Bitlocker automatisch aktiviert mit 24H2

[Ponderosa]

@Matthias80 Der gleiche Link wie in #12

 

[redjack1000]

vergesse dass Bitlocker aktiv ist und dann komme ich nicht mehr an die gesicherten Daten ?

Das ist nur der Fall, wenn Du kein Backup deiner Daten hast.

CU
redjack

 

[kommdieter]

Kann ich so nicht bestätigen. Bei meinem Rechner (Desktop, Win 11 Pro 24H2 am 3.Jan installiert) ist Bitlocker auf keinem Laufwerk aktiviert.

Du hast auch unter Datenschutz und Sicherheit Geräteverschlüsselung geschaut? Oder nur in der alten Systemsteuerung.

 

[Matthias80]

Der gleiche Link wie in #12

Ups. Hab so lange gebraucht mit raus suchen... Nicht gesehen.

 

[Ponderosa]

Kein Problem, doppelt hält immer noch besser.

 

[PC295]

Gar nicht, das ist ja das Problem.

Ich kann zwar garade nicht das Gegenteil beweisen, aber ich glaube nicht, dass das so ist.

Man bekommt von der Verschlüsselung auch nichts mit, erst wenn man im Punkt "Geräteverschlüsselung" nachschaut und auch in den Bitlocker-Einstellungen sieht man, ob die Verschlüsselung wirklich aktiv.

Man sollte es auch im Explorer sehen und sich über dieses Symbol bei verschlüsselten Laufwerken wundern:

Edit: Und bei UEFI-Updates oder CPU-Wechsel hat man ein Problem.

In solchen Fällen fragt Windows nach den Wiederstellungsschlüssel.
Windows muss ja hier andere Möglichkeiten bereitstellen, sonst kann man ja von einem Bug sprechen.
Ich glaube nicht, dass MS solche Fälle nicht berücksichtigt hat.

 

[qiller]

Du hast auch unter Datenschutz und Sicherheit Geräteverschlüsselung geschaut?

Das ist nur die Vorbereitung zur Verschlüsselung. Den tatsächlichen Status sieht man nur in den Bitlockereinstellungen in der Systemsteuerung (o. mit "manage-bde -status"). Die Einstellung zur Geräteverschlüsselung kann aktiv sein, ohne dass Bitlocker tatsächlich schon verschlüsselt hat. Das war damals die Absicherung, dass erst dann verschlüsselt wird, wenn die Leute auch ihr MS Online-Konto anlegen und der Wiederherstellungsschlüssel im MS-Online Konto landet. Dann erst wurde tatsächlich verschlüsselt.

Und genau diese Handhabe hat MS jetzt bei Geräten mit UEFI-Flag geändert. Hier wird tatsächlich von Pieke auf verschlüsselt, und nicht nur "vorbereitet".

 

[Korben2206]

Du hast auch unter Datenschutz und Sicherheit Geräteverschlüsselung geschaut? Oder nur in der alten Systemsteuerung.

Auch wenn ich unter Datenschutz und Sicherheit\Gerätesicherheit -> Datenvserschlüsselung auf "Verwalten der Bitlocker-Laufwerksverschlüsselung" klicke lande ich in der alten Systemsteuerung.. Falls du das nicht meinst, bitte genauer

 

[Langi1]

Das ist nur die Vorbereitung zur Verschlüsselung. Den tatsächlichen Status sieht man nur in den Bitlockereinstellungen in der Systemsteuerung (o. mit "manage-bde -status"). Die Einstellung zur Geräteverschlüsselung kann aktiv sein, ohne dass Bitlocker tatsächlich schon verschlüsselt hat. Das war damals die Absicherung, dass erst dann verschlüsselt wird, wenn die Leute auch ihr MS Online-Konto anlegen und der Wiederherstellungsschlüssel im MS-Online Konto landet. Dann erst wurde tatsächlich verschlüsselt.

Und genau diese Handhabe hat MS jetzt bei Geräten mit UEFI-Flag geändert. Hier wird tatsächlich von Pieke auf verschlüsselt, und nicht nur "vorbereitet".

Eben ausprobiert mit MS-Acount. Win 11 24H2 aktiviert keinen Bitlocker automatisch.

 

[Pentagon]

aber genau DAS will ich ja im Vorfeld schon verhindern.

Das kann man verhindern, indem man die OFFLINE REGISTRY (HIVE) lädt und die Verschlüsselung verhindert.

REG ADD HKLM\OFFLINE\ControlSet001\Control\BitLocker /v PreventDeviceEncryption /t REG_DWORD /d 1

bzw. im ONLINE Modus
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\BitLocker /v PreventDeviceEncryption /t REG_DWORD /d 1

 

[qiller]

Eben ausprobiert mit MS-Acount. Win 11 24H2 aktiviert keinen Bitlocker automatisch.

Soweit mir bekannt, wird das nur bei Neuinstallationen oder eben Feature-Upgrades getriggert. Ob ein gestandenes, unverschlüsseltes Windows einfach so verschlüsselt wird, wenn man sich mit nem MS Online-Konto anmeldet, weiß ich gar nicht. Anscheinend wohl nicht.

 

[kommdieter]

@Korben2206 Wenn Gerätesicherheit in den Einstellungen angezeigt wird, wurde dies auch vorgenommen.
Jeder der kein Gerätesicherheit sieht, dort wurde diese neue Art der Verschlüsselung auch nicht durchgeführt.
Systemsteuerung ist "nur" die Laufwerksverschlüsselung

 

[qiller]

Jeder der kein Gerätesicherheit sieht, dort wurde diese neue Art der Verschlüsselung auch nicht durchgeführt.

Genau so ist es. Dann fehlen die Voraussetzungen dafür. Wie gesagt, ich hab es bisher immer nur bei Laptops gesehen.

 

[Questionmark]

Egal ob lokales Konto oder nicht, bei unseren für Kunden gefertigten PCs aktiviert sich Bitlocker nie, lediglich bei manchen Notebooks ist die automatische Verschlüsselung direkt nach der Installation aktiv. Da ich ja die Kunden und deren regelmäßige Datensicherung kenne, deaktivier ich Bitlocker, damit man zur Not die eingebaute SSD zur Sicherung an einem anderen Rechner auslesen kann.

 

[nutrix]

Wie komme ich an den Schlüssel ohne MS Konto (Pro Rechner)

Indem Du den Schlüssel per Papier druckst oder anderweitig speicherst und auslagerst (externe Datenträger, Cloud, Keepasseintrag...

Und nochmals, jedes Mal, wenn Bitlocker startet, wird deutlich vorher davor gewarnt und hingewiesen, daß man den Schlüssel sichern soll. Von alleine passiert da nichts. Man kann jederzeit den Prozess abbrechen bzw. die Verschlüsselung wieder aufheben. Daher, blinde Panikmache hilft hier nicht weiter, sondern nur aufmerksames Handeln!

 

[qiller]

Von alleine passiert da nichts.

Und genau das ist eben bei Neuinstallationen (und wohl jetzt auch bei Feature-Upgrades) nicht der Fall. Ich habs selber gesehen an einem Laptop. Da kam überhaupt gar kein Hinweis zu.

 

[Nightmanager]

Das ist nur der Fall, wenn Du kein Backup deiner Daten hast.

CU
redjack

Hm und genau das bezweifel ich.
Warum ?
Angenom,men mein ganzes System wäre verbitlocked, dann mach ich eine Datensicherung indem ich das Sicherungslaufwerk anschliesse und in dem Zuge hat das Laufwerk Verbindung zu meinem System und somit hat Win Zugriff darauf uind verschlüsselt das Laufwerk auch, oder ?


@All: Iwie blick ich da noch nicht durch.
Und so wie ihr diskutiert scheint das alles iwie nicht eindeutig zu sein.

Also auf allen Rechnern ist mal überall (noch) nix verschlüsselt.
Das bleibt hoffentlich erst mal so. Die Wahrheit kommt glaub erst zutage wenn man ein System neu aufsetzen muss.
OK, scheinbar nur bei Laptops, aber sich auf "Vermutung" und "scheinbar" zu verlassen, ist Russisch Roulette.

Panikmache ist das bestimmt nicht, sondern eher vorausschauende Vorsicht bzw Misstrauen.
Wenns nachher passiert, ist das Geheule umso größer.

Ich finds dennoch nen mega Hammer, dass MS das so einfach macht , ob ich will oder nicht.
Die kennen doch meine vor Ort Verhältnisse gar nicht.
Optional anbieten - wie bisher - ist doch voll OK, aber zwangsweise , so fast still und heimlich dazu, ist schon hoch
unverschämt!
Wer zahlt mir denn nachher meine Schadcen, wenn meine Geschäftsgrundlage aufgrund iwelcher
Verschlüsselungsverwirrungen weg ist ?
Darauf erwarte ich jetzt keine Antwort , nur mal so in den Raum, geworfen.

 

[qiller]

Hab alles gesagt, was ich weiß. Kann nur meine Empfehlung wiederholen: Alle Laufwerke, wo Windows nicht drauf soll, abklemmen, wenn eine Windows Neuinstallation o. ein Feature-Upgrade ansteht. Im Anschluss dann die entsprechenden Einträge ("Geräteverschlüsselung") und in der alten Systemsteuerung in den Bitlocker-Einstellungen überprüfen, ob auch wirklich alles unverschlüsselt geblieben ist, die Geräteverschlüsselung deaktiviert ist und dann kann man wieder seine Laufwerke anklemmen. Einfach so mittendrin wird nicht verschlüsselt (zumindest bis jetzt nicht :x).

 

[kommdieter]

Genau so ist es. Dann fehlen die Voraussetzungen dafür. Wie gesagt, ich hab es bisher immer nur bei Laptops gesehen.

Ist nicht ganz richtig. Entweder man hat ein Upgrade gemacht, oder es vorab blockiert. Dann wird nichts gemacht. Die Verschlüsselung wird auch auf PCs durchgeführt.

 

[qiller]

Die Verschlüsselung wird auch auf PCs durchgeführt.

Du meinst, wenn die Einstellung für die "Geräteverschlüsselung" sichtbar ist und auch noch aktiviert ist? Durchaus möglich. Bei Rechnern mit Retail-Mainboard und Default-Settings sieht man ja die Einstellung meist gar nicht. Eine automatische Verschlüsselung hab ich bei solchen Rechnern noch nicht gesehen. Aber gibt ja auch Fertig-PCs von HP, Dell etc. da könnte ich mir das gut vorstellen, wie auch bei aktuellen Laptops.