Anzeige

Am Puls von Microsoft

Anzeige

Windows 11: Version 24H2 könnte Bitlocker-Verschlüsselung für Home-Edition bringen

DrWindows

Redaktion
Windows 11: Version 24H2 könnte Bitlocker-Verschlüsselung für Home-Edition bringen
von Kevin Kozuszek
Bitlocker Symbol - Festplattenverschlüsselung unter Windows


Windows 11 könnte mit der später im Jahr erscheinenden Version 24H2 nicht nur ein großes Update mit neuen KI-Funktionen bekommen, auch mehr Möglichkeiten beim Thema Datenschutz und Sicherheit könnten ein Thema werden. Mit Bitlocker könnte ein alter Bekannter hier eine zentrale Rolle einnehmen, die entgegen der Praxis vergangener Versionen von Windows auch die Home-Edition umfasst.

Darauf deutet ein neuer Bericht der Kollegen von Deskmodder hin. Die Neuerung versteckt sich nach Aussage der Kollegen im überarbeiteten Setup, was man bei einer Neuinstallation von Windows 11 24H2 zu Gesicht bekommt. Haben die OEMs im UEFI einen Flag integriert, dass die Laufwerke bei einer Neuinstallation verschlüsselt werden sollen, führt Windows das dann im Hintergrund aus – auch bei Windows 11 Home. Außerdem werden die normalen Rechner eine neue Einstellung bei der Gerätesicherheit bekommen, der die Verschlüsselung standardmäßig aktiviert. Nutzer müssen also darauf achten, diese rechtzeitig zu deaktivieren, wenn sie das nicht wollen.

Das Vorgehen passt zur jüngsten Reaktion von Satya Nadella, Sicherheit zur absoluten Priorität bei Microsoft zu machen, nachdem die Redmonder zuletzt mit zahlreichen Angriffen aus Russland und China für Schlagzeilen sorgten. Neben der Secure Future Initiative, die auf insgesamt 6 Säulen aufbauen soll, plant Microsoft weitere Funktionen auch in Windows. So soll für Unternehmen bald Zero Trust DNS unterstützt werden.


Hinweis: Der Artikel wird möglicherweise nicht vollständig angezeigt, eingebettete Medien sind in dieser Vorschau beispielsweise nicht zu sehen.

Artikel im Blog lesen
 
Anzeige
Bitlocker mit TPM o.ä. konnte schon Windows Home 10 oder 8.

Edit:
Nennt sich Windows Device Encryption.
 
Zuletzt bearbeitet:
Tag, der Artikel ist fehlerhaft. Es gibt bereits bei W11 home eine rudimentäre BL Chiffrierung. Das Dumme ist, dass diese ohne Vorwarnung bzw. Meldung an den unbedarften User aktiviert wird. Jetzt wird es noch übler: Der Wiederherstellungskey wird ungefragt (nach meiner Meinung ein sehr schwerer Verstoß gegen die DSGVO) im MS Konto hinterlegt, falls der User eins hat. (Soll solch Leute geben) Wenn nicht, gibt es weder eine Warnung noch eine Möglichkeit den Wiederherstellungskey zu sichern. Ich hatte den Fall (W11 home 23h2), dass ein Bekannter nach einem Fehler nach dem Wiederherstellungskey gefragt wurde. Der wusste nicht mal, was das ist. Glücklicherweise war das so ein unbedarfter User, der tatsächlich ein MS Konto nutzt ... Nach der Anmeldung hatte der dann wieder Zugriff.

Ich weiß jetzt nicht, ob das nur auf die Systempartition zutrifft, Vermutung: Wahrscheinlich.
Haben die OEMs im UEFI einen Flag integriert, dass die Laufwerke bei einer Neuinstallation verschlüsselt werden sollen, führt Windows das dann im Hintergrund aus – auch bei Windows 11 Home.

Wenn das bei der pro so ist, wird es schon wieder rechtlich fraglich! Denn bevor man BL bei der pro nutzt, setzt man über die GPO die Stärke auf 256 und bestimmt das Anmeldeverhalten. Nachträglich lässt sich zumindest die Chiffrierstärke nicht mehr ändern. Es sei, man dechiffriert das Laufwerk und setzt die GPO und chiffriert neu.

Aber in Sachen Sicherheit hat es MS eh nicht! Siehe, dass die BL Schwachstelle der Recovery-Partition bei W10 offiziell nicht mehr geschlossen wird! Das ist auch schon rechtlich bedenklich! Und Betrug am User, der ja die Pro exakt deshalb kauft, weil dort BL administrierbar ist.

Das nicht schließen dieser Schwachstelle ist geradezu kriminell! Ausrede: Dazu braucht der Angreifer physikalischen Zugriff auf das Gerät - döfer geht es nicht mehr! Denn BL ist ja EXAKT für diesen Fall geschaffen wurden! Meine Meinung!

Meinungen?
 
Bitlocker mit TPM o.ä. konnte schon Windows Home 10 oder 8.

Edit:
Nennt sich Windows Device Encryption.
Ja, die Device Encryption gab es auch schon bei den Windows Phone und basierte auch da schon prinzipiell auf dem bitlocker stack, der mit Windows 7 eingeführt wurde.

Wenn es jetzt heißt es könne mit einem UEFI Flag durch OEMs auch für Windows home eingeführt werden, fällt mir dazu als erstes bitlocker mit HW encryption in Verbindung mit einer OPAL-fähigen SSD ein. Das ist bisher ausschließlich mit Pro, Enterprise oder EDU möglich, da dazu eine Gruppenrichtlinie notwendig ist und es dazu auch keine funktionierenden Registry Hacks für Home gibt. Außerdem müssen dazu
1. die SSD zum vor der Installation entsprechend konfiguriert werden
2. eine Einstellung zum Installationszeitpunkt im UEFI gesetzt sein
Beides sind bei Consumer-Geräte bisher keine gängigen Features.
OPAL-SSDs mit entsprechendem crypto-Prozessor sind teuerer.

Die Installation ist - auch für OEM mit Windows Pro - aufwändiger, so dass auch Business Maschinen, die prinzipiell diese Voraussetzungen mitbringen, mit SW Bitlocker ausgeliefert werden.
Dazu kommt, dass SW Bitlocker in Windows default ist und wie oben erwähnt nur bei der Installation und mit entsprechenden UEFI flags GPO die HW encryption einer OPAL SSD aktiviert werden kann.

Ich habe inzwischen schon einige Thinkpads neu installiert, um sie auf HW bitlocker umzustellen. Eine bessere Performance merkt man zumindest bei IOPS-intensiven Anwendungen.
Wenn man nur Office und Co. nutzt, ist der Unterschied eher zu vernachlässigen. Dazu kommt, dass die meisten Nutzer gar keinen Vergleich auf derselben HW zwischen den Verschlüsselungsvarianten ziehen können.

Ein letzter Schubser für mich, sich endlich mit HW Bitlocker auseinanderzusetzen, war der Artikel zu dem Bitlocker-HW-hack Anfang des Jahres, in dem beschrieben ist, wie die Kommunikation zwischen CPU und TPM abgegriffen werden kann.

Beim Surface habe ich nach mehreren Installionsversuchen aufgegeben und bleibe bei SW Bitlocker.

Vielleicht wird mit dieser Änderung für neue Maschinen HW Bitlocker einfacher zu aktivieren. Das setzt aber tatsächlich voraus, das Microsoft und die Hardwarehersteller ein paar Grundlegende Änderungen vornehmen. Ein Link zu den findings von Deskmodder währe noch nett @Kevin Kozuszek 😉 Vielleicht validiere ich meine Vermutungen zu dem Thema dann, wenn ich die eine nächste Maschine auf HW Bitlocker umstelle für einen deep-dive-follow-up.
 
Zuletzt bearbeitet:
Tag, der Artikel ist fehlerhaft. Es gibt bereits bei W11 home eine rudimentäre BL Chiffrierung.
Ja, Device Encryption gab es bereits beim Windows Phone. Den Artikel deswegen als fehlerhaft zu bezeichnen, ist absolut unangemessen. Die Bezeichnung ist anders und es könnte auch mehr dahinterstecken. Außerdem ist der Artikel eine Referenz auf einen Beitrag auf Deskmodder mit gleichem Titel.
Das Dumme ist, dass diese ohne Vorwarnung bzw. Meldung an den unbedarften User aktiviert wird.
Passiert bei anderen Betriebssystemen auch und es gibt z.B. bei iOS abgesehen vom iCloud Backup keinerlei Recovery.
Jetzt wird es noch übler: Der Wiederherstellungskey wird ungefragt (nach meiner Meinung ein sehr schwerer Verstoß gegen die DSGVO) im MS Konto hinterlegt, falls der User eins hat.
Wenn man sich mit einem MS Konto am Rechner anmeldet, werden bereits Credentials und viele andere personenbezogene bei MS in der Consumer Cloud gespeichert und man hat - auch wenn man sie nicht gelesen hat - AGBs, Data Privacy und anderen Dingen zugestimmt. Insofern gibt es da keinen Konflikt zur GDPR.
Wenn nicht, gibt es weder eine Warnung noch eine Möglichkeit den Wiederherstellungskey zu sichern. Ich hatte den Fall (W11 home 23h2), dass ein Bekannter nach einem Fehler nach dem Wiederherstellungskey gefragt wurde. Der wusste nicht mal, was das ist. Glücklicherweise war das so ein unbedarfter User, der tatsächlich ein MS Konto nutzt ... Nach der Anmeldung hatte der dann wieder Zugriff.
Da ich never ever Home in den Finger hatte und generell ein MS Konto empfehle, bin ich nicht sicher, ob bisher ohne MS Konto auch Device Encryption aktiviert wird. Ansonsten gilt auch die Unkenntnis die Prämisse, die auch bei Rechtsverstößen gilt: Unwissenheit schützt nicht vor Strafe.
Das gilt übrigens auch bei Datenverlust ohne Backup. Insofern schütze Maßnahmen wie "Kontozwang" und OneDrive Folder Redirection gerade unbedarfte Nutzer und es wird milliardenfach auch auf Android und iOS unter ähnlichen oder härteren Prämissen hingenommen, da man sie gar nicht ohne Konto bei Google oder Apple nutzen kann.
Ich weiß jetzt nicht, ob das nur auf die Systempartition zutrifft, Vermutung: Wahrscheinlich.
Abgesehen davon, dass Deskmodder - mal wieder - lustig auf Reg-Hacks um Sicherheit auszuhebeln hinweisst und auch sonst nichts substantielles beigetragen hat, bleibt es auch da bei Vermutungen.
Wenn das bei der pro so ist, wird es schon wieder rechtlich fraglich! Denn bevor man BL bei der pro nutzt, setzt man über die GPO die Stärke auf 256 und bestimmt das Anmeldeverhalten. Nachträglich lässt sich zumindest die Chiffrierstärke nicht mehr ändern. Es sei, man dechiffriert das Laufwerk und setzt die GPO und chiffriert neu.
Ja, bitlocker ist bei Pro und Enterprise managebar und wenn man es entsprechend einsetzt und auch die dokumentierten GPOs etc. verwendet - lesen hilft auch da - ist das OK
Aber in Sachen Sicherheit hat es MS eh nicht! Siehe, dass die BL Schwachstelle der Recovery-Partition bei W10 offiziell nicht mehr geschlossen wird! Das ist auch schon rechtlich bedenklich! Und Betrug am User, der ja die Pro exakt deshalb kauft, weil dort BL administrierbar ist.
Das nicht-verschlüsseln der RE-Partition als rechtlich bedenklich und Betrug oder sogar kriminell darzustellen is utter BS! Dieter Nuhr würde dazu sagen: "Wer keine Ahnung hat ...."

1. Welche schützenswerten Daten speichern Nutzer in der RE-Partition, die es notwendig machen diese Partition zu verschlüsseln?

2. Die Partition dient dem Recovery des OS im Notfall oder um es generell neu aufzusetzen. Wenn diese verschlüsselt, wird dieser erschwert bzw. unmöglich. Die RE-Partition wird seit Windows 7 nicht im Rahmen von SW Bitlocker verschlüsselt. Wenn man im professionellen Umfeld HW Bitlocker verwendet, wird die gesamte DISK verschlüsselt, was auch ein Grund für das aufwändigere Setup ist, das ich beschrieben habe.
Das nicht schließen dieser Schwachstelle ist geradezu kriminell! Ausrede: Dazu braucht der Angreifer physikalischen Zugriff auf das Gerät - döfer geht es nicht mehr! Denn BL ist ja EXAKT für diesen Fall geschaffen wurden! Meine Meinung!

Meinungen?
Dazu habe ich bereits im Februar einiges geschrieben und würde ergänzen, dass die damals bekannt gewordene HW-Backdoor durchaus eine Berechtigung für Recovery und Datenrettung haben kann.
Abgesehen davon gibt es - zumindest für professionelle Umgebungen - HW Bitlocker mit OPAL mit allen Vor- und Nachteilen in Setup, Betrieb und bei der erweiterten Datensicherheit.


OT: Windows-Hobbyisten oder Linux-Pros können übrigens mit SEDUtil o.a. ebenfalls die HW encryption von OPAL-Disks ohne Bitlocker nutzen. Dazu muss man noch mehr lesen und verstehen und wenn man dabei einen Fehler macht oder sich bei einem Recovery vertippt, muss man die SSD ausbauen, um sie mit einem Hersteller-Tool und einem aufgedruckten Code zu resetten. Es kann eine neue SSD fällig werden, wenn ein solcher Factory-Reset nicht funktioniert.
Abgesehen davon gibt es auch professionelle 3rd-Party-Lösungen für das zentrale Management von OPAL.

Ansonsten nutze ich Bitlocker seit Dezember 2008, weil ich damals in einer entsprechenden Pilot-Gruppe war und mit dem lokalen internen IT-Support ein Bitlocker-Roll-Out-KPI-Dashboard gebaut habe, bevor Bitlocker global mit Windows 7 beta ausgerollt wurde.
 
Zuletzt bearbeitet:
@Bernd-N
Deine Ausführungen in allen Ehren,
aber ich verstehe nicht was für einen Sinn es macht, gegen Nutzer zu hetzen, die ein Microsoft-Konto mit dem Ziel verwenden, mehrere Geräte inklusive Phone übergreifend zu synchronisieren, und diese User somit als "unbedarft", also "dumm" hinstellt.
Es kann ja nicht mehr jeder
"digitaltechnisch" in den 90ern leben.

Gruss Woodchip
 
Zuletzt bearbeitet von einem Moderator:
Es gibt bereits bei W11 home eine rudimentäre BL Chiffrierung. Das Dumme ist, dass diese ohne Vorwarnung bzw. Meldung an den unbedarften User aktiviert wird. Jetzt wird es noch übler: Der Wiederherstellungskey wird ungefragt (nach meiner Meinung ein sehr schwerer Verstoß gegen die DSGVO) im MS Konto hinterlegt, falls der User eins hat. (Soll solch Leute geben) Wenn nicht, gibt es weder eine Warnung noch eine Möglichkeit den Wiederherstellungskey zu sichern
Hatte ein Gerät von Asus, das mit Windows 10 Home ausgeliefert wurde.
Device Encryption war ab Werk aktiv.
Logischerweise ohne MS Account.
Keine Ahnung wie man da an die Keys kommen sollte. Wenn man das nicht mitbekommt, sehr gefährlich.

Hab die Verschlüsselung abgeschaltet bzw. dann sowieso neu installiert.
 
@Woodchip Danke für die kurze und treffende Zusammenfassung meiner Ausführungen :D
Ich verbitte es mir aber als unbedarft zu klassifiziert zu werden, wobei diese Klassifizierung nicht von Dir kommt - oh wait, ich mache das ja bewusst ;)

Hatte ein Gerät von Asus, das mit Windows 10 Home ausgeliefert wurde.
Device Encryption war ab Werk aktiv.
Logischerweise ohne MS Account.
Keine Ahnung wie man da an die Keys kommen sollte. Wenn man das nicht mitbekommt, sehr gefährlich.

Theoretisch sollte das mit Powershell funktionieren - ohne Gewähr -, aber dazu müsste man Ahnung haben und für die Zielgruppe der Home User oder unmanaged Devices ist aus unterschiedlichen Gründen eine Verbindung mit dem MS-Konto durchaus sinnvoll.


Ich bekomme jedes Mal eine mittelschwere Kriese, wenn ich sehe, dass irgendjemand mit ungesundem Halbwissen und wie @Woodchip schon geschrieben hat digitaltechnisch in den 90iegern stecken geblieben ist, jemandem der gar keine Ahnung, ein Windows 10 oder 11 ausschließlich mit lokalem Konto mit Admin-Rechten eingerichtet hat.
Nicht umsonst gibt es inzwischen ein paar sinnvolle Hürden, nicht an einem Online-Konto vorbei zu kommen.

Wenn man wie es inzwischen tue, wenn es mir bei einem Gerät möglich und notwendig ist, die HW Bitlocker Encryption bzw. auch SW Bitlocker per Powershell aktiviert, hat man gar keinen Recovery Key, wenn man ihn nach der Aktivierung generiert und in Entra und/oder Active Directory sichert. Das lässt sich auch per GPOs, Intune oder SCCM wunderbar automatisieren.

Ja, ich habe sogar managed Devices, bei denen ich aus unterschiedlichen Gründen auf Bitlocker verzichte aber die verlassen nicht die 4 Wände, in denen sie betrieben werden und halten auch sonst keine kritischen Daten.
 
Zuletzt bearbeitet von einem Moderator:
Das Dumme ist, dass diese ohne Vorwarnung bzw. Meldung an den unbedarften User aktiviert wird.
Das ist kein Bug, sondern ein Feature. Microsoft sorgt sich eben um die Sicherheit der Anwender und deren Daten, insbesondere jener mit wenig bis gar keinen Computer-(-Grund-)Kenntnissen). Das kann man jetzt ernst meinen oder ironisch sehen. Außerdem wird sich in den schwammigen AGB von Windows bestimmt ein Hinweis darauf finden. Und diesen hat bestimmt jemand vor der Erstbenutzung des Gerätes zugestimmt...
 
Das ganze funktioniert aber nur brauchbar mit einem Microsoft-Benutzerkonto. Dabei wird der Schlüssel automatisch im Microsoft-Konto gespeichert.
Aber es ist ja sowieso schwierig, dem Microsoft-Benutzerkonto zu entgehen.
 
Das ist kein Bug, sondern ein Feature. Microsoft sorgt sich eben um die Sicherheit der Anwender und deren Daten, insbesondere jener mit wenig bis gar keinen Computer-(-Grund-)Kenntnissen). Das kann man jetzt ernst meinen oder ironisch sehen. Außerdem wird sich in den schwammigen AGB von Windows bestimmt ein Hinweis darauf finden. Und diesen hat bestimmt jemand vor der Erstbenutzung des Gerätes zugestimmt...
Zumindest wird es deutlich und in halbwegs einfacher Sprache auf entsprechenden Hilfe-Seiten beschrieben, wie man Bitlocker bzw. Device Encryption recovern kann.
und was die Geräteverschlüsselung bedeutet

Die Wiederherstellung o.a. mit Hilfe der Recovery-Partition sicherzustellen ist im Übrigen der Grund für oben von jemand kolportieren "rechtlich bedenklichen Betrug" sie nicht zu verschlüsseln.
Das würde ironischerweise mit einer verschlüsselten Recovery Partition äußerst schwierig bis unmöglich. 🤷‍♂️
Aber es ist ja sowieso schwierig, dem Microsoft-Benutzerkonto zu entgehen.
Und das ist GUT so!

Bei z.B. iOS-Geräten im Retail-, Consumer-, Telco-Umfeld seit je her unmöglich ein Gerät überhaupt in Betrieb zu nehmen, wenn man keine Apple-ID hat.

Lediglich für iPhones oder iPads, die im Rahmen vom Corporate Purchase Programm bezogen werden und registriert sind, kommt man an einer Apple-ID vorbei. Allerdings muss sich man in dem Fall als Unternehmensnutzer mit dem entsprechenden Unternehmenskonto z.B. einem Entra- oder hybrid-Konto am MDM z.B. Intune anmelden. Da wird muss der Support dann vom Unternehmen und nicht von Apple gewährleistet werden und der Apple Support ist tatsächlich raus aus der Nummer.

Wer Windows bei der Installation "austrickst", wie vielfach geschrieben wird, um dem ach so "bösen Kontozwang" der bei Apple auch hingenommen wird, zu umgehen, muss sich hinterher nicht wundern, bei Problemen im Regen zu stehen und nur die Möglichkeit zu haben, den Rechner neu aufzusetzen und ggf. auch mit dem Datenverlust leben. Und selbst dann wird wieder auf den Hersteller geschimpft, weil er nicht hilft bzw. gar nicht helfen kann.

It's not a bug, it's a feature!

Vieles was hinkt ist oft ein Vergleich aber wenn selbst man an der Sicherheit eines Fahrzeuges z.B. den Bremsen schraubt, wer wird dann bei einem Unfall zur Verantwortung gezogen?
Nicht der Hersteller, nicht der TÜV und auch nicht die Werkstatt, in der man nicht war, um die Bremsen instand zu halten, sondern Halter und Fahrer!
So sehr hinkt der Vergleich eigentlich nicht, denn ich habe die Bremsanlage an meinem Motorrad gegen eine modernere Anlage von einer größeren Maschine ausgetauscht.
In dem Fall hat tatsächlich inzwischen der TÜV zumindest eine juristische Mitverantwortung falls etwas passiert, denn die Bremsanlage ist abgenommen und eingetragen und die Maschine wird alle 2 Jahre geprüft.
In dem Fall habe ich die Sicherheit, die der Hersteller und Zulassungsbehörden in den 90iegern als ausreichend erachtet haben, allerdings verbessert und nicht verschlechtert!
 
Hatte ein Gerät von Asus, das mit Windows 10 Home ausgeliefert wurde.
Device Encryption war ab Werk aktiv.
Logischerweise ohne MS Account.

Da ist dann ein sogenannter Null-Cipher installiert. Die Disk ist zwar verschlüsselt, es gibt aber gar keinen Schlüssel. Der wird erst generiert, wenn der Nutzer sich mit dem Microsoft Konto angemeldet hat und dann in diesem gespeichert.

Bitlocker mit TPM o.ä. konnte schon Windows Home 10 oder 8.

Mich wundert allgemein der Bericht von Deskmodder da etwas. Wenn ein Gerät die entsprechenden Voraussetzungen hat, wird doch bereits seit Jahren automatisch die Verschlüsselung aktiviert. Sowohl bei Home als auch Pro und Enterprise. Was soll denn da jetzt mit 24H2 die Änderung sein?

In msinfo32.exe findet man unten den Punkt "Unterstützung der Geräteverschlüsselung" und dort wird aufgezählt, ob das halt klappt oder warum es auf diesem Gerät nicht klappt.

Der Hersteller des Gerätes muss da auch keine Funktion im UEFI für setzen, sondern das Gerät muss halt bestimmte Hardware-Voraussetzungen haben, z.B. ein TPM oder keine DMA-fähigen Busse.
 
Mich wundert allgemein der Bericht von Deskmodder da etwas. Wenn ein Gerät die entsprechenden Voraussetzungen hat, wird doch bereits seit Jahren automatisch die Verschlüsselung aktiviert. Sowohl bei Home als auch Pro und Enterprise. Was soll denn da jetzt mit 24H2 die Änderung sein?
Bei Deskmodder wundert mich gar nichts.
In msinfo32.exe findet man unten den Punkt "Unterstützung der Geräteverschlüsselung" und dort wird aufgezählt, ob das halt klappt oder warum es auf diesem Gerät nicht klappt.

Der Hersteller des Gerätes muss da auch keine Funktion im UEFI für setzen, sondern das Gerät muss halt bestimmte Hardware-Voraussetzungen haben, z.B. ein TPM oder keine DMA-fähigen Busse.
Mit msinfo kann man sehen, ob die Disk HW encryption prinzipiell unterstützt. Das könnte man auch in den Device-Details sehen, falls Du darauf hinauswillst.

Bei der Einrichtung von Bitlocker mit HW encryption müssen auch im UEFI ein paar Einstellungen zum Installationszeitpunkt gesetzt sein. Das werden sie aber ohne entsprechenden Auftrag für kundenspezifische Installationen nicht tun. Der default ist SW Bitlocker. Selbst wenn entsprechende HW verbaut ist, darf Bitlocker nicht aktiviert werden, bevor nicht die entsprechende GPO für den Cipher (128, 256, HW) gesetzt ist.

Meine Vermutung - siehe oben - wäre für Home OEM auch HW encrypted bitlocker zu ermöglichen, wie es derzeit nur mit Pro und Enterprise und einigem Aufwand möglich ist.

Das ist derzeit mit Home nicht möglich.

Sowohl die Disk muss entsprechend clean und konfiguriert sein:
  • The drive must be in an uninitialized state
  • The drive must be in a security inactive state
Als auch ein paar Settings im UEFI passend gesetzt sein.
  • The computer must be UEFI 2.3.1 based and have the EFI\_STORAGE\_SECURITY\_COMMAND\_PROTOCOL defined. This protocol is used to allow programs running in the EFI boot services environment to send security protocol commands to the drive
  • The computer must have the compatibility support module (CSM) disabled in UEFI
  • The computer must always boot natively from UEFI
Falls Du einen einfacheren Weg kennst, Bitlocker mit HW encrypted drives zu verwenden als die entsprechenden Vorbereitungen vor der Windows Installation zu machen und die HW encryption mit GPO und/oder cmdlet zu erzwingen, wäre ich dankbar.
 
Sorry,
hatte mich da nicht sauber ausgedrückt! Es geht nicht um die Chiffrierung der RE Partition, logisch. Es geht darum, dass MS einräumen musste, dass durch einen Fehler in der RE (siehe Berichte zum Januar Patch) eine Umgehung von BL im System möglich ist. Wurde auch hier bei DrW berichtet.

Was an einem MS Konto gut ist, diese Diskussion führe ich nicht! Selbst hier auf DrW wurde schon von maximalen Desastern berichtet. Weiterhin, wer etwas auf dem Stand ist, weiß, MS hatte Ende 2023 den Gau im Cloud-System.
Die Wiederherstellung o.a. mit Hilfe der Recovery-Partition sicherzustellen ist im Übrigen der Grund für oben von jemand kolportieren "rechtlich bedenklichen Betrug" sie nicht zu verschlüsseln.
Das würde ironischerweise mit einer verschlüsselten Recovery Partition äußerst schwierig bis unmöglich. 🤷‍♂️
 
Mit msinfo kann man sehen, ob die Disk HW encryption prinzipiell unterstützt. Das könnte man auch in den Device-Details sehen, falls Du darauf hinauswillst.

Es geht nicht um Bitlocker mit Hardwareverschlüsselung.

Ich wollte auf genau den Punkt hinaus, den ich zitiert hatte. msinfo zeigt an, ob das Gerät eine automatische Bitlocker-Verschlüsselung unterstützt. Und das halt schon mit Windows 10.

Meine Vermutung - siehe oben - wäre für Home OEM auch HW encrypted bitlocker zu ermöglichen, wie es derzeit nur mit Pro und Enterprise und einigem Aufwand möglich ist.

Glaube ich nicht. Bitlocker mit Hardware ist umständlich und die Vorteile sind minimal. Dafür hat man plötzlich Abhängigkeiten von dutzenden SSD-Herstellern und deren evtl. fehlerhafter Implementierung. Das wird man sicherlich nicht pushen.
 
BL mit HW Unterstützung wurde von MS exlizit deaktiviert und muss per GPO aktiviert werden. Der Grund war, dass viele HW Chiffrierungen fehlerhaft sind und extern nicht (Betriebsgeheimnis) geprüft werden können.

Glaube ich nicht. Bitlocker mit Hardware ist umständlich und die Vorteile sind minimal. Dafür hat man plötzlich Abhängigkeiten von dutzenden SSD-Herstellern und deren evtl. fehlerhafter Implementierung. Das wird man sicherlich nicht pushen.

Das stimmt nicht:

Wenn ein Gerät die entsprechenden Voraussetzungen hat, wird doch bereits seit Jahren automatisch die Verschlüsselung aktiviert. Sowohl bei Home als auch Pro und Enterprise.
 
Nicht? Dann muss ich mir die automatische Verschlüsselung diverser Geräte hier wohl eingebildet haben.
 
Anzeige
Oben