{"id":220456,"date":"2019-07-13T00:11:00","date_gmt":"2019-07-12T22:11:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=220456"},"modified":"2023-02-07T07:40:34","modified_gmt":"2023-02-07T06:40:34","slug":"hp-probook-430-g5-bitlocker-verschlsselt-automatisch","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/07\/13\/hp-probook-430-g5-bitlocker-verschlsselt-automatisch\/","title":{"rendered":"Windows 10: Bitlocker verschlüsselt automatisch"},"content":{"rendered":"

[English<\/a>]Mir ist ein merkw\u00fcrdiger Fall zu Bitlocker unter die Augen gekommen. Auf einem HP ProBook 430 G5 mit Windows 10 Pro verschl\u00fcsselt Bitlocker bei einer Neuinstallation automatisch bestimmte Partitionen. Ich habe dann etwas recherchiert, das ist wohl Standard bei verschiedenen Konstellationen, auch bei Dell. Hier ein paar Informationen und ein Hinweis, wie sich das vermeiden l\u00e4sst.<\/p>\n

<\/p>\n

\"\"Vorab: Anwender, die mit Windows 10 Home unterwegs sind, werden von den nachfolgenden Hinweisen nicht tangiert.<\/p>\n

Autoverschl\u00fcsselung beim HP ProBook 430 G5<\/h2>\n

Im HP-Forum bin ich die Tage auf eine Merkw\u00fcrdigkeit gesto\u00dfen, die ich euch nicht vorenthalten wollte. Problem ist, dass auf Windows 10 Pro bei einer Neuinstallation auf einem HP ProBook 430 G5 automatisch Partitionen mit Bitlocker verschl\u00fcsselt. In diesem Forenthread beschreibt ein Nutzer das Problem:<\/p>\n

Anfang der Woche ist mein neues ProBook 430 G5 (2UB47EA) geliefert worden. Windows 10 Pro x64 habe ich neu mit einem Microsoft ISO-Image (1903) installiert.<\/p>\n

Es kam es aber zu einer gro\u00dfen \u00dcberraschung. Die Laufwerke C und D waren ohne mein Zutun mit BitLocker verschl\u00fcsselt. Zuerst vermutete ich einen Bug in der neuesten Windows 10-Version. Also erneute Neuinstallation mit dem MS-Image 1809. Mit diesem Image habe ich bereits gesch\u00e4tzt 50 PCs und Notebooks neu installiert. Alle Installationen verliefen problemlos und wie erwartet. Aber bei mir waren wieder die Laufwerke C und D mit BitLocker verschl\u00fcsselt.<\/p><\/blockquote>\n

Der Benutzer konnte die Laufwerke zwar per Systemsteuerung wieder entschl\u00fcsseln. Allerdings wundert er sich aber \u00fcber dieses ungewohnte Verhalten, was er sich nicht erkl\u00e4ren kann. Es ist allerdings das erste Mal, dass ich ein Notebook mit einem Intel i7-Prozessor gekauft habe. Gibt es etwas in der \"Systemarchitektur\", das dieses Verhalten ausl\u00f6st?<\/p>\n

Scheint bei Windows 10 der Fall zu sein<\/h2>\n

Das k\u00f6nnte ja noch eine Spezialit\u00e4t von HP sein. Ich habe dann im Internet nachgeschaut und bin im Technet auf diesen Forenthread BitLocker turns on without a notice<\/a> von Oktober 2017 gesto\u00dfen. Dort bezieht sich der Thread-Ersteller auf Dell Notebooks, wo einem IT-Mitarbeiter ein merkw\u00fcrdiges Verhalten aufgefallen ist.<\/p>\n

Since a while we are experiencing some strange behavior with Windows 10 (I think it only apply to Creators update), Dell Notebooks and Bitlocker. In our company we have a global GPO which, if one wants to encrypt his harddrive with BitLocker, to be prompted to save the recovery key txt file on a certain share, BitLocker key is also saved to computer object in AD… But this is optional, none is forced to do so.<\/p><\/blockquote>\n

Die Leute verwenden eine Gruppenrichtlinie zur Steuerung der Bitlocker-Verschl\u00fcsselung, so dass die Nutzer vor dem Verschl\u00fcsseln gefragt werden, ob sie dies so tun wollen. Nun hat der Mitarbeiter eine merkw\u00fcrdige Beobachtung gemacht:<\/p>\n

Now, just a few days ago I realized that on fresh Dell notebook installs, factory image of Dell, the C-drive (it's usually our only drive) is shown with a yellow exclamation mark in file explorer. I have googeledd that and figured out it is a sign that bitlocker is not activated. No idea since when this is like that, did not realize it before in this context. However, I left it as is because I did not have the intention to enable bitlocker.<\/p><\/blockquote>\n

Schon eine merkw\u00fcrdige Sache. Der Nutzer beschreibt dann seine weiteren Erfahrung, nachdem er den Dell neu aufgesetzt hatte \u2013 unter anderem das Problem, dass der Wiederherstellungschl\u00fcssel f\u00fcr Bitlocker nicht an die per Gruppenrichtlinie gesetzte Position im Active Directory-Objekt (AD) gespeichert wird \u2013 etwas strange:<\/p>\n

Next day I just saw the yellow exclamation mark is gone and indeed, the drive was bitlocked. This happend automatically, without my knowledge. And also the key was saved to this notebooks AD object. But obviously the key saved in a txt file was not saved to that network share defined in the policy, though.<\/p>\n

How can it happen that bitlocker turns on on its own? In our case, not sure if for each and any, at least the key is saved to AD. But what if this doesn't happen? Users might lose access to their data? I also have read a few posts online like e.g. Bitlocker auto-enabling itself on a fresh Windows installation on XPS 13?, that a few other users also experience the same issues. I stumbled around computers in our AD and figured out that several PC's suddenly show a bitlocker key, and definitely not all of them have turned this on on purpose. You can easiliy figure it out, just compare computer objects with bitlocker key vs. kex-txt files on our share. The ones with corresponding key txt file have done it on purpose, the others not.<\/p><\/blockquote>\n

Also in kurz: Auch bei diesem Fall wurde Bitlocker ohne Zutun der Nutzer automatisch auf Festplatten aktiviert. Die Erkl\u00e4rung findet sich auf dieser Dell-Seite<\/a>. Im Beitrag Automatic Windows Device Encryption\/BitLocker on Dell Systems<\/a> findet sich folgender Hinweis:<\/p>\n

Automatic device encryption allows Windows to encrypt the system drive automatically after you completed the setup of your system. This occurs very similar to smartphones and is completely seamless for the user. Automatic device encryption however is only enabled on systems that meet above system requirements and support Connected Standby or Modern Standby specifications<\/a>, which require solid-state storage (SSD or eMMC) and non-removable (soldered) RAM.<\/p>\n

Automatic device encryption only starts after the Out-Of-Box Experience (OOBE) is completed and a Microsoft Account (MSA) is used on the system (e.g. use MSA for Windows logon, add MSA as email, app and work\/school account, log into the Microsoft Store app with MSA, redeem\/activate Microsoft Office or other Microsoft applications with MSA).<\/p><\/blockquote>\n

Es ist ein Feature, welches in der Out-of-box-experience (OOBE) Phase des Setup aktiv wird. Dazu muss die Maschine ein TPM-Modul besitzen und die von Dell genannten Hardwarevoraussetzungen aufweisen.<\/p>\n

Tipp: Beim Setup ein lokales Konto verwenden<\/h2>\n

Dieses Verhalten kann man verhindern, indem man beim Setup der Systeme kein Microsoft-Konto sondern ein lokales Benutzerkonto verwendet. Das ist sowohl auf dieser Dell-Seite<\/a> als auch bei HP im Forum.<\/p>\n

Ich gehe mal davon aus, dass Administratoren, die regul\u00e4r Windows 10-Maschinen mit Pro\/Enterprise um diese Problematik wissen. Falls nicht, sind in obigem Beitrag die notwendigen Informationen zu finden. Ist das oben angerissene Problem mit der Speicherung des Wiederherstellungsschl\u00fcssels im AD, entgegen der GPO-Vorgaben, ein Thema bei euch?<\/p>\n

Artikelreihe: <\/strong>
\nWindows 10: Wichtiger Secure Boot\/Bitlocker Bug-Fix<\/a>
\nWindows 10: Bitlocker verschl\u00fcsselt automatisch<\/a><\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nBitLocker-Verwaltung f\u00fcr Unternehmensumgebungen<\/a>
\nWindows: Angriff auf Bitlocker per TPM<\/a>
\nSSD-Schwachstelle hebelt (Bitlocker) Verschl\u00fcsselung aus<\/a>
\nMicrosoft Security Advisory Notification ADV180028 zu Bitlocker auf SSDs (6. Nov. 2018)<\/a>Dell: Neues BIOS verursacht Bitlocker-Probleme<\/a>
\nWindows 10 V1803: Fix f\u00fcr Bitlocker-Bug im November 2018?<\/a>
\nNeues Surface Book 2 Firmware-Update bringt ggf. Bitlocker-Problem<\/a>
\nWindows 10 V1803: Kein Backup f\u00fcr BitLocker-Wiederherstellungsinformationen in AD<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Mir ist ein merkw\u00fcrdiger Fall zu Bitlocker unter die Augen gekommen. Auf einem HP ProBook 430 G5 mit Windows 10 Pro verschl\u00fcsselt Bitlocker bei einer Neuinstallation automatisch bestimmte Partitionen. Ich habe dann etwas recherchiert, das ist wohl Standard bei verschiedenen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,3694],"tags":[62,24,4378],"class_list":["post-220456","post","type-post","status-publish","format-standard","hentry","category-problemlosung","category-windows-10","tag-bitlocker","tag-problem","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/220456","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=220456"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/220456\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=220456"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=220456"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=220456"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}