Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

[gelöst] [gelöst] Backup-Software - Restore von Systemimages bei Bitlocker-Verschlüsselung

Status
Dieses Thema wurde gelöst! Lösung ansehen…
W

wischwei

nicht mehr wegzudenken
Hallo zusammen,

ich nutze schon seit vielen Jahren True Image von Acronis (derzeit Version 2021). Für den Restore nahm ich ein Rettungsmedium auf einem USB-Stick.
Dieses Rettungsmedium basiert auf dem "Custom WinPE-based Media Builder", einem Tool das von den MVP's des Acronis-Forums entwickelt wurde unter "Extras/Tools von Drittherstellern", und damit konnte ich mit einer Batchdatei die Ziel-NVMe entschlüsseln (zu sehen mit "manage-bde -status") und dann C: restoren.

Aber nun gibt es eine Fehlermeldung beim letzten Schritt des Restore (proceed).

1635939578965.png


Mit dem Acronis-Support komme ich nicht weiter. Ich habe den Eindruck, dass mein Problem dort gar nicht verstanden wird, denn ich bekomme Vorschläge, die am Thema völlig vorbeigehen!
Möglicherweise hängt dieses Problem auch mit W 11 zusammen, oder auch mit der Umbenennung und Neuausrichtung von True Image in eine Aboversion, sodass seitens Acronis gar kein Interesse besteht sich zu engagieren (?).

Kennt jemand von euch eine Backup-Software, die mit Bitlocker diesbezüglich umgehen kann?

Mit der Bitte um Unterstützung und mit besten Grüßen,
wischwei
 
Anzeige
Problem gelöst!
Ich bin "zurückgerudert" auf die Version 2020. Und damit funzt es 👍

Trotzdem:
Kennt jemand von euch eine Backup-Software, die mit Bitlocker diesbezüglich umgehen kann?

Ein schönes Wochenende und beste Grüße,
wischwei
 
Hallo @wischwei,

üblicherweise werden Backups, auch von Bitlocker verschlüsselten Platten und Partitionen, unverschlüsselt vom Backupprogramm gespeichert.

Beim Restore lösche ich immer die zu überschreibende Festplatte mittels dem Diskpart Kommando "clean". Manage-bde benötige ich gar nicht, nur, wenn ich ein Backup durchführe, welches vom USB Stick gestartet wurde, um die zu sichernde Festplatte zu entschlüsseln.

Das Rettungsmedium von Macrium Refect beinhaltet ein cmd Fester in dem man manage-bde Befehle absetzen kann.
Sollen nur einzelne Dateien aus einem Backup wiederhergestellt werden, sollten die IMHO zunächst an einem anderen Ort wiederhergestellt werden und nicht auf dem Bitlockerverschlüsselten LW.
 
Moin,

bei Macrium Reflect kann man die BItlockerunterstützung beim Bootmedium erstellen aktivieren.
Unbenannt.JPG


@edit: Ich habe aber die Vollversion!
 
Eigentlich sollte jede Backupsoftware funktionieren bei der ein Sektor basierendes Backup einstellbar ist. Nachteil bei dieser Variante die Backups sind größer da jeder Sektor der SSD/HDD gesichert wird und das erstellen des Backups geht dementsprechend länger da auch nicht genutzte Sektoren gesichert werden.
 
Was hat dies aber mit dem Bitlocker zu tun? Es geht mir um das Recovery eines Systembackups, bei dem z. B. die Ziel-NVMe (C:) mit Bitlocker verschlüsselt ist und das System korrupt ist und nicht mehr startet.

@wetterauer, Chang
Ich werde mir Macrium Reflect näher anschauen.
 
Dieses Procedere kenn ich.
Es geht mir darum im Zuge eines Restore die Zielplatte zu entschlüsseln und das Image darüberzubügeln.
Denn, wenn die Rücksicherung nicht klappt, ist das System futsch.

Ich konnte so früher mit True Image meine Systemplatte wieder herstellen, ohne dass ich sie wieder erneut verschlüsseln musste. Ich hatte sie während des Restore auf unlock gestellt, mit manage-bde -unlock.....
Denn, wenn ich erneut verschlüssele, dann muss ich den Bitlocker-Schlüssel wieder an verschiedenen sicheren Orten speichern.

@wetterauer
Hast du das schon mal so ausgeführt?

Ich habe mir zwischenzeitlich Macrium Reflect heruntergeladen und ein Systemimage erstellt.
Und nun werde ich mir ein Rettungsmedium erstellen.

wischwei schrieb:
@wetterauer
Hast du das schon mal so ausgeführt?
Zum Vergrößern anklicken....
Hallo, bisher habe ich das noch nicht gebraucht.
 
Macrium Reflect hat vollständigen Bitlocker-Support. D.h. nicht nur mit sektorbasierten Backups, sondern auch ganz normal der dateisystem-basierte Delta Restore (=nur geänderte Daten im Dateisystem werden wiederhergestellt, es wird nicht alles überpinselt).

Man kann sich aussuchen, ob ein "Bitlocker Live Restore" (Verschlüsselung bleibt intakt) oder ein "Unencrypted Restore" stattfinden soll. Für ersteren muss das Bootmedium die Partitionen zuerst entsperren, für zweiteres nicht.
Außerdem kann man bei Macrium die Bitlocker-Keys in das Bootmedium einbetten lassen, dann geschieht das vollautomatisch.

Macrium benutzt für die Wiederherstellung sozusagen die "Bitlocker-aware" Operationen von WinRE, wo der Bitlocker-Layer dazwischengeschaltet ist, d.h. wenn das Volume entsperrt ist, kann man es transparent beschreiben als gäbe es gar kein Bitlocker. Der Bitlocker-Layer ist jedoch bei der Wiederherstellung aktiv und kümmert sich dann darum, dass auch die wiederhergestellten Daten wieder verschlüsselt auf der Partition landen.

True Image hingegen kennt Bitlocker in der Wiederherstellungsumgebung nicht, und schreibt quasi mit direktem Dateisystemzugriff auf die Partition. Dadurch können nur die unverschlüsselten Daten aus dem Image-File ebenso unverschlüsselt geschrieben werden und die Verschlüsselung ist danach weg.

Wenn man Bitlocker nutzt, ist Macrium quasi Pflicht fürs Imagen, mir ist kein anderes Programm bekannt, was das so gut zu 100% transparent und komfortabel umsetzt, sodass null Unterschied im Handling zu einem unverschlüsselten System besteht. Nicht einmal die Bitlocker-Recovery wird getriggert. Man kann sein System genauso in unter 5 Minuten mittels delta restore wiederherstellen, als wäre es ohne Bitlocker. Nerviges neu verschlüsseln braucht man auch nicht.

Ich benutze das auch wirklich sehr häufig, und fahre auf allen SSDs/Festplatten Bitlocker-Verschlüsselung. Funktioniert zu 100% zuverlässig.
Wichtig ist, beim Bootmedium in den Einstellungen Bitlocker-Support und das automatische Entsperren anzuhaken. Dann braucht man auch nicht mit manage-bde rumzurödeln. Außerdem ist das relevant, wenn man aus dem laufenden System aus ein System-Restore mit automatischem Reboot in das Recovery-System auslöst, denn dann läuft der Prozess vollautomatisch durch, und lässt sich dann die Partition nicht entsperren (weil man vergessen hat es für die Recovery-Umgebung zu aktivieren) fällt die Wiederherstellung automatisch auf unverschlüsselten Restore zurück, und es dauert ewig (weil dann alles überschrieben werden muss) und man muss neu verschlüsseln anschließend.
 
Zuletzt bearbeitet:
Hallo mh0001,

vielen Dank für deine ausführliche Infos 🙏
Ich mache seit Jahren schon jeweils Fullbackups meines Systems mit True Image. Die Daten habe ich auf einem weiteren internen NVMe. Dort synchronisiere ich sie mit OneDrive. Und zur weiteren Sicherheit auf externe SSD's mit Hilfe von FreeFileSync.

Also, es geht mir nur um Fullbackups von C: Ich habe mir eine Batchdatei geschrieben, mit der ich mit manage-bde die Zielplatte vor dem Restore mit dem Bitlockerschlüssel auf unlock stellen kann. Ich habe diese Batch auf das USB-Rettungsmedium kopiert und konnte Bitlocker auf der Zielplatte deaktivieren. Allerdings habe ich noch keinen Restore ausgeführt.

Habe ich dich tatsächlich richtig verstanden, nachdem dies gar nicht notwendig ist? Woher weiß dann aber das Rettungsmedium vom Bitlockerschlüssel?
Und ist es dann so, dass ich restoren kann, ohne nachher meine Systemplatte erneut wieder verschlüsseln muss?

Wenn dies so ist, dann ist Macrium Reflect mein zukünfiges System!!! Es macht mir bisher einen sehr guten Eindruck.
 
Halleluja, es geht 👍👍👍

Und zwar automatisch, ich musste nicht eingreifen per Batchdatei.
Aber dennoch bin ich irritiert. Wie kommt Reflect 8 an meinen Bitlockerschlüssel?

mh0001 schrieb:
Macrium benutzt für die Wiederherstellung sozusagen die "Bitlocker-aware" Operationen von WinRE, wo der Bitlocker-Layer dazwischengeschaltet ist, d.h. wenn das Volume entsperrt ist, kann man es transparent beschreiben als gäbe es gar kein Bitlocker. Der Bitlocker-Layer ist jedoch bei der Wiederherstellung aktiv und kümmert sich dann darum, dass auch die wiederhergestellten Daten wieder verschlüsselt auf der Partition landen.
Zum Vergrößern anklicken....
Ah, ok, jetzt verstanden!

Ich danke euch allen für eure Hilfsbereitschaft und wünsch euch noch eine gute Woche.
Beste Grüße,
wischwei
 
wischwei schrieb:
Halleluja, es geht 👍👍👍

Und zwar automatisch, ich musste nicht eingreifen per Batchdatei.
Aber dennoch bin ich irritiert. Wie kommt Reflect 8 an meinen Bitlockerschlüssel?
Zum Vergrößern anklicken....
Super, dass es bei dir auch klappt! :)

Als Hintergrund-Info: Bitlocker hat eine Funktion, mit der man einen Wiederherstellungsschlüssel auf einem externen Laufwerk (z.B. USB-Stick) ablegen kann. Diese legt dann eine versteckte Systemdatei mit dem Schlüssel im Root-Verzeichnis des Laufwerks ab, die Windows dann finden kann, wenn es ein Volume zu entsperren gibt und das entsprechende Medium angeschlossen ist. Macrium bedient sich dieser Funktionalität und legt einfach ein solches Schlüsselbackup im Bootimage ab.

Machst du nach Erstellen der Bitlocker-fähigen Macrium-Bootumgebung (mit automatischem Unlock) ein "manage-bde -status C:" (bzw. entsprechendem Buchstaben), wirst du einen neu dazugekommenen "Externen Schlüssel" unter den "Schlüsselschutzvorrichtungen" finden.
Dies ist der externe Schlüssel, den Macrium erzeugt (vermutlich mittels manage-bde-Aufruf) und ins Bootmedium integriert hat.

Erzeugt man das Macrium-Bootmedium auf z.B. einem USB-Stick und nicht als zusätzliche Bootoption auf dem Bitlocker-geschützten internen Laufwerk und aktiviert man den automatischen Unlock, muss man allerdings berücksichtigen, dass dieser Stick von nun an in der Lage ist, die internen Laufwerke zu entschlüsseln. Bringt jemand Drittes deinen Macrium-Stick dann in seinen Besitz, kommt er überall damit ran. Das ist dann also wirklich nur etwas für den USB-Stick, den man am Schlüsselbund immer mit sich trägt.

Die sichere Alternative ist Bitlocker mittels TPM und PIN, und dann Macrium die bootfähige Umgebung auf der Systempartition anlegen lassen (mitsamt zusätzlicher Bootoption/Multiboot im Windows Boot Manager). Bootet man dann Macrium, erfolgt nämlich auch eine PIN-Abfrage weil die Bootdatei dann innerhalb der Bitlocker-verschlüsselten Partition liegt. Auf diese Weise hat man automatischen Unlock in der Bootumgebung, aber auch nur dann wenn man vorher die PIN eingegeben hat :)
 
Danke @mh0001,

das ist ein erstklassige Erklärung des Umgangs von Macrium Reflect im Zusammenhang mit Bitlocker. Insbesondere schätze ich deinen Hinweis in Bezug auf das Risiko einen USB Stick mit automatischen Unlock zu verwenden. 👍
 
Danke @mh0001, von mir auch 🙏

Ich habe mir das ungefähr so vorgestellt.
Meinen Rettungs-Stick bringe ich ohnehin immer in Sicherheit, aber gut, dass du noch mal darauf hingewiesen hast.

Hier noch einmal:
Ich bin ganz angetan von Macrium Reflect. Das Userinterface ist zwar etwas komplex und im ersten Moment ein bisschen unübersichtlich, aber nach kurzer Einarbeitung sieht mal die vielen Möglichkeiten, die es bietet.

Also, noch mal vielen Dank für deine/eure Unterstützung und beste Grüße,
wischwei
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Status
Dieses Thema wurde gelöst! Lösung ansehen…
Anzeige
Oben