{"id":277607,"date":"2023-02-07T08:34:22","date_gmt":"2023-02-07T07:34:22","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=277607"},"modified":"2023-02-09T00:28:12","modified_gmt":"2023-02-08T23:28:12","slug":"windows-10-11-home-edition-und-die-oem-bitlocker-falle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/02\/07\/windows-10-11-home-edition-und-die-oem-bitlocker-falle\/","title":{"rendered":"Windows 10\/11 Home-Edition und die OEM Bitlocker-Falle"},"content":{"rendered":"

\"Windows\"[English<\/a>]Heute mal ein Thema, welches den einen oder anderen Nutzer in eine unangenehme Situation gebracht haben k\u00f6nnte. Eine Maschine mit der Windows 10 Home-Edition (oder Windows 11 Home) fordert nach einem Update oder sonst einer \u00c4nderung pl\u00f6tzlich einen Bitlocker-Schl\u00fcssel an. Der Nutzer steht wie der Ochs vorm Berg, da er diesen Schl\u00fcssel nicht hat und sich eigentlich auch nicht bewusst ist, jemals etwas mit Bitlocker gemacht zu haben. Ursache ist eine doofe Verkettung von Unzul\u00e4nglichkeiten in Form der Microsoft-Implementierung und des vorauseilenden Gehorsams durch OEMs.<\/p>\n

<\/p>\n

Immer \u00c4rger mit Bitlocker<\/h2>\n

\"\"Eigentlich ist die Verschl\u00fcsselung von Datentr\u00e4gern eine gute Sache, da die Daten ziemlich sicher vor der Einsichtnahme durch Unbefugte ist. Gelangt ein verschl\u00fcsselter Datentr\u00e4ger in die H\u00e4nde Dritter, k\u00f6nnen diese ohne den Wiederherstellungsschl\u00fcssel nichts damit anfangen. Mit Bitlocker hat Microsoft ja eine solche Verschl\u00fcsselungsfunktion in Windows eingebaut, die in Firmen zur Absicherung von Datentr\u00e4gern genutzt werden kann. Wenn ein Administrator das planvoll angeht und sicherstellt, dass die Bitlocker Wiederherstellungsschl\u00fcssel gesichert werden und zur Wiederherstellung verwendet werden, ist alles gut.<\/p>\n

\u00c4nderungen erfordert Bitlocker-Wiederherstellungsschl\u00fcssel<\/h3>\n

Zum Problem wird dies, wenn ein System nach einem Update oder einer Konfigurations\u00e4nderung (z.B. Tausch des Mainboards) pl\u00f6tzlich einen Bitlocker-Wiederherstellungsschl\u00fcssel anfordert, der Benutzer diesen aber nicht hat. Ich hatte einen solchen Fall im Blog-Beitrag Windows 10: L\u00f6st KB4535680 ein Bitlocker-Recovery aus?<\/a> aufgegriffen, der aber wohl eher das Unternehmensumfeld betraf. Tritt ein solche Bitlocker Recovery-Problem bei Tausenden an Clients auf, kommt Arbeit auf Administratoren zu.<\/p>\n

Und es gab im August 2022 den Fall, dass das Update KB5012170 f\u00fcr Secure Boot DBX Bitlocker-Probleme verursachte. Nach der Installation des Updates forderte Windows den Bitlocker Recovery-Schl\u00fcssel an, was aber auf manchen Systemen b\u00f6se Probleme bereitete, weil dieser Schl\u00fcssel nicht vorlag. Ich hatte das Ganze im Blog-Beitrag Update KB5012170 f\u00fcr Secure Boot DBX verursacht Bitlocker-Probleme<\/a> aufgegriffen.<\/p>\n

Windows 10\/11 Home Auto-Verschl\u00fcsselung<\/h2>\n

Mir war das Thema irgendwie im Hinterkopf, dass es immer wieder Meldungen gab, dass auch Systeme mit Windows 10 Home (und damit auch Windows 11) f\u00fcr Konsumenten pl\u00f6tzlich einen Wiederherstellungsschl\u00fcssel verlangten, weil sie mit Bitlocker verschl\u00fcsselt waren.<\/p>\n

\u00c4ltere F\u00e4lle aus der Vergangenheit<\/h3>\n

Ich hatte das 2017 mal im Blog-Beitrag Windows 10: Bitlocker verschl\u00fcsselt automatisch<\/a> aufgegriffen, wo sich herausstellte, dass Windows 10 Pro bei einem HP ProBook 430 G5 bei einer Neuinstallation automatisch bestimmte Partitionen verschl\u00fcsselt. Bei der Recherche kam auch heraus, dass Dell etwas \u00e4hnliches macht. Dell schrieb dazu:<\/p>\n

Die BitLocker-Ger\u00e4teverschl\u00fcsselung wird auf einer breiten Palette von Ger\u00e4ten unterst\u00fctzt, einschlie\u00dflich Ger\u00e4ten, die modernen Stand-by-Standards entsprechen, und Ger\u00e4ten, auf denen Windows 10 Home Edition oder Windows 11 ausgef\u00fchrt wird.<\/p><\/blockquote>\n

Voraussetzung ist ein UEFI, ein TPM 2.0-Modul, bestimmte Speichermedien (SSD, Hybrides Laufwerk etc.), wie Dell hier angibt<\/a>. Zudem muss der Modern Standby (S0) aktiviert sein. Microsoft geht sogar so weit, dass man selbstverschl\u00fcsselnde Laufwerke mit Bitlocker verschl\u00fcsselt, statt auf die Verschl\u00fcsselung des Herstellers zu setzen (siehe meinen Blog-Beitrag Microsoft setzt bei self-encrypting drives (SEDs) auf Bitlocker-Verschl\u00fcsselung<\/a>).<\/p>\n

Eine Erkl\u00e4rung im Microsoft Answers-Forum<\/h3>\n

Ende Januar 2023 hat mich Julia per Mail \u00fcber einen neuen Beitrag in der englischsprachigen Microsoft Answers-Community informiert (danke daf\u00fcr). Der Beitrag When a manufacturer adds BitLocker encryption on Home edition<\/a> wirft etwas Licht auf die Frage, wieso manche Systeme pl\u00f6tzlich mit Bitlocker verschl\u00fcsselte Datentr\u00e4ger aufweisen. Ein Nutzer schrieb dort:<\/p>\n

When a manufacturer adds BitLocker encryption on Home edition<\/p>\n

This involves Windows 11 Home for me, but I suspect it will apply to Windows 10 Home.<\/p>\n

I got a new<\/strong> laptop with Windows 11 Home installed today made by Lenovo. I have been setting it up and happened to check Disk Management and saw BitLocker on the C: drive.<\/p><\/blockquote>\n

\"Windows<\/p>\n

I was surprised. I have not enabled it in any way and I well know that BitLocker is not included with Windows Home<\/strong> editions. (but there it is).<\/p>\n

So previously seen posts\/threads of people finding BitLocker enabled on Home editions when it isn't available on Home are true. I have checked my Microsoft account and it shows a 48 character key for BitLocker recovery registered against this new laptop. I have never used BitLocker in the past and this is a new addition to my account.<\/p>\n

If Lenovo do it then it could be the case with any manufacturer.<\/p><\/blockquote>\n

Da war er wieder, der Baustein, dass auch Systeme mit Windows 10 oder Windows 11 in den Home-Editionen mit Bitlocker verschl\u00fcsselte Datentr\u00e4ger aufweisen k\u00f6nnen – und zwar ohne dass der Benutzer diese Verschl\u00fcsselung eingeschaltet hat. Das deckt sich mit meinen oben skizzierten Beobachtungen und bringt Probleme, wenn sich etwas am System \u00e4ndert und pl\u00f6tzlich ein Bitlocker-Wiederherstellungsschl\u00fcssel ben\u00f6tigt wird.<\/p>\n

Microsoft aktiviert Bitlocker u.U. automatisch<\/h2>\n

Ein weiterer Nutzer hat dann einen Link auf den Microsoft Support-Beitrag BitLocker Device Encryption<\/a> gepostet, der mit meinen obigen Ausf\u00fchrungen zu Dell-Systemen \u00fcbereinstimmt. Ich habe mal die betreffenden Passagen herausgezogen:<\/p>\n

Beginning in Windows 8.1, Windows automatically enables BitLocker Device Encryption on devices that support Modern Standby. With Windows 11 and Windows 10, Microsoft offers BitLocker Device Encryption support on a much broader range of devices, including those devices that are Modern Standby, and devices that run Home edition of Windows 10 or Windows 11.<\/p><\/blockquote>\n

Das Verhalten ist also seit Windows 8.1 bei Ger\u00e4ten mit Modern Standby auch in Windows 10\/11 Home verf\u00fcgbar, sofern die Hardware-Anforderungen erf\u00fcllt sind. Microsoft geht inzwischen davon aus, dass die meisten Ger\u00e4te die Anforderungen f\u00fcr BitLocker Device Encryption erf\u00fcllen, sodass die BitLocker Device Encryption auf allen modernen Windows-Ger\u00e4ten weit verbreitet ist. So sollen die Systeme zus\u00e4tzlich durch die transparente Implementierung einer ger\u00e4teweiten Datenverschl\u00fcsselung mittels BitLocker Device Encryption gesch\u00fctzt werden.<\/p>\n

Zudem schreibt Microsoft, dass die BitLocker-Ger\u00e4teverschl\u00fcsselung – abweichend von der standardm\u00e4\u00dfigen BitLocker-Implementierung – automatisch aktiviert wird, sodass das Ger\u00e4t immer gesch\u00fctzt ist. Dann gibt Microsoft an, in welchen Szenarien die BitLocker-Ger\u00e4teverschl\u00fcsselung automatisch aktiviert wird:<\/p>\n