[English]Microsoft bietet die Möglichkeit, ein System mit Windows 10 oder Windows 11 lokal oder auch remote (per Intune) auf Werkseinstellungen zurückzusetzen. Dabei gibt es auch die Option, dabei die Benutzerdateien mit entfernen zu lassen. Das ist erwünscht, wenn eine Maschine vielleicht an einen anderen Nutzer weitergegeben werden soll. Der MVP Rudy Ooms ist nun darauf gestoßen, dass das Zurücksetzen von Windows samt Entfernen der Benutzerdateien unter Windows 10 und Windows 11 in der Version 21H2 nicht funktioniert. Ergänzung: Hinweis auf den OneDrive-Client als mögliche Ursache nachgetragen. Ergänzung 2: Microsoft bestätigt das Problem.
Anzeige
Wipe löscht in 21H2 keine Benutzerdaten
In den Windows-Einstellungen kann ein Windows 10 oder ein Windows 11 lokal auf den Auslieferungszustand zurückgesetzt werden. In der Microsoft-Verwaltungslösung Intune gibt es auch ebenfalls eine Option, Geräte remote zu löschen. Dort finden sich auch Optionen, um die Benutzerdaten bei diese Schritt zu löschen. Der MVP Rudy Ooms hat in nachfolgendem Tweet explizit darauf hingewiesen, dass ein Remote Wipe in Intune – oder ein lokales Wipe – unter Umständen nicht die Benutzerdaten löscht. Das betrifft sowohl Windows 10 21H2 als auch Windows 11 (21H2).
Hintergrund für diese Warnung war ein Kundenanruf: Die Finanzchefin einer Firma wollte ihren Windows 11-PC an einen anderen Mitarbeiter weitergeben und bat darum, sicherzustellen, dass alle persönlichen Daten von dieser Maschine gelöscht werden. Da dieser Kunde 160 Kilometer vom Standort des Dienstleisters entfernt war, was es nicht möglich, einen Mitarbeiter vor Ort zu schicken, um das Gerät zu löschen.
Die Idee, eine Fernlöschung per Intune zu initiieren, dürfte wohl vielen Administratoren kommen. Auch die Dienstleistungsfirma, für die der MVP arbeitet, hat sich für eine Fernlöschung entschieden, um (vermeintlich) sicherzustellen, dass das Gerät sauber gelöscht wird. An dieser Stelle hätte ich im Anschluss an diese Aktion eine Prüfung veranlasst, ob die alten Daten im Ordner Windows.old auf der Systempartion abgelegt oder wirklich entfernt werden. Rudy Ooms hat das auch getan, und ist dabei einem Problem auf die Spur gekommen.
Anzeige
- Wird eine Fernlöschung von Intune auf einem Windows 10 21H1-Gerät durchgeführt und keine Option "Daten beibehalten" ausgewählt, wird das Gerät wie erwartet neu installiert und "gelöscht", sowie eine Bitlocker-Verschlüsselung wird entfernt. Ein Blick in den dort vorhandenen Windows.old-Ordner zeigt, dass dieser durch die Fernlöschung von Intune auf einem Windows 10 21H1-System geleert wird. Also alles im grünen Bereich und wie erwartet.
- Wird eine Fernlöschung von Intune auf einem Windows 10 21H2-Gerät durchgeführt und die Option "Daten beibehalten" nicht ausgewählt, löscht dies zwar Windows 10 auf dem Gerät und installiert es neu. Eine Bitlocker-Verschlüsselung wird ebenfalls entfernt, aber ein Blick in den dort vorhandenen Windows.old-Ordner zeigt, dass dieser durch die Fernlöschung von Intune auf einem Windows 10 21H2-System nicht geleert wird. Es gibt zwar einen Zugriffsfehler 0x80070780, der sich aber umgehen lässt.
- Wird eine Fernlöschung von Intune auf einem Windows 11 21H2-Gerät durchgeführt und keine Option "Daten beibehalten" ausgewählt, wird das Gerät ebenfalls wie erwartet neu installiert und "gelöscht". Auch eine Bitlocker-Verschlüsselung wird entfernt. Aber ein Blick in den vorhandenen Windows.old-Ordner zeigt ebenfalls, dass dort die alten Benutzerdateien ebenfalls noch vorhanden sind. Diese wurden durch die Fernlöschung von Intune auf einem Windows 11 (21H2)-System nicht entfernt.
Dieses Verhalten tritt auch beim lokalen Zurücksetzen eines Systems mit Windows 10/11 21H2 auf. Rudy Ooms hat seine Erkenntnisse im Blog-Beitrag THE DARK AND THE WINDOWS "REMOTE" WIPE dokumentiert und aufbereitet. Kurz-Fazit: Unter der 21H2 lässt sich weder unter Windows 10 noch unter Windows 11 ein Wipe der Benutzerdaten durchführen. Aber Ooms hat ein PowerShell-Script bereitgestellt, mit dem sich der Ordner Windows.old auf den Zielgeräten löschen lässt. Dann sind die Benutzerdateien weg (wobei sich diese an dieser Stelle mit forensischen Maßnahmen auch wiederherstellen ließen). Vielleicht ist die Information für den einen oder anderen Nutzer aber von Interesse.
Ergänzung: Das Thema trended jetzt durch diverse deutschsprachige Medien, u.a. hat Golem es hier aufgegriffen. Gab ja hier die Kommentare, dass man es nicht nachvollziehen könne. Es sieht so aus, dass OneDrive auf der Maschine genutzt werden muss, damit der Effekt auftritt. Rudy Ooms hat das inzwischen in seinem Beitrag nachgetragen.
Ergänzung 2: Microsoft bestätigt das Problem. Ich habe die Details im Blog-Beitrag Microsoft bestätigt Wipe-Problem beim Windows 10/11 (20H2 – 21H2)-Reset nachgetragen.
Anzeige
Mir ist bei einem Kunden ein "Vorführnotebook" untergekommen, der vom lokalen Elektronik Händler stammt und ebenfalls nicht korrekt gelöscht wurde. Es handelte sich offenkundig nicht um ein vorführgerät, sondern eine kundenretoure. Vermutlich auch darauf zurückzuführen.
Auch im privaten Microsoft-Account gibt es eine Möglichkeit, Systeme mit Win 10/11 fernzulöschen, z.B. wenn sie entwendet wurden. Man kann dem Dieb dort auch eine Sperr-Nachricht hinterlassen, und dann kann sich keiner mehr an dieser Installation anmelden. Hilft natürlich nicht gegen Neusinstallation.
Kann das Verhalten bei mir nicht ganz nachvollziehen, allerdings mit Sophos MDM.
Hatte gerade zufälliger gerade ein Geräte (Surface Pro 7+) zum zurücksetzen bekommen und daher gleich mal getestet. Im Sophos "zurücksetzen" ausgewählt (gibt keine Optionen), der Gerät durchlief ohne Rückfrage den Rücksetzvorgang.
Hinterher war dann zwar ein Windows.old-Ordner vorhanden, aber leer.
Windows 10 21H1 … und keine Option "Daten beibehalten" ausgewählt,
Windows 10 21H2… und die Option "Daten beibehalten" nicht ausgewählt,
Windows 11 21H2 … und ohne die Option "Daten beibehalten" ausgewählt,
Emm, heute ist nicht mein Tag. Irgendwie verstehe ich das nicht.
Wo ist der funktionale Unterschied zwischen
"keine Option "Daten beibehalten" ausgewählt, "
"die Option "Daten beibehalten" nicht ausgewählt,"
"ohne die Option "Daten beibehalten" ausgewählt"
Das ist doch alles dasgleiche? Oder?
fehlt in der letzten Zeile nicht ein "zu haben"?
Ist das die unbearbeitete Angst vorm roten Deutsch-Lehrer "W"? :-)
Mag wer helfen?
Kurz zusammengefasst: Wenn die Option "Daten beibehalten" nicht gewählt wird, sollten die Daten gelöscht werden – werden sie aber nicht. Ich wollte im Text kreativ sein und nicht ständig den gleichen Text kopieren – hab mir also die Arbeit gemacht, nochmals vor der Veröffentlichung umzuformulieren – isch in die Büx gegangen ;-).
ist jetzt auch von MS bestätigt
https://docs.microsoft.com/en-us/windows/release-health/status-windows-11-21h2#2783msgdesc