Windows 10 Version 1607: Hyper-V/Bitlocker/DeviceGuard als Upgrade-Stopper

Benutzer von Windows 10 Pro und Enterprise, die das Feature-Upgrade auf die Version 1607 installieren wollen, scheitern an Bitlocker-Problemen. Hier einige Informationen.


Werbung



In den Microsoft-Answers-Foren sind mir Benutzer aufgefallen, die Probleme nach dem Upgrade auf Windows 10 Anniversary Update haben (hier oder bei reddit.com). Nach dem Neustart nach dem Upgrade gab es aber Probleme mit der Bitlocker-Verschlüsselung, verschlüsselte Laufwerke ließen sich nicht mehr entschlüsseln. Es wird nach einem Recovery-Key gefragt oder es werden Fehlermeldungen (0xc0210000) ausgeworfen. Der Fehler ist zum Beispiel in diesem Blog-Beitrag thematisiert und auf diesen Technet-Beitrag mit Hinweisen auf ein TPM-Problem verwiesen.

Nils Kaczenski hat bereits vor ein paar Tagen auf faq-o-matic.net im Beitrag Windows 10 Version 1607: Vorsicht mit Bitlocker! auf diese Probleme hingewiesen. Die Diskussion findet sich in diesem Technet-Forenbeitrag. In diesem Beitrag bei heise.de weist Nils Kaczenski nun darauf hin, dass es wohl kein generelles Bitlocker-Problem sei. Bei einigen Nutzern scheitert das Upgrade von Windows 10 Version 1511 auf Version 1607, wenn sich Hyper-V, DeviceGuard und Bitlocker gegenseitig in die Quere kommen.

Die Microsoft-Entwickler haben das Problem wohl an Hand von Log-Dateien identifiziert und arbeiten an einem Fix. Auch hier kommt die Funktion Device Guard in Verbindung mit dem TPM-Chip ins Spiel. Bis der Fix freigegeben wird, empfiehlt Microsoft folgenden Workaround (in diesem Technet-Forenthread im Post von Darrell Gorter [MSFT] zu finden):

  • Hyper-V vor dem Windows 10 Upgrade auf die Version 1607 abschalten.
  • Registrierungsschlüssel, die zu Device Guard gehören, unter HKLM\System\CurrentControlSet\Control\DeviceGuard exportieren und löschen.
  • Bitlocker bis zum 23. August 2016 abgeschaltet lassen, bis Microsoft einen Hotfix bereitstellt.

Ich hatte ja öfters mein Unbehagen über TPM und die Fähigkeiten Microsofts, das sicher zu handhaben, hier im Blog ausgedrückt. Wurde belächelt. Mir scheint der neue Fall wieder ein Beispiel zu sein, dass da ein großer Ballon aufgepustet wird, der irgendwann mit einem großen Knall platzt. Und Windows-as-a-Service wird die Nadel sein, die das Platzen irgendwann verursacht. Aber warten wir mal ab, wie es weiter geht.


Werbung

Dieser Beitrag wurde unter Windows 10 abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Kommentare zu Windows 10 Version 1607: Hyper-V/Bitlocker/DeviceGuard als Upgrade-Stopper

  1. Ich teile dein Unbehagen komplett, ich warte eigentlich nur auf den Moment wo unter Windows gar nichts mehr geht, und wenn du Jede Neuerung von Microsoft hoch loben würdest, würde ich deinen Blog wahrscheinlich auch nicht lesen, man bekommt ja schließlich jeden Tag irgendwelche Horror Meldungen wie, Secure Boot nicht mehr sicher und den ganzen Kram.

    Zum Glück habe ich Bitlocker eh nie vertraut, und lieber mit anderen Tools meine Festplatten verschlüsselt, VeraCrypt soll ja mittlerweile das A und O sein.

    • Nils sagt:

      Da gebe ich euch vollkommen Recht.
      Nur ist VeraCrypt und Co. in einer Enterprise Umgebung nur sehr schwer verwaltbar. Da kommt dann eben immer sehr schnell Bitlocker ins Spiel, weil es sehr einfach zentral verwaltbar ist, der Recovery Key im AD gespeichert werden kann und kostenlos lost ist. Bei entsprechenden Verträgen ist sogar MBAM kostenlos, womit die Verwaltung dann wirklich sehr komfortabel ist.

      Umso schlimmer ist dann, wenn man sich damit solche Probleme einfängt…

  2. Moin,

    Bitlocker gilt allgemein schon als sehr gut gemacht. Es ist auch, den Äußerungen im TechNet-Forum nach zu schließen, eigentlich kein Problem von Bitlocker, sondern eher ein Koordinationsproblem im Updatevorgang.

    DeviceGuard beruht auf Hyper-V und nutzt das TPM, um die isolierte Umgebung abzuschirmen. Das funktioniert im Prinzip gut, auch in Verbindung mit Bitlocker. Während des Upgrades allerdings scheint Microsoft den Umgang mit dem TPM versemmelt zu haben, was dann eben dazu führt, dass Bitlocker seinen Key dort nicht mehr auslesen kann. Bitlocker selbst funktioniert dann aber weiter problemlos, nur muss man bei jedem Boot den Recovery-Key eingeben …

    So ein Problem wäre grundsätzlich mit jeder Festplattenverschlüsselung möglich. Wenn mein VeraCrypt-Keyfile beschädigt ist, stehe ich auch dumm da. Sobald Verschlüsselung im Spiel ist, bekommen Backups noch mal eine ganz andere Wichtigkeit.

    Auf einem anderen Blatt steht, dass so ein Szenario natürlich vor dem Release des Updates ordentlich getestet gehört – was anscheinend nicht der Fall war.

    Gruß, Nils
    PS. Jaja, mein Nachname ist schon kompliziert. 😉

    • Nils sagt:

      Klar, so was gehört ausführlich getestet. Machen die Microsoft Jungs sicher auch. Nur gibt es eben im Feld so viele unterschiedliche Konstellationen, dass ein 100%iger Test schon sehr schwierig ist. Hinzu kommt natürlich, dass die Insider vermutlich eher weniger mit Bitlocker arbeiten. Vermutlich sogar die wenigsten mit UEFI. Damit fallen die als Tester auch noch weg.

      Was natürlich keine Entschuldigung sein darf. Speziell im Business Umfeld darf so ein Fehler einfach nicht passieren.

      • Grundsätzlich gebe ich dir da recht es gibt ein Haufen PCs mit ein Haufen unterschiedlicher Hardware wenn du nur überlegst wieviele Unterschiedliche Grafikkarten im Vergangenen 12Monaten hergestellt und verkauft worden sind.

        Aber Bitlocker und auch Secure Boot haben nix mit Unterschiedlicher Hardware zu tun das ist Sicherheitssoftware die fest im Betriebssystem verankert ist. Wenn sich diese Software durch das ändern der Hardware Komponenten aushebeln und austrixen lassen würde wäre das eh nix mehr wert es zu nutzen.

        VeraCrypt lässt sich ja auch Portabel nutzen sofern du dir sicher bist dass du über Administrator-Rechte auf dem Jeweiligen Rechner auf dem du es einsetzen möchtest verfügst.

        Also ich muss natürlich gestehen ich habe mich nie mit Bitlocker nie so Tief beschäftigt geschweige denn es jemals eingesetzt, einfach aus dem Grund weil ich Microsoft auch noch nie Vertraut habe.

        Wenn Snowden nicht aufgedeckt hätte das die Großen Software und Hardware Hersteller interne absprachen mit der NSA haben, wäre das ja auch nie und nimmer ans Tageslicht geraten und Microsoft würde jetzt nicht versuchen nicht dagegen vor Gericht zu gehen um sein Image zu Polieren.

        Also Erzählt mir bloß nicht das ihr Microsoft da komplett vertraut!

    • Nils zum PS: Sorry, hätte wirklich C&P nutzen sollen, irgendwie vertippe ich mich immer – Asche auf mein Haupt. Sollte aber korrigiert sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.