Das ist doch der Zweck von Bitlocker, dass sonstige Boot-Möglichkeiten
nicht auf die Daten zugreifen können
Pauschal so nicht korrekt. Dafür sind die Recovery Keys von Bitlocker da.
In der Praxis ist es so: Jede Änderung der Booteinträge (z.B. mittels BCDEDIT) des Windows Boot Managers invalidiert die automatische Bitlocker-Freigabe mittels TPM.
Dann erscheint bei einem Neustart die Aufforderung, den Recovery-Key einzugeben. Das tut man dann einfach und das unlocked die Partitionen. Technisch gesehen ist die automatische Freigabe mittels TPM+PIN absolut identisch zum Unlock mittels Recovery-Key. Der Recovery-Key ist auch nicht mehr als ein numerisches Passwort, welches das Laufwerk unlocked. Da wird das Laufwerk weder bei entschlüsselt noch Bitlocker zurückgesetzt. Es ist nur eine Authentifizierungsmethode unter vielen. Der Unterschied ist, dass man selber in die Tasten haut und die lange Ziffernfolge eingibt, und das nicht das TPM für einen erledigen lässt (denn mehr passiert beim TPM-Unlock letztlich auch nicht).
Das Bootmedium von Macrium Reflect hat beispielsweise auch vollen Bitlocker-Support und integriert beim Erstellen desselbigen gleich die Keys in das Bootmedium, damit ohne Eingabe des Recovery-Keys die Reflect-Live-Umgebung gebootet und auf die Laufwerke zugegriffen werden kann.
Was tut Reflect dafür? Es ruft die Bitlocker-Funktion zum Sichern des Recovery-Keys für jede gesicherte Partition auf und hinterlegt diesen in einer txt-Datei auf dem Bootmedium. Beim davon Booten wird dann "manage-bde" mit diesen txt-Dateien als Parameter aufgerufen und die Laufwerke entsperrt.
Das gleiche passiert auch, wenn man in den erweiterten Startoptionen von Windows zur Problembehandlung in eine Eingabeaufforderung booten will. Dadurch werden die Booteinträge auf Windows RE geändert, infolgedessen triggert das auch die Freischaltung mittels Recovery Key. Mit dem Defender Offline-Scan verhält es sich ganz genauso.
Ich habe mir auch schonmal selber manuell einen WinPE-Bootstick gebastelt, wo ich die entsprechenden Commands automatisiert eingebaut habe. Da lässt man einfach beim Start ein Batch-Script laufen, wo man für jede Partition einen Befehl abtickern lässt:
"manage-bde -unlock C: -recoverypassword XXXXXXXXXXXX"
usw. und so fort
Danach verhält sich in der Bootumgebung alles ganz normal und man kann die verschlüsselten Partitionen ganz normal nutzen. Man müsste mal in ein erstelltes Defender Offline - Bootmedium gucken. Wenn das auf WinRE oder WinPE basiert (wovon ich ausgehe), gibt es da eine Batch die dann nach erfolgtem Start auch den Defender-Scan startet. Da könnte man die Aufrufe zum unlocken der Partition davorknallen, dann ginge es automatisiert.
Gibt es eine Möglichkeit "von Hand" den Windows Defender Offline den Key beizubringen? Das Booten in das "normale" Windows funktioniert ohne Probleme - d.h. C Laufwerk wird automatisch freigeschaltet...
Probier mal folgendes: Geh in die Bitlocker-Systemsteuerung, mach "Wiederherstellungsschlüssel sichern" und dann "Auf USB-Speicherstick speichern". Für jede Bitlocker-Partition, und alles auf denselben Stick.
Diesen Stick lässt du dann gesteckt wenn du den Defender Offline-Scan ausführst.
Hintergrund ist, das Bitlocker im Recovery-Modus erstmal alle USB-Sticks abscannt ob da irgendwo der Recovery-Key drauf ist, bevor um manuelle Eingabe gebeten wird.
Genau so behauptet es auch der in dem Microsoft-Forum:
Unable to perform Windows Defender Offline scan with BitLocker - Microsoft Community
Dessen Problem war nur, dass er diesen Stick nachdem ihn Bitlocker fragt, nicht erzeugt hatte vorher:
but when my computer restarts to perform Windows Defender Offline scan, it requires me to use USB with unlock key to unlock the BitLocker encryption and there is no other option for me to choose
Genau diesen USB-Stick produzierst du eigtl. mit der Backup auf USB-Speicherstick Funktion.
Der Nachteil dieser Methode liegt natürlich auf der Hand: Den Stick solltest du am besten am Schlüsselbund tragen und nicht aus der Hand geben, denn damit kann dann jeder dein Bitlocker aufmachen.