Bitlocker kann nach BIOS-Update nicht wiederhergestellt werden

[jube]

Hallo zusammen,
ich habe heute ein BIOS-Update von meinem Mainboard ASUS ROG Strix B650E-E Gaming Wifi über die Flashback-Funktion gemacht. Ich verwende Bitlocker und habe den Wiederherstellungsschlüssel extra gesichert.

Wie erwartet, werde ich nach dem BIOS-Update dazu aufgefordert, Bitlocker wiederherzustellen. Das sieht so aus:

Wenn ich Enter oder F1 drücke, startet irgendwas kurz neu und ich lande wieder auf genau dem gleichen Screen. Wenn ich F8 drücke, kommt folgendes:

Wenn ich dann Enter drücke, lande ich wieder auf dem ersten Screen.

Nirgendwo kommt ein Feld, wo ich meinen Key eintragen kann. Wie kann ich mich jetzt noch vor einer Neuinstallation retten? Hat jemand eine Idee?

Danke im Voraus!

 

[DocWindows]

Hast du mal geprüft ob die TPM Funktion im BIOS nach dem Update noch aktiv ist?
Das wurde doch sicherlich für Bitlocker verwendet.

Normalerweise sollte ein solches Update kein Problem sein wenn man das TPM nicht absichtlich zurücksetzt.

 

[jube]

Danke für den Hinweis. Aus meiner Sicht wurde nichts zurückgesetzt:

Spoiler: Trusted Computing

Spoiler: AMD fTPM configuration

Spoiler: Secure Boot

 

[Ponderosa]

Aus meiner Sicht wurde nichts zurückgesetzt:

Vermutlich doch?
Im Screen 3 sollte anstatt Other OS, Windows UEFI-Modus stehen.

 

[jube]

Danke @Ponderosa, leider habe ich aber weiterhin das gleiche Problem.

 

[n1tro666]

Aus meiner Sicht wurde nichts zurückgesetzt:

also im 2. screen, soll das so sein das jedesmal das fTPM NV-ram gelöscht wird beim starten?
erscheint mir falsch..dort wird doch der schlüssel gespeichert..

ich kenne das nur so, das man nach cpu wechsel einmalig das o.g. nvram löscht, aber danach dann auf disabled einstellt.

 

[PC295]

Versuche es wie beschrieben über einen USB-Stick mit Windows 11 drauf.
Dort kannst du die Reparaturoptionen starten und wirst du dann nach dem Wiederherstellungsschlüssel gefragt.
Führe dann die Starthilfe aus.

Wie erwartet, werde ich nach dem BIOS-Update dazu aufgefordert, Bitlocker wiederherzustellen.

Sowas kannst du vermeiden, indem du Bitlocker vorher anhältst.
Dabei wird Bitlocker temporär deaktiviert ohne das Laufwerk zu entschlüsseln.

 

[Questionmark]

Man wird zudem vor dem Update bei allen aktuellen Boards darauf hingewiesen!

Sicher ist man nur, wenn man Bitlocker komplett deaktiviert und nach dem Update neu einrichtet.

 

[jube]

soll das so sein das jedesmal das fTPM NV-ram gelöscht wird beim starten?

Es geht in dem Fall um den CPU-Wechsel, also alles in Ordnung denke ich.

Versuche es wie beschrieben über einen USB-Stick mit Windows 11 drauf.
Dort kannst du die Reparaturoptionen starten und wirst du dann nach dem Wiederherstellungsschlüssel gefragt.
Führe dann die Starthilfe aus.

Danke! Dort kann ich aber leider meine SSD nicht sehen. Über mage-bde in der Eingabeaufforderung schon, aber nur mit der Schlüsselschutzvorrichtung "TPM". Habe ich vielleicht doch nicht den richtigen Schlüssel exportiert und kann ihn deswegen auch nicht eingeben?

 

[DocWindows]

Richte dich nach dieser Anleitung

https://www.wikihow.com/Unlock-Bitlocker-Encrypted-Drive-from-Command-Prompt

Methode 2 Schritt 1

Damit entsperrst du die Platte.
Und mit manage-bde -off [laufwerksbuchstabe:] kannst du danach Bitlocker entfernen und wieder normal booten.

 

[PC295]

Habe ich vielleicht doch nicht den richtigen Schlüssel exportiert und kann ihn deswegen auch nicht eingeben?

Nein. Der Fehler deutet auf eine fehlerhafte Wiederherstellungsumgebung hin.
Deswegen verweist Windows auf das Installationsmedium. Dort sind ebenfalls die Tools drauf.

Wenn TPM gelöscht oder deaktiviert wurde, lässt sich das System dennoch mit den Bitlocker-Wiederherstellungsschlüssel entsperren.

 

[jube]

Ja mein Schlüssel klappt leider nicht :/ dann muss ich wohl doch neuinstallieren. Zum Glück sind "nur" jede Menge Programme drauf. Danke trotzdem!

 

[Bob.Dig]

aber nur mit der Schlüsselschutzvorrichtung "TPM".

Vielleicht hast Du das Entsperren mit dem Wiederherstellungsschlüssel tatsächlich nachträglich gelöscht? Denn abwählen kann man das ja leider nicht bei der Einrichtung.

Hab das gerade mal gemacht.

PS C:\Users\Bobby> manage-bde -status
BitLocker Drive Encryption: Configuration Tool version 10.0.26100
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: []
[OS Volume]

    Size:                 930,65 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100,0%
    Encryption Method:    XTS-AES 256
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:
        Password

PS C:\Users\Bobby>

 

[tox1c90]

Ups, wenn da tatsächlich nur „TPM“ steht unter den Protectors, gibt es tatsächlich keinen Wiederherstellungsschlüssel.

Denn selbiger ist auch nur ein Protector gleichwertig dem TPM und ist als solcher dort dann auch aufgeführt, im deutschen Windows müsste da „Numerisches Kennwort“ (oder ähnlich) stehen. Dabei handelt es sich um den Wiederherstellungsschlüssel. Fehlt das, gibt es auch keinen.
Wobei das dann echt merkwürdig ist, wie diese Konstellation zustande gekommen ist. Normale Bitlocker-Einrichtung generiert neben dem TPM-Protector immer auch den numerischen Wiederherstellungs-Protector. Weg kriegt man den nur, wenn man ihn nachträglich über die Kommandozeile löscht, oder wenn man Bitlocker von vornherein über die kommandozeile einrichtet und ihn dabei nicht mit anlegt.

Aus diesem Grund bietet er dir dann logischerweise in der Preboot-Umgebung nicht an, einen einzugeben.
Wenn da nur TPM steht und das TPM wurde gelöscht oder steht nicht mehr zur Verfügung, sind die Daten auf der Partition unwiederbringlich verloren, sry.

 

[them00n]

Womöglich wurde der TPM auch gar nicht gelöscht, aber durch das Update ggfs. die Bootreihenfolge (oder was anderes PCR relevantes) geändert.

 

[Ray519]

Normalerweise sollte ein solches Update kein Problem sein wenn man das TPM nicht absichtlich zurücksetzt.

ggfs. die Bootreihenfolge (oder was anderes PCR relevantes) geändert.

Per Definition, wenn alles korrekt funktioniert und auf Standard steht, wird das BIOS selbst vermessen. Der Teil der auch für SecureBoot auf Zertifizierung gecheckt wird. Und der Code sich bei einem Update. Die Einstellungen vom BIOS (also allgemein, nicht was SecureBoot und TPM direkt betrifft) werden normalerweise nicht vermessen.

Wobei ich nicht exakt weiß, was alles in PCR7 mit reinspielt, wenn das genutzt wird (klingt wie als würde das nur die Zertikate anschauen, nicht was zertifiziert wird. Aber nicht sicher).

 

[tox1c90]

Ja, so in etwa, bei PCR7-Bindung wird dem UEFI bzw den dort hinterlegten Secure Boot - Zertifikaten vertraut, und dass dieses nur einen damit signierten Windows-Bootloader startet. Funktioniert deshalb aber auf vielen Selbstbau-PCs nicht, weil es erfordert, dass im UEFI nur genau ein DB-Zertifikat vorhanden ist, insbesondere die UEFI CA (quasi Microsofts Linux-Bootloader-Zertifikat) nicht, sondern nur das Windows-Zertifikat. Viele Boardhersteller packen dann noch eigene mit rein für irgendwelche Tools, die von Windows aus aufs UEFI zugreifen können. Bemerkt Windows das, wird PCR7 nicht mehr genutzt, da dann nicht garantiert ist, dass nur der originale Windows-Bootloader startet.
In dem Fall gibt es einen Fallback auf die anderen PCRs, und letztlich ist das dann meines Wissens nach eine Tabelle mit Hashes der einzelnen Systemdateien, die beim Start abgeglichen wird.

 

[Ray519]

Die Frage ist, ob ich das richtig verstehe, dass PCR7, wenn genutzt, nur die genutzten CAs selbst aufzeichnet werden und keine Checksumme der eigentlichen Daten, so dass ein BIOS Update überlebt werden sollte, solange es von der gleichen CA Zertifiziert ist. Weil ich mein nicht, dass auch nur eins meiner PCR 7 Bound Geräte ein BIOS Update überlebt.

Gründe für fehlendes PCR7 Binding gibt es ja noch mehr. Bis letzte Windows Version musste es da noch Modern Standby, keine DMA Geräte und keine OPROMs möglich sein. Und das keine OPROMs gilt ja immer noch.
https://learn.microsoft.com/en-us/w...eriences/oem-bitlocker?source=recommendations
Das ist sogar interessant, weil mein Notebook nutzt PCR7, aber es lädt jedes PCIe OPROM das das Drecksteil findet, ohne BIOS Option das abzustellen. Deshalb darf ich meine eGPU beim Booten nicht dran lassen, weil das eben den PCR7 State unnötigerweise ändert...


Also auch noch die Frage wie Windows herausfindet ob das BIOS so was macht oder nicht. ACPI Flag? Akute Präsenz von OPROMs? Oder einfach gutgläubig und der Hersteller sollte auf die Finger bekommen...

 

[Restart001]

Die Daten sind weg, so penibel Windows 11 auf das Brechen der Verschlüsselung reagiert, ist das dann kein Wunder mehr. Die die ich kenne wollen lieber beim 10er bleiben, egal was kommt. Die werde ich in Zukunft mit meiner Hilfe Leiten und Unterstützen.

 

[Ray519]

Die Daten sind weg,

Erst wenn man was überschreibt. Wenn man alles wieder Downgraden kann, auf die Version für die das TPM den Schlüssel raus rückt kommt man auch noch dran...