Leserartikel BitLocker Hardware Encryption eDrive

[tox1c90]

Momente mal, es liest sich bei dir so, als würde Win11 die HBE wieder voll unterstützen. Wie war das Drive vor der Install von Win eingerichtet gewesen? Ich vermute, das macht den entscheidenden Unterschied und ist die "quasi Neu-Install" aus dem Startpost.

Ich hatte früher mit dem alten Asrock Z370 (und dem speziellen BIOS das HW-Verschlüsselung einer NVMe-SSD erlaubt hat) in den eDrive-Modus geswitched. Dann hab ich aber doch keine HW-Verschlüsselung gemacht wegen der BIOS-Problematik bei Asrock, sondern nur per SW.

Jetzt mit Windows 11 auf dem Z690 hab ich das Drive komplett gecleant und neu initialisiert (mittels diskpart clean), aber keinen PSID-Revert gemacht. D.h. das war nach wie vor im eDrive enabled Modus. Allerdings hat Windows 11 darauf die HW-Verschlüsselung unproblematisch einrichten können.

Ich werde aber nach Weihnachten nochmal die Variante komplett „from scratch“ probieren. Ich hab noch eine Samsung 840 Evo rumliegen. Die werde ich mal per PSID Revert in den Normalmodus resetten und dann mal von Windows 11 aus probieren wie weit ich komme, inkl Samsung ready to enable usw.

 

[Bob.Dig]

@tox1c90 Was glaubst Du passiert, wenn Du jetzt das Drive vollständig entschlüsselst und anschließend wieder verschlüsseln wolltest?

Ergänzung (23. Dezember 2021)

Heilige Makkaroni, ich hab jetzt unter einem anderen Win10 21H2 19044 ein HBE Datenlaufwerk ent- und wieder verschlüsseln können. Als nächstes müsste ich mal meinen Desktop versuchen, aber ich meine, das ist eine Verbesserung zu davor, vielleicht hat MS gar still und heimlich den alten Zustand wieder hergestellt?

 

[Bob.Dig]

Zu früh gefreut, auf meinem Win10 Desktop 21H2 19044 konnte ich c: nach dem Entschlüsseln nicht wieder hb-verschlüsseln, obwohl es das unmittelbar zuvor noch war. 😟

 

[tox1c90]

@tox1c90 Was glaubst Du passiert, wenn Du jetzt das Drive vollständig entschlüsselst und anschließend wieder verschlüsseln wolltest?

Genau das hab ich ja mit den SATA-SSDs gemacht! Erst komplett entschlüsselt (um die SW-Verschlüsselung aufzuheben) und dann einfach unmittelbar danach wieder eingeschaltet mit über Gruppenrichtlinie erzwungener HW-Verschlüsselung.

 

[Bob.Dig]

Genau das hab ich ja mit den SATA-SSDs gemacht! Erst komplett entschlüsselt (um die SW-Verschlüsselung aufzuheben) und dann einfach unmittelbar danach wieder eingeschaltet mit über Gruppenrichtlinie erzwungener HW-Verschlüsselung.

Also wenn das auch mit c: ginge, dann wäre das tatsächlich ein gravierender Unterschied zwischen Win10 und Win11, dann wäre das Problem bei Win11 gefixt. Freu mich von Dir zu lesen.


Hab den Bench mit dem CPU-Auslastungsvergleich aus dem Startpost nun etwas unfreiwillig noch mal mit aktuellerer Hardware wiederholt, das Bild ist dabei das gleiche wie zuvor.

 

[palace]

Also wenn das auch mit c: ginge, dann wäre das tatsächlich ein gravierender Unterschied zwischen Win10 und Win11, dann wäre das Problem bei Win11 gefixt. Freu mich von Dir zu lesen.

Vermutlich muss jedes mal, wenn man was ändert / einschaltet, diese SID Dingens im Bios zugelassen werden.
Aber klar, wenn das jetzt reproduzierbar unter Win10 nicht geht und unter Win11 wieder läuft, sind das ja gute Nachrichten.

 

[tox1c90]

So! Ich hab jetzt einfach nochmal Bitlocker auf allen Laufwerken deaktiviert, und gleich im Anschluss wieder aktiviert. "Disable Block SID" hab ich dafür nicht vorher angeschaltet. Ich hab wirklich einfach auf dümmstmögliche Weise über die Systemsteuerung Bitlocker deaktiviert und aktiviert.

Sowohl die NVMe-SSD (C: ) als auch die beiden SATA-SSDs sind anstandslos wieder in den HW-verschlüsselten Modus gegangen.

Finde ich übrigens inzwischen mit den Hauptvorteil an der Sache, dass man im Gegensatz zur Softwareverschlüsselung beliebig damit rumspielen, d.h. "ent- und verschlüsseln" kann, ohne dass das jedes Mal wirklich im Hintergrund auch passiert und das gesamte Laufwerk durch den Fleischwolf gejagt werden muss

 

[Bob.Dig]

@tox1c90 Das hieße, dass es in Windows 11 wieder problemlos geht. Ich meine noch mit Win11, als es frisch raus kam, getestet zu haben und da ging es nicht. Oder ist es irgendwie hardwarespezifisch, dass es bei Dir geht? Welche Win11 Version hast Du genau?

Würde mich noch über weitere Erfahrungsberichte betreffend Win11 freuen.

 

[R4Z3R]

Frage zu eDrive: Was ist denn die Bedeutung, wenn in Magician eDrive auf "Disabled" steht?
Der Toggle es zu aktivieren, erscheint gar nicht erst. Ist also nicht im "Ready to enable" state.

Setup:

• 860 Evo (d.h. SATA)
• Windows 10 (latest)
• Samsug Magician (latest)
• UEFI Boot (+ Secure Boot aktiv)
• ATA Passwort gesetzt

Evtl. probiere ich mal aus das ATA Passwort zu deaktivieren, aber falls jemand was weiß, gerne hier schreiben - Danke.

 

[Bob.Dig]

Der Toggle es zu aktivieren, erscheint gar nicht erst. Ist also nicht im "Ready to enable" state.

Das Drive muss unter anderem uninitialisiert sein (s. FAQ).

 

[R4Z3R]

Update: Habs rausgefunden (wie so manchmal, wenn man die Lage für einen Forumsbeitrag nochmal zusammenfasst) - es lag tatsächlich am gesetzten ATA Passwort. Diese Art der Verschlüsselung (bzw. auch nicht immer, aber separates Thema) ist wohl das, was Samsung als Class 0 Verschlüsselung bezeichnet.

In der neuesten Magican Version (7.x.x) gibt es für Class 0 Verschlüsselung aber keinen Reiter mehr, d.h. man sieht in Magician nicht mehr, dass dieser Verschlüsselungsmodus gesetzt ist und dies die Wahl eines anderen Modus ausschließt.
Mit deaktiviertem ATA Passwort erscheint das Toggle.

Nix neues, aber Hardware-Verschlüsselung ist wirklich einer der größten Custerf**** ever

Ergänzung (28. Dezember 2021)

Es ist nicht (direkt) in den letzten Posts zu finden, aber es ist offenbar so, dass Windows 10 21H1 die Hardwareverschlüsselung bei einer Neuinstallation in jedem Fall skipt und man mit Tricks arbeiten muss?

Windows 11 ist grad keine Option, da ich eigentlich auch Secure Boot haben möchte (und das in Win 11 nur mit TPM funktioniert - ist komplett unabhängig vom Verschlüsselungsthema)

 

[tox1c90]

Es ist nicht (direkt) in den letzten Posts zu finden, aber es ist offenbar so, dass Windows 10 21H1 die Hardwareverschlüsselung bei einer Neuinstallation in jedem Fall skipt und man mit Tricks arbeiten muss?

Das scheint jetzt tatsächlich eine der spannenden Fragen zu sein, schließlich gab es vor mir hier ja auch schon negativ ausgegangene Versuche mit Windows 11. Unter Umständen liegt es ja wirklich einfach nur an der Hardware bzw. wie sich diese unter neueren Windows-Versionen verhält, was eine Möglichkeit dafür sein könnte, warum es mit älteren Boards unter Windows 10 20H1 und Windows 11 vielleicht nicht geht, mit neueren Boards aber schon.

 

[Bob.Dig]

Es ist nicht (direkt) in den letzten Posts zu finden, aber es ist offenbar so, dass Windows 10 21H1 die Hardwareverschlüsselung bei einer Neuinstallation in jedem Fall skipt und man mit Tricks arbeiten muss?

Jau, siehe Startpost.

Windows 11 ist grad keine Option, da ich eigentlich auch Secure Boot haben möchte (und das in Win 11 nur mit TPM funktioniert - ist komplett unabhängig vom Verschlüsselungsthema)

Ich kann mir gut vorstellen, dass es besser mit TPM funktioniert, aber ohne soll es gar nicht?
Und die hardwarebasierte Verschlüsselung ginge ja auch mit einem TPM.

 

[R4Z3R]

Jau, siehe Startpost.

Hab ich gelesen, allerdings war nicht explizit zu entnehmen, ob es bei den neuesten Versionen weiterhin so ist. Offenbar ja schon, aber wer weiß

Ist dem so? Ich kann mir gut vorstellen, dass es besser mit TPM funktioniert, aber ohne soll es gar nicht?
Und die hardwarebasierte Verschlüsselung ginge ja auch mit einem TPM.

Also man kann grundsätzlich auch ohne TPM installieren, über die entsprechenden Flags.
Allerdings: Will man nicht nur UEFI Boot sondern auch Secure Boot, dann scheint für Secure Boot nun das TPM mandatory. Ich will da aber auch nochmal nachschauen, ob man das auch umgehen kann.

 

[R4Z3R]

Update: Ok, also Windows 11 sollte Secure Boot weiterhin unterstützen auch wenn kein TPM vorhanden

Generell stellt Secure Boot wohl gar nicht auf TPM ab, erst "Measured Boot" macht das.

Zugehöriger Thread: Beitrag im Thema "Installation ohne TPM aber mit Secure Boot" https://www.computerbase.de/forum/t...pm-aber-mit-secure-boot.2061447/post-26407884

Ergänzung (28. Dezember 2021)

=> werde dann demnächst mal ein Clean Install von Windows 11 machen und berichten ob SED via eDrive BitLocker funktioniert.

 

[R4Z3R]

Yeah, Hardwareverschlüsselung via BitLocker aktiv! 💕

Ergebniskonfiguration (schön clean):

• AHCI aktiv (mit Microsoft Standard-Treiber / storahci.sys)
• UEFI Boot aktiv
• Secure Boot aktiv
• Encrypted Drive aktiviert (Samsung Magican)
• BitLocker Verschlüsselungsmethode Hardwareverschlüsselung
• Windows 11 (USB-Installatiosmdedium mit Rufus erstellt, No-TPM-No-Secure-Boot-Modifikation)

System:

• Lenovo Y50-70 Notebook, 2015/16
• Intel i7 4720HQ 4C/8T (Haswell)
• 16 GB DDR3 RAM
• Samsung 860 Evo SSD, 1 TB (mSATA)
• Insyde UEFI-BIOS

Vorgehen (im Grunde genau wie im Eingangspost des TE)

1. In Samsung Magican Encryptd Drive aktivieren (neuer Zustand: "Bereit zur Aktivierung")
2. Neustart, EFI-Boot via Windows-11-Installationsmedium
3. Via CMD aus den Computerreparaturoptionen mit diskpart clean die Platte säubern
4. Neustart, EFI-Boot via Windows-11-Installationsmedium
5. Nach Installation:
   1. Kontrolle: Samsung Magican zeigt Encrypted Drive aktiviert
   2. Gruppenrichtlinie für Bitlocker ohne TPM aktiviert
   3. Gruppenrichtlinie für Deaktivierung Rückfall auf Softwareverschlüsselung aktiviert
6. BitLocker aktivieren (wie üblich anhand UI erkennbar dass Hardwareverschlüsselung eingerichtet wird)
7. Systemüberprüfung (letzte Checkbox im BitLocker-Wizard) mit Neustart funktioniert ebenfalls
8. Nach Neustart ist Bitlocker auch laut manage-bde aktiv

Bemerkungen

• Habe wohl das Glück, dass die 860 Evo von der zusätzlichen Komplikation mit Block SID nicht betroffen ist, das kam erst mit späteren SSDs.
• SATA hilft sicher auch (oder evtl. indirekt weil NVME-Modelle neuer sind und daher die Block SID Thematik ins Spiel kommt)
• Secure Erase ist, wie schon im Thread angemerkt, nicht notwendig. Ein clean über diskpart reicht aus.
• Jedoch: Ein Auflösen aller Partitionen während des Setups (der Dialog wo man auswählen kann wo Windows installiert werden soll) reicht nicht aus! (habs probiert)
• Ich habe nicht geprüft, ob BitLocker Softwareverschlüsselung gewählt hätte, wenn ich die Gruppenrichtlinie bzgl. Hardwareverschlüsselung nicht gesetzt hätte. Möglicherweise wäre auch eine Auswahlmöglichkeit erschienen.
• BitLocker-Passworteingabe beim Booten: Bei der Eingabe ist das englische Tastaturlayout aktiv..

Screenshots

Anhang anzeigen 1164603

 

[Bob.Dig]

@tox1c90 @R4Z3R Welche Win11 Build nutzt ihr genau (winver)?

Scheint ja jetzt einiges für einen Fix in Win11 zu sprechen. Interessant auch, dass die Docs zu eDrive nun zuletzt am 03.12.2021 geändert worden sind. Vielleicht ein weiterer Hinweis, dass sich was getan hat.

 

[tox1c90]

• Secure Erase ist, wie schon im Thread angemerkt, nicht notwendig. Ein clean über diskpart reicht aus.
• Jedoch: Ein Auflösen aller Partitionen während des Setups (der Dialog wo man auswählen kann wo Windows installiert werden soll) reicht nicht aus! (habs probiert)
• Ich habe nicht geprüft, ob BitLocker Softwareverschlüsselung gewählt hätte, wenn ich die Gruppenrichtlinie bzgl. Hardwareverschlüsselung nicht gesetzt hätte. Möglicherweise wäre auch eine Auswahlmöglichkeit erschienen.

Zu den drei Punkten:

• Der letztlich relevante Vorgang ist nicht das Löschen sondern die Initialisierung, also wenn die Partitionstabelle (GPT) angelegt wird. Dabei wird sozusagen festgeschrieben, was das Laufwerk kann. Wie man das Laufwerk vorher komplett leert, damit man ein neues Partitionslayout schreiben kann (Secure Erase oder Clean mittels Diskpart) ist dabei egal. Das Laufwerk wird geswitched wenn Windows in dem Moment wo es die GPT anlegt mit dem Controller für die Verschlüsselung reden kann.
• Darum reicht ein simples Löschen nur der Partitionen nicht aus, denn das fasst das zugrunde liegende Layout nicht an. Statt quasi das Inhaltsverzeichnis zu killen und in einem anderen Format neu anzulegen, streichst du nur Einträge im bestehenden Verzeichnis weg und fügst neue hinzu. Dadurch ändert sich an den Capabilities dann nichts. Es muss die gesamte GPT zunächst weichen damit das geht.
• Das hab ich hingegen (aus Versehen) mal wieder geprüft . Auch wenn technisch beides geht, nimmt Windows ohne die Gruppenrichtlinie immer von alleine die Softwareverschlüsselung und bietet auch keine Wahl an. Kann ich auch verstehen mittlerweile, denn vor allem bei SSDs wie denen von Crucial, die ab Werk „ready to enable“ sind und wo man nicht erst bewusst sich dafür entscheiden muss, werden Leute sonst unbeabsichtigt mit Hardwareverschlüsselung beglückt, und das hat wenn man damit nicht rechnet schon auch einige Ecken und Kanten.

Ergänzung (29. Dezember 2021)

@tox1c90 @R4Z3R Welche Win11 Build nutzt ihr genau (winver)?

22000.376 (die neueste inkl. Update von Mitte Dezember)

 

[R4Z3R]

Der letztlich relevante Vorgang ist nicht das Löschen sondern die Initialisierung, also wenn die Partitionstabelle (GPT) angelegt wird

Genau, das war dann auch meine Schlussfolgerung und du hattest das ja auch schonmal hier im Thread beschrieben 👍

Ergänzung (29. Dezember 2021)

Auch wenn technisch beides geht, nimmt Windows ohne die Gruppenrichtlinie immer von alleine die Softwareverschlüsselung und bietet auch keine Wahl an.

Ok, gut zu wissen.

 

[R4Z3R]

Welche Win11 Build nutzt ihr genau (winver)?

Edition: Windows 11 Education
Version: 21H2
Betriebssystembuild: 22000.376
Leistung: Windows Feature Experience Pack 1000.22000.376.0

(lässt sich nun übrigens aus "System" - "Info" copy & pasten).