Hi,
schön dass dieses Thema hier etwas ausführlicher besprochen wird, herstellerseitig wird es ja offenbar sehr stiefmütterlich behandelt.
Ich stehe vor folgendem Problem.
Ein neuer Build steht vor der Tür und die Hardware wurde bereits bestellt/teilweise geliefert:
| CPU | AMD RYZEN™ 9 5900X |
| Mainboard | ASUS ROG Strix B550-F Gaming |
| Ram | 4x8GB -> 2x Crucial Ballistix schwarz DIMM Kit 16GB, DDR4-3600, CL16-18-18-38 (BL2K8G36C16U4B) |
| Gehäuse | Fractal Design Meshify 2 XL TG Light |
| Netzteil | Corsair RM850x |
| SSD 1 | 1000GB Samsung 980 PRO |
| SSD 2 | CRUCIAL CT2000P1SSD8, 2 TB SSD |
| Kühler | Arctic Liquid Freezer II 420 |
| Grafikkarte | Bis auf weiteres meine alte GTX1080 |
Die Crucial-SSD unterstützt keine Verschlüsselung via Opal, sitzt bereits in meinem jetzigen PC und die darauf liegenden Daten sind je nach Partition entweder unverschlüsselt (z.B. Spiele) oder aber von der Sorte, dass der Performance-Abstrich durch Software-Bitlocker nicht sonderlich viel ausmacht.
Ich möchte jedoch die 980 Pro als neues Systemlaufwerk nicht per Software verschlüsseln, sondern per edrive.
Die Problematik mit den neueren Windows-10-builds kenne ich. Nun habe ich jedoch auch davon gelesen, dass gerade die Asus-Boards nicht problemfrei sind und die Aktivierung des "edrive-Status" während der Installation nicht funktioniert. Nachdem die 980 Pro gestern geliefert wurde, habe ich sie also erst einmal in meinen jetzigen PC eingebaut (Asrock Z170 Extreme6 mit Intel Core-i7 6700K) und - angeleitet durch
diesen Asus-Forenpost - folgende Schritte ausgeführt:
- SSD per Samsung Magician in den "ready to enable Status versetzt"
- Secure Erase ausgeführt (mittels vom Magician vorbereitetem USB-Stick)
- Alle Laufwerke außer die 980 Pro abgeklemmt
- Windows in der Version 1903 installiert (UEFI-Modus)
- Beim ersten Neustart abgebrochen und stattdessen heruntergefahren
- Andere Laufwerke wieder angeklemmt und - bei immer noch eingebauter 980 Pro - in mein "normales" Windows auf einer anderen SSD gebootet
- Mich im Samsung Magician vergewissert, dass der Status der 980 Pro nun auf "enabled" ist, nicht mehr auf "ready to enable"
Meinem gestrigen Verständnis nach sollte nun eine Aktivierung der Bitlocker-Verschlüsselung möglich sein, selbst wenn (einige) Asus-Boards den "Enable"-Schritt während der Installation nicht hinbekommen.
Heute, nach weiterer Recherche in das Thema, bin ich aber unsicher, inwiefern dieser oft erwähnte "disable block sid"-Schritt nicht nur für das "enable" sondern auch für die tatsächliche Bitlocker-Aktivierung notwendig sein könnte. Denn soweit ich das in Erfahrung bringen konnte, besitzt das Bios des B550-F Gaming keine derartige Option.
Ich bin deshalb hin und hergerissen, ob ich das Board behalten (es ist noch im Versand), oder für meinen Anwendungsfall lieber auf Gigabyte/MSI setzen sollte, bevor die Nutzung von Bitlocker per Hardware am Ende nicht funktioniert.
EDIT:
Ich konnte mit Hilfe eines
UEFI-Tools im neusten BIOS für das Board zumindest die Strings
D.i.s.a.b.l.e. .B.l.o.c.k. .S.i.d.... . .O.v.e.r.r.i.d.e. .t.o. .a.l.l.o.w. .S.I.D. .a.u.t.h.e.n.t.i.c.a.t.i.o.n. .i.n. .T.C.G. .S.t.o.r.a.g.e. .d.e.v.i.c.e
ausfindig machen. Könnte darauf hindeuten, dass die Optionen existieren, aber alle Youtube-Videos die die advanced/fTPM-Einstellungen zeigen tun das nur für wenige Sekunden und lassen die Einstellung deaktiviert. Gut möglich, dass die weiteren Optionen erste erscheinen, wenn auch der fTPM-switch an sich aktiviert wurde.
Zweiter EDIT:
Es hat funktioniert, bitlocker-in-hardware ließ sich nach dem Einbau in den neuen Rechner problemlos aktivieren. Die Option "disable block sid" gibt es auf dem Board tatsächlich nicht und eventuell hätte das Einfluss auf den ursprünglichen "ready to enable"->"enabled"-Schritt während der Windows-Installation gehabt, aber für die tatsächliche Aktivierung von hardware-bitlocker sowie das generelle Unlocking taugt das b550-f gaming zumindest.
