{"id":294677,"date":"2024-04-24T00:03:00","date_gmt":"2024-04-23T22:03:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=294677"},"modified":"2024-07-31T00:19:42","modified_gmt":"2024-07-30T22:19:42","slug":"windows-frage-wo-speichert-bitlocker-den-recovery-key","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/04\/24\/windows-frage-wo-speichert-bitlocker-den-recovery-key\/","title":{"rendered":"Windows-Frage: Wo speichert Bitlocker den Recovery-Key?"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2024\/07\/30\/question-where-does-bitlocker-store-the-recovery-key-in-windows\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Bitlocker, das \"unbekannte Wesen\" m\u00f6chte ich mal den Blog-Beitrag umschreiben. Es geht um die Frage, wo die Windows-Funktion Bitlocker eigentlich den Recovery-Key, der immer mal wieder gebraucht wird, \u00fcberhaupt speichert. Bevor jemand mit \"in deinem Microsoft-Konto\" um die Ecke kommt: So einfach ist es nicht immer. Blog-Leser Markus, der als Administrator unterwegs ist, hat mich auf eine Beobachtung der besonderen Art in diesem Zusammenhang hingewiesen. Zeit, mal wieder einen Blick auf Bitlocker zu werfen.<\/p>\n<p><!--more--><\/p>\n<h2>Meine Bitlocker-Hinweise<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/6346e1fd22fe433d90883cac0a7b141a\" alt=\"\" width=\"1\" height=\"1\" \/>Bitlocker ist die von Microsoft in Windows mitgelieferte Funktion zur Verschl\u00fcsselung von Datentr\u00e4gern. Die Verschl\u00fcsselungsl\u00f6sung ist sowohl in Windows 10 als auch in Windows 11 (wie auch in fr\u00fcheren Windows-Versionen) integriert \u2013 und wird u.U. auch auf Home-Systemen aktiviert. Zum Problem wird dies, wenn Windows 10 Home (und auch Windows 11) bei Konsumenten die Datentr\u00e4ger automatisch verschl\u00fcsseln und pl\u00f6tzlich nach einem BIOS- oder Windows-Update einen Wiederherstellungsschl\u00fcssel verlangen, weil sie mit Bitlocker verschl\u00fcsselt sind. Ich hatte das Thema im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/02\/07\/windows-10-11-home-edition-und-die-oem-bitlocker-falle\/\">Windows 10\/11 Home-Edition und die OEM Bitlocker-Falle<\/a> aufgegriffen.<\/p>\n<p>Die betreffenden Bitlocker-Wiederherstellungsschl\u00fcssel lassen sich in Microsoft-Konten oder im TPM speichern. Die Funktion ist aber immer wieder f\u00fcr \u00c4rger gut, wenn Windows einen Bitlocker-Wiederherstellungsschl\u00fcssel will, der Nutzer diesen aber nicht kennt. Oder die Maschine startet nicht mehr und die Leute kommen nicht mehr an die Daten der Festplatte heran, weil diese verschl\u00fcsselt sind.<\/p>\n<h2>Aber wo ist der Bitlocker Recovery-Key?<\/h2>\n<p>Blog-Leser Markus hat mich die Tage per E-Mail kontaktiert, weil er eine besondere Beobachtung im Zusammenhang mit Bitlocker und dem gespeicherten Recovery-Key gemacht hat. Markus ist bei seiner Arbeit etwas besonderes aufgefallen, als er das BIOS seines Rechners aktualisiert hat.<\/p>\n<ul>\n<li>Auf dem Rechner (war ein HP, ist aber v\u00f6llig egal) wurde aus dem BIOS eine Aktualisierung gestartet<\/li>\n<li>Im Anschluss wollte Bitlocker beim Systemstart das Passwort<\/li>\n<li>Dann wollte Bitlocker auch noch den Recovery Key<\/li>\n<\/ul>\n<p>Das ist soweit nicht nicht wirklich verwunderlich, so wird das System per Bitlocker abgesichert. F\u00fcr Markus im ersten Augenblick auch kein Problem, denn der Bitlocker Recovery-Key ist ja im Microsoft Konto gespeichert, so die Annahme. Aber beim Nachschauen mit einem Notebook fand sich im betreffenden Microsoft Konto der betroffenen Maschine kein Bitlocker Recovery-Key. Das ist dann die Stelle, wo viele Nutzer die Nerven verlieren, weil die Daten bis in alle Unendlichkeit verschl\u00fcsselt bleiben.<\/p>\n<p>Markus schrieb mir dazu: \"Gut nachdem ich ja nicht ganz unwissend bin, habe ich mich f\u00fcr den schnellsten Weg des BIOS-Rollback entschieden. Das hat auch wunderbar funktioniert.\" Nach diesem Rollback kam er nat\u00fcrlich ohne Eingabe des Recovery Key in Windows. Im n\u00e4chsten Schritt begann er dann mit der Feldforschung zur Frage, wo der Recovery Key durch Bitlocker denn nun gespeichert wurde.<\/p>\n<h3>Wenn die Feuerwehr deinen Bitlocker-Key hat<\/h3>\n<p>Dazu schrieb er mir: \"Nach ca. 2 Stunden Recherche habe ich dann herausgefunden, dass der Bitlocker Recovery-Key nicht in meinem pers\u00f6nlichem Microsoft Konto befindet wo ich ihn eigentlich vermutet h\u00e4tte, auch nicht im Microsoft Konto der Universit\u00e4t, wo er als Administrator aktiv ist. Den Bitlocker Recovery-Key fand er im Microsoft Konto seines Zugangs f\u00fcr die Feuerwehr.<\/p>\n<h3>Azure Entra ID gewinnt?<\/h3>\n<p>Markus hat das Ganze nicht weiter verfolgt, schrieb mir aber, dass eines sicher sei: Azure AD (mittlerweile Entra ID) gewinnt gegen\u00fcber dem Konto mit dem man sich am Rechner anmeldet (damit hatte Markus eigentlich nicht gerechnet). So ist zu erkl\u00e4ren, dass der Recovery-Key im Microsoft Konto seines Zugangs f\u00fcr die Feuerwehr landete.<\/p>\n<p>Was Markus jetzt allerdings brennend interessieren w\u00fcrde, ist die Antwort auf die Frage: \"Welche Azure AD-Zugeh\u00f6rigkeit gewinnt, wenn ein Benutzer beispielsweise ein OneDrive mit einem Azure AD-Konto einer anderen Organisation verwendet?\" Der Blog-Leser hat dann ein Szenario durchgesponnen: \"Ich bin eine b\u00f6se Organisation und m\u00f6chte \u00fcber obigen Ansatz den Recovery Key zu mir holen. Da h\u00e4tte man dann ja glatt RaaS (Ransomware as a Service) wenn man Bitlocker dazu bringt den Key in der (b\u00f6swilligen Azure AD (des Angreifers) zu speichern &#8211; in seinem Fall landete der Key ja im Konto der Feuerwehr). Was Markus noch nicht versucht hat, ist ein Test, was passiert, wenn man in einer On-Premises Active Directory-Umgebung (AD Umgebung) Onedrive von einer Organisation, die Azure AD hat (wie z.B. im obigem Fall die Feuerwehr), einrichtet.<\/p>\n<p>Markus meint: \"Wenn da der Recovery-Key auch abwandert, w\u00e4re das ein schon krass. Mangels Zeit kann und werde ich mich allerdings damit nicht weiter befassen. Gestaunt habe ich jedenfalls schon sehr. Keine Ahnung ob ich da etwas \u00fcbersehen oder nicht bedacht habe, vielleicht habe ich sogar etwas nicht verstanden :). F\u00fcr normale Benutzer mit Sicherheit nicht durchschaubar w\u00fcrde ich behaupten.\" An dieser Stelle die Frage an die Leserschaft: Hat jemand \u00e4hnliche Beobachtungen gemacht bzw. kann er die Beobachtung von Markus best\u00e4tigen?<\/p>\n<p><strong>Erg\u00e4nzungen:<\/strong> Auf Facebook sind mir zwei R\u00fcckmeldungen untergekommen, die ich hier einstelle. Thomas schrieb zur Frage, wie man ein Konto zum Speichern des Schl\u00fcssels vorgeben kann \"Das haben wir deshalb mit Sophos Central Device Encryption gel\u00f6st.\". Und Andreas meinte \"Das Konfiguriert man. AD, Entra ID oder beides. Gibt's ja ne dicke fette GPO \/ Intune-Profil daf\u00fcr. Und wenn man sein Ger\u00e4t ins Intune von jemandem enrollt dann tja&#8230;. ist der der Admin.\"<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/02\/07\/windows-10-11-home-edition-und-die-oem-bitlocker-falle\/\">Windows 10\/11 Home-Edition und die OEM Bitlocker-Falle<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/02\/07\/bitlocker-ber-tmp-binnen-42-sekunden-mit-raspberry-pie-pico-ermittelt\/\">Bitlocker \u00fcber TPM binnen 42 Sekunden mit Raspberry Pi Pico ermittelt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/04\/18\/windows-10-11-microsoft-verffentlicht-fix-fr-oobe-bitlocker-ausfall-bug\/\">Windows 10\/11: Microsoft ver\u00f6ffentlicht Fix f\u00fcr OOBE-Bitlocker-Ausfall-Bug<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Bitlocker, das \"unbekannte Wesen\" m\u00f6chte ich mal den Blog-Beitrag umschreiben. Es geht um die Frage, wo die Windows-Funktion Bitlocker eigentlich den Recovery-Key, der immer mal wieder gebraucht wird, \u00fcberhaupt speichert. Bevor jemand mit \"in deinem Microsoft-Konto\" um die Ecke kommt: &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/04\/24\/windows-frage-wo-speichert-bitlocker-den-recovery-key\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,301],"tags":[62,24,3288],"class_list":["post-294677","post","type-post","status-publish","format-standard","hentry","category-problemlosung","category-windows","tag-bitlocker","tag-problem","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294677","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=294677"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294677\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=294677"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=294677"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=294677"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}