Windows 10 Pro BitLocker verschlüsselt Laufwerk - automatisch, ungefragt.

[m.fessler]

Schönen guten Tag,

habe grad einen neuen Laptop vor mir welchen ich mit Windows 10 Pro neu aufgesetzt habe.
Dabei ist mir aufgefallen, dass automatisch - ohne zutun - BitLocker das Laufwerk verschlüsselt.
BitLocker ist zwar dann noch nicht aktiviert, aber es wird verschlüsselt - was man z.B. mittels "manage-bde -status" nachvollziehen kann.

Deaktiviere ich vor der Installation das TPM im Bios, so wird (logischerweise) nichts verschlüsselt.
Aktiviere ich dan nach das TPM wieder so springt BitLocker wieder an.
Nur wenn ich das Laufwerk manuell entschlüssle und BitLocker abschalte (mittels "manage-bde -off c:") bleibt das Laufwerk auch unverschlüsselt.

Laut Web soll das bereits seit Windows 8.1 so sein, insofern die Hardware bestimmte Voraussetzungen wie TPM, UEFI Secure Boot... erfüllt.

Stimmt das wirklich?
Ich muss sträflich zugeben dass mir das bisher so gar nicht aufgefallen ist.

Wie handhabt ihr das eigentlich (inzwischen)?
Rigoros TPM aus und dann BitLocker deaktivieren (außer wenn es unbedingt gewünscht ist bzw. "sein muss")?
Oder trotz so mancher Schwächen bzw. "Eigenheiten" alles verschlüsseln lassen?

Danke und Grüße,
Martin

 

[M@rsupil@mi]

Nein, kann eigentlich nicht sein. Habe mehrere Rechner mit TPM hier und da wurde default nix verschlüsselt (Win 8 und 10).
Habe ich immer händisch anstoßen müssen.


Edit: Sind alles keine Rechner "von der Stange" / Anbieter XY, sondern jeweils selbst zusammengestellt. Vielleicht macht das ja einen Unterschied.

 

[Rickmer]

Ich habe nur ein Gerät mit TPM und das ist das Surface Pro 4 das ab Werk mit verschlüsselter C-Platte geliefert wurde. Ich hab's bisher nicht neu aufsetzen müssen, daher keine Ahnung was es dann machen würde.

 

[Darklordx]

Mein HP Probook 440 G war auch von vornherein verschlüsselt. Selbst meine zusätzlich eingebaute SSD war verschlüsselt. Why not?

 

[m.fessler]

Hmm lustige Geschichte.
Bei einem Factory Image könnt ichs ja noch verstehen, aber ich installiere direkt von einer Microsoft Iso.

Direkt nach dem ersten Reboot sieht das Ganze so aus:

 

[Mafrinje]

BitLocker ist doch gar nicht aktiv. Warum ist das dir wichtig? Bei Bedarf kannst du es aktivieren, oder eben ganz weglassen, da du ja weisst wie es geht.

Grüße

 

[m.fessler]

BitLocker ist doch gar nicht aktiv.

Stimmt, aber es wird verschlüsselt.
Und nach einer Weile gesellt sich zum offenen Schloss ein Rufezeichen hinzu... bis man eben Bitlocker entweder aktiviert oder entschlüsselt sowie abdreht.

Warum ist das dir wichtig?

Weil ich gerne selber bestimmen möchte ob und wie durch was meine Daten verschlüsselt werden oder nicht.

//edit:
Falls es jemand interessiert... hier etwas Lesestoff:
https://docs.microsoft.com/de-de/windows/security/information-protection/bitlocker/bitlocker-device-encryption-overview-windows-10
https://docs.microsoft.com/en-us/windows-hardware/design/device-experiences/oem-bitlocker

Ist also so gewollt, zumindest von Microsoft - was die Kunden möchten scheint denen ja schon länger ziemlich egal zu sein.

Und ja man kanns abdrehen und der Registry Key ist nett - wird aber (vermute ich jetzt einfach mal dreist) beim nächsten (Zwangs-)Upgrade sowieso ignoriert bzw. gelöscht.
Kennt man ja aus der Vergangenheit zur Genüge - z.B. vom "Schnellstart"... recommended... und macht ganz sicher keine Probleme - ja ne ist klar.

 

[RoGer64]

Hallo miteinander,
habe auch ein werksseitig Bitlocker-verschlüsseltes Windoof 10 Pro, aber Bitlocker ist nicht aktiviert - wie kann ich das System nun dauerhaft entschlüsseln? Arbeite mit Acronis Sicherungen und rechne da mit "viel Freude" bei einem verschlüsselten Windows...
Der im obigen link von MS angegebene Schritt den Bitlockerprozess über die Registry zu verhindern passt ja nicht, da mein System ja schon verschlüsselt ist, oder? Muss ich erst einen Bitlocker Schlüssel erstellen lassen um dann Bitlocker loszuwerden?... würde mich nach fast 30 Jahren Windowserfahrung und geschätzten 1-2 Wochen microsoft-geopferter Lebenszeit nicht wirklich wundern...
beste Grüsse

 

[permit]

Ist mir jetzt auch passiert. Elitebook x360 zurückgeseztzt. Recovery durchgeführt, Sytempartition (efi partition) verschlüsselt. Ausrufezeichen auf c:. manage-bde status C: ergibt, verschlüsselt bei nicht aktivem Bitlocker. Upgrade auf Win 10 pro 2004 bricht ab. Die 100MB efi Partition ist voll, das sagt auch die manage-bde Meldung: "Verschlüsselt (Prozent) 100%" aus.

Meine Lösung: TPM im Bios deaktivieren, Anmelden mit dem MS Administrator Konto und nach sehr kurzer Zeit ist die Efi Partition entsperrt. Mit einem Partitionsmanager die Efi Partition vergrößert, Upgrade durchführen, die Systempartition bleibt entsperrt, c: wird ohne Ausrufezeichen mit offenem Schloss angezeigt., managr-bde status ergibt, Laufwerk entsperrt. TPM aktiviert sich wieder selbst, so habe ich festgestellt, die Systempartition bleibt entschlüsselt.