Bitlocker deaktiviert nach Lenovo UEFI-Update

[Lurtz]

Ich habe folgendes Problem bei einem Lenovo Ideapad 5 Pro 16 ARH7 mit der Windows-Installation im Auslieferungszustand. Windows 11 habe ich bereits auf 22H2 aktualisiert. Windows 11 Home, sprich es handelt sich um diese kastrierte Bitlocker-Version, die nur für das Systemlaufwerk genutzt werden kann.

Der UEFI-Updater von Lenovo hat Bitlocker vorübergehend deaktiviert, nun erscheint in den Windows 11-Einstellungen unter Geräteverschlüsselung die Meldung, dass der Schutz beim nächsten Neustart wieder aktiviert werden soll, das funktioniert aber nicht, das Laufwerk bleibt unverschlüsselt.
Laut manage-bde -status ist der Konvertierungsstatus "Verschlüsselung wird durchgeführt". 95,8%. Es scheint auch nocht fortzufahren, aber extrem langsam, 0,1% in mehreren Stunden...
Außerdem steht unter "Schlüsselschutzvorrichtungen: Numerisches Kennwort". Müsste hier nicht TPM aufgeführt sein?!

Ich habe bereits einmal versucht per Windows 11-Einstellungsmenü Bitlocker komplett zu entfernen und neu zu initialisieren, das hat aber auch nur dazu geführt, dass er wieder bei ~95% hängt. Und eben kein TPM mehr angezeigt wird. Laut tpm.msc ist ein TPM 2.0-Chip aktiv und nutzbar.

Ideen außer komplette Neuinstallation?

 

[Enigma]

Kannst du den https://learn.microsoft.com/en-us/sysinternals/downloads/diskmon auf den Bitlocker-Prozess werfen der Dateien verschlüsselt und schauen, was er genau tut?

 

[Iqra]

TPM verbaut oder TPM-Funktion der CPU? Falls letzteres, wurde da beim Update etwas zurückgesetzt, insbesondere die TPM-Funktion?

bitlocker-suspend fäßt die Verschlüsselung nicht an, es gibt nur den symmetrischen Schlüssel frei. Wenn da 95% stehen, dann waren es auch vor dem Update schon 95%, es sei denn natürlich, es kam noch was anderes hinzu.

Nach der Beschreibung würde ich auch versuchen die Verschlüsselung vollständig aufzuheben, das TPM zurückzusetzen und dann BL neu zu initialisieren.
Hast halt das Problem daß plaintext auf verschlüsselten Datenträgern eigentlich nix zu suchen hat. Aber für Windows Home sehe ich das unkritisch.

 

[Lurtz]

Ich vermute stark TPM-Funktion der CPU. Wüsste jedenfalls nichts gegenteiliges.
Ich hatte nach einer Anleitung dann auch nochmal Bitlocker deaktiviert, das TPM gelöscht, und dann Bitlocker erneut aktiviert.

Ok, sprich nummerisches Kennwort, nicht TPM, ist bei Windows Home normal? Wofür haben die Dinger dann mittlerweile überhaupt einen TPM-Zwang?

Edit: Jetzt hat er 100%, "nur verwendeter Speicherplatz ist verschlüsselt", aber es bleibt halt dabei, dass das Laufwerk entsperrt ist.

manage-bde -protectors -enable C:
>>
BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.22621
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.


FEHLER: Ein Fehler ist aufgetreten (Code 0x8031001d):
Mindestens eine BitLocker-Schlüsselschutzvorrichtung ist erforderlich. Der letzte Schlüssel auf dem Laufwerk kann nicht gelöscht werden.

Ok, nach manage-bde -protectors -delete C: ist der letzte Fehler weg, aber es bleibt dabei, dass er keine Bitlocker-Schlüsselschutzvorrichtung nutzen kann.

Edit2:
Hab mit https://learn.microsoft.com/en-us/p...tlockerkeyprotector?view=windowsserver2022-ps jetzt TPM als Schlüssel hinzugefügt, jetzt hat das Laufwerk im Explorer das Schlosssymbol und ist laut manage-bde auch verschlüsselt, dafür ist es jetzt aus den Windows 11-Einstellungen komplett verschwunden als Laufwerk mit Geräteverschlüsselung. Ich glaube ich gebe es auf und installiere einfach nochmal Windows neu, wollte ich eigentlich eh machen...

Oder ich lasse es jetzt einfach so, aber was mache ich wenn ich das Laufwerk mal recovern muss? Hab ja jetzt keine Recovery-Key. Wenn ich den Recovery-Key mit dem Befehl in Example 2 ausgeben lassen will, sagt er das ginge mit der Bitlocker-Home-Version nicht. Im Microsoft-Account steht der Key auch nicht.

Edit3:
Mit Add-BitLockerKeyProtector -MountPoint "C:" -RecoveryPasswordProtector kann man ein RecoveryPasswort erzeugen, wird dann als zweiter Protector neben TPM hinzugefügt und einfach in der Konsole ausgegeben

Datenträgervolumes, die mit BitLocker-Laufwerkverschlüsselung
geschützt werden können:
Volume "C:" [Windows-SSD]
[Betriebssystemvolume]

    Größe:                        951,65 GB
    BitLocker-Version:            2.0
    Konvertierungsstatus:         Nur verwendeter Speicherplatz ist verschlüsselt
    Verschlüsselt (Prozent):      100,0 %
    Verschlüsselungsmethode:      XTS-AES 128
    Schutzstatus:                 Der Schutz ist aktiviert.
    Sperrungsstatus:              Entsperrt
    ID-Feld:                      Unbekannt
    Schlüsselschutzvorrichtungen:
        TPM
        Numerisches Kennwort