch. Die meisten Nutzer kennen aber den Bitlocker-Wiederherstellungsschlüssel nicht, können diesen aber aus dem Microsoft-Konto (beim Portal des BitLocker-Wiederherstellungsbildschirms) auslesen. Falls es Probleme gibt, den Bitlocker-Wiederherstellungsschlüssel zu finden, hilft der Beitrag Windows-Frage: Wo speichert Bitlocker den Recovery-Key? vielleicht weiter.
Betroffen von dieser Abfrage des Bitlocker Recovery-Keys sind die nachfolgenden Windows Clients und Server, wenn die betreffenden Juli 2024-Updates installiert wurden.
- Client: Windows 11 Version 21H2 – 23H2 und Windows 10 Version 21H2 – 22H2
- Server: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008.
Die Microsoft-Entwickler untersuchen derzeit das Problem und werden ein Update bereitstellen, sobald weitere Informationen verfügbar sind.
Ergänzung: Das Problem wurde im August 2024 gefixt – siehe Windows-Bitlocker-Abfrage-Bug durch August 2024-Updates korrigiert.
Ähnliche Artikel:
Microsoft Security Update Summary (9. Juli 2024)
Patchday: Windows 10/Server-Updates (9. Juli 2024)
Patchday: Windows 11/Server 2022-Updates (9. Juli 2024)
Windows Server 2012 / R2 und Windows 7 (9. Juli 2024)
Microsoft Office Updates (9. Juli 2024)
Windows 11 Update KB5040442 verursacht Probleme mit Outlook 2021
Microsoft Office Click2Run Update-Funktion kaputt? Fehlercode 30088-27
Windows 11 Update KB5040442 verursacht Probleme mit Outlook 2021
Windows Juli 2024-Updates machen Remote Verbindungen kaputt
Windows 10/11 Updates (z.B. KB5040442) triggern Bitlocker-Abfragen (Juli 2024)
Windows Update Juli 2024: Gibt es Probleme mit Radius-Authentifizierungen?
Juli 2024-Sicherheitsupdate KB5040427 lässt Windows 10/Server LPD-Druckdienst abstürzen
Microsofts Fixes für diverse Windows-Bugs (Juli 2024)
Windows 10/11 Updates (z.B. KB5040442) triggern Bitlocker-Abfragen (Juli 2024)
Windows 10/11 Home-Edition und die OEM Bitlocker-Falle
Windows-Frage: Wo speichert Bitlocker den Recovery-Key?
Anzeige
Da haben Administrator mal wieder Spaß, wenn sie nicht noch dabei sind das "CrowdStrike" Problem zu lösen, dann kommt jetzt so etwas. Da der KEY Händisch eingefügt werden muss, kann man sich denken, wie lange das in einer Firma dauern kann. Oder wenn mal ein Server neu gestartet werden muss, hoffe ich doch das die IT-Abteilung, den Key nicht auf demselben Server gespeichert hat.
Problematischer, sehe ich das eher beim Otto Normalverbraucher. Warum auch immer, viele Hersteller auf die Idee kommen schon ab Werk den Bitlocker Aktiv zu haben. Viele Nutzer kennen also ihren Key nicht und wissen nicht, wie man diesen auslesen kann.
Und zu guter letzte die Kommunikationspolitik von Microsoft. Das Update kam am 9 Julie am 23 Julie gab es erst eine Info. dazu, dass muss schneller kommuniziert werden.
Hallo zusammen,
für mich geht nicht ganz hervor, ob die Bitlocker (Wiederhestellungs-)Schlüssel Abfrage bei jedem neuen Boot-Vorgang abgefragt wird oder nur einmalig, nach dem Windows Update.
Kann mir dies ggf. jemand beantworten oder bin ich einfach nur blind?
In unserer Umgebung bei jedem Boot-Vorgang. Aktuell gibt es nur Abhilfe per GPO das PCR4 Validierungsprofil zu deaktivieren und per PS-Skript den Bitlocker kurz stoppen, GPOs aktualisieren dann den Bitlocker wieder Rennen lassen.
Oder aber prüfen ob der PXE Boot in der Bootreihenfolge ganz oben steht und diesen danach hinter den BootManager stellen.
Bei uns bisher Geräte betroffen, welche den Juli Patch hatten (Win 10 + Win11) und PXE an erster Stelle haben… Geräte sind bei uns standardmäßig per Bitlocker verschlüsselt, Schlüssel liegen im AD.
Die erhalten jetzt einen Fix zur Anpassung der Bootorder.
Auslöser waren jeweils Änderungen bezüglich Nutzung USB-C Dock bzw. nicht, oft also der Wechsel vom Büro ins HomeOffice oder andersrum.
Was daher auch hilft – in dem Zustand starten, der zuvor genutzt wurde und erst am Win Anmeldebildschirm die Dockingstation oder den USB-C Monitor anstecken.
GPO Anpassung bezüglich PCR4 haben wir erstmal nicht angefasst/verändert. Durch den Patch hat sich hier in der Tat eine Änderung ergeben.
Mal sehen, ob der August Patch hier einen Fix enthält.
vielen Dank für die Rückmeldung. Klingt so, dass wir das Juli Update stoppen sollten wo wir können.
Vielen Dank auch für den Workaround.
So langsam wird ja man dahin erzogen keine Patches mehr zu installieren, wenn ich mir das Jahr so vor Augen führe.
Die Frage habe ich auch, sind die Geräte dann für immer unbenutzbar wenn der Key nicht vorhanden ist, da sie nicht mehr booten?
Nein, es muss nur neu installiert werden, wenn Windows nicht mehr hoch kommt und man das Update nicht deinstallieren kann. Bei der Neuinstallation sind aber alle Daten, Programme und Informationen auf dem Datenträger weg.
Ist aber schon ein starkes Stück wenn Windows im Hintergrund einfach mal Bitlocker ohne Wissen und Willen des Nutzers aktiviert und Microsoft dann ein Update bringt was den dann unbekannten Wiederherstellungscode abfordert. Wenn man dann noch neu installieren soll um wieder einen benutzbaren PC zu haben schlägt es ja dem Fass den Boden aus.
Mich wundert nur dass immer noch so viele diese Frechheiten von Microsoft mitmachen. Das muss wohl der berühmte Herdentrieb sein.
Wie soll Windows hochkommen, wenn bei jedem Booten nach dem Bitlocker Key gefragt wird?
manage-bde -status
manage-bde -protectors -get c:
So kommt das heraus, wenn man seine Kunden als QS-Abteilung herabstuft.
das beste ist noch, pro entsperrung wird ein neuer recovery key abgespeichert…. macht man das ein paar mal, hab man bald das konto in azure voller wiederherstellungsschlüssel
Bei uns wurde nicht für alle Rechner einen Key für das Systemlaufwerk hinterlegt. Das mussten wir erst durch ein PowerShell Script initiieren.
Aber auf einem Rechner waren ebenso wie bei Ihnen etwa 20 Keys aus der Vergangenheit hinterlegt. Bei anderen wiederum nicht. Konsistenz ist bei Microsoft ein Fremdwort.
Dazu kommt noch, das Lenovo ThinkPads E15 und E16 ausgeliefert hat, bei denen Bitlocker aktiviert war. Wenn man das nicht bemerkt hat, hat man auch keinen Wiederherstellungsschlüssel. Bleibt nur die Neuinstallation.
Bei Lenovo war mir das auch passiert, aber bei HP DragonFly oder X360 Reihe bekomme ich eigentlich selbst bei BTO Geräten immer Geräte bei denen Bitlocker aktiv ist.
Spart mir erstmal zeit, nach DomainJoin und Gpupdate /force sind die Keys im Ad.
Das ein Entsperren zu einem neuen Key führt (in Azure wie oben berichtet) ist – nun ja es wundert mich.
Ich hatte das Problem bei einer Mini z-Workstation – musste ich aus dem Rack ausbauen, Monitor anschließen und Tastatur um zu sehen das eine Bitlocker angesprungen ist.
Leider hing das gerät in einer Endloschleife – war Tags vor dem Patchday von Win10 auf Win11 gehoben worden -> Neuinstallation durchgeführt
Warum Workstation verschlüsseln? – Kommen von HP auch bereits verschlüsselt.
Aus den Erfahrungen sensibilisiert hab ich festgestellt das unsere letzten angeschafften Laptops alle vorab Installiert und gebitlockert aus dem Laden kamen. Jemand der das nicht weiß hat ggf. beim Umgehung der Cloudnötigung seitens Microsoft irgendwann die A-Karte.
Fazit: MS macht was es will, Politik hat keine Ahnung oder wird von MS gesponsert, Kartellamt kann unmöglich unabhängig sein. Allein das Verhalten von MS in der Causa Croudstrike – die EU wäre Schuld … ich komme aus dem Kotzen nicht mehr raus was sich alles Gesellschaften von MS gefallen lassen
Generell verstehe ich nicht wie Microsoft still schweigend die Geräteverschlüsselung aktivieren kann – auch wenn kein MS Konto hinterlegt ist und der Schlüssel nirgends hinterlegt wird. Das sind Zustände wie bei einer Verschlüsselungs-Malware…
Meiner Meinung nach darf eine Verschlüsselung gar nicht aktiviert werden – wenn der User den Schlüssel nicht ganz bewusst weggespeichert hat.
PS: Ich glaube es war auf Golem. Da war ein Artikel über einen Australischen Admin, der die Keys per Strichcodescanner eingelesen hat. D.h. er hat sie zuerst aus der Datenbank in Strichcodes gewandelt und dann am Endgerät mit einem Scanner als Tastaturersatz eingescannt. Das ganze um den Prozess bei vielen betroffenen Geräten zu beschleunigen.
Hallo,
an dieser Stelle zum Verständnis: Wie funktioniert das, wenn ich gar kein MS Konto, sondern nur ein lokales habe? Also wenn ich das richtig verstehe, ist die Verschlüsselung durch das Update zwangsaktiviert oder auch gff. vorher schon? Nutze Win10 22H2 auf einem MSI Notebook.
Danke
Hallo zusammen,
mit dem Update KB5040525 haben wir wieder Bitlocker Probleme, das vorherige fehlerhafte Update wird nicht installiert.
Hat noch jemand diese Probleme?