Windows 10: Bitlocker verschlüsselt automatisch

[English]Mir ist ein merkwürdiger Fall zu Bitlocker unter die Augen gekommen. Auf einem HP ProBook 430 G5 mit Windows 10 Pro verschlüsselt Bitlocker bei einer Neuinstallation automatisch bestimmte Partitionen. Ich habe dann etwas recherchiert, das ist wohl Standard bei verschiedenen Konstellationen, auch bei Dell. Hier ein paar Informationen und ein Hinweis, wie sich das vermeiden lässt.


Anzeige

Vorab: Anwender, die mit Windows 10 Home unterwegs sind, werden von den nachfolgenden Hinweisen nicht tangiert.

Autoverschlüsselung beim HP ProBook 430 G5

Im HP-Forum bin ich die Tage auf eine Merkwürdigkeit gestoßen, die ich euch nicht vorenthalten wollte. Problem ist, dass auf Windows 10 Pro bei einer Neuinstallation auf einem HP ProBook 430 G5 automatisch Partitionen mit Bitlocker verschlüsselt. In diesem Forenthread beschreibt ein Nutzer das Problem:

Anfang der Woche ist mein neues ProBook 430 G5 (2UB47EA) geliefert worden. Windows 10 Pro x64 habe ich neu mit einem Microsoft ISO-Image (1903) installiert.

Es kam es aber zu einer großen Überraschung. Die Laufwerke C und D waren ohne mein Zutun mit BitLocker verschlüsselt. Zuerst vermutete ich einen Bug in der neuesten Windows 10-Version. Also erneute Neuinstallation mit dem MS-Image 1809. Mit diesem Image habe ich bereits geschätzt 50 PCs und Notebooks neu installiert. Alle Installationen verliefen problemlos und wie erwartet. Aber bei mir waren wieder die Laufwerke C und D mit BitLocker verschlüsselt.

Der Benutzer konnte die Laufwerke zwar per Systemsteuerung wieder entschlüsseln. Allerdings wundert er sich aber über dieses ungewohnte Verhalten, was er sich nicht erklären kann. Es ist allerdings das erste Mal, dass ich ein Notebook mit einem Intel i7-Prozessor gekauft habe. Gibt es etwas in der “Systemarchitektur”, das dieses Verhalten auslöst?

Scheint bei Windows 10 der Fall zu sein

Das könnte ja noch eine Spezialität von HP sein. Ich habe dann im Internet nachgeschaut und bin im Technet auf diesen Forenthread BitLocker turns on without a notice von Oktober 2017 gestoßen. Dort bezieht sich der Thread-Ersteller auf Dell Notebooks, wo einem IT-Mitarbeiter ein merkwürdiges Verhalten aufgefallen ist.

Since a while we are experiencing some strange behavior with Windows 10 (I think it only apply to Creators update), Dell Notebooks and Bitlocker. In our company we have a global GPO which, if one wants to encrypt his harddrive with BitLocker, to be prompted to save the recovery key txt file on a certain share, BitLocker key is also saved to computer object in AD… But this is optional, none is forced to do so.

Die Leute verwenden eine Gruppenrichtlinie zur Steuerung der Bitlocker-Verschlüsselung, so dass die Nutzer vor dem Verschlüsseln gefragt werden, ob sie dies so tun wollen. Nun hat der Mitarbeiter eine merkwürdige Beobachtung gemacht:

Now, just a few days ago I realized that on fresh Dell notebook installs, factory image of Dell, the C-drive (it’s usually our only drive) is shown with a yellow exclamation mark in file explorer. I have googeledd that and figured out it is a sign that bitlocker is not activated. No idea since when this is like that, did not realize it before in this context. However, I left it as is because I did not have the intention to enable bitlocker.

Schon eine merkwürdige Sache. Der Nutzer beschreibt dann seine weiteren Erfahrung, nachdem er den Dell neu aufgesetzt hatte – unter anderem das Problem, dass der Wiederherstellungschlüssel für Bitlocker nicht an die per Gruppenrichtlinie gesetzte Position im Active Directory-Objekt (AD) gespeichert wird – etwas strange:

Next day I just saw the yellow exclamation mark is gone and indeed, the drive was bitlocked. This happend automatically, without my knowledge. And also the key was saved to this notebooks AD object. But obviously the key saved in a txt file was not saved to that network share defined in the policy, though.

How can it happen that bitlocker turns on on its own? In our case, not sure if for each and any, at least the key is saved to AD. But what if this doesn’t happen? Users might lose access to their data? I also have read a few posts online like e.g. Bitlocker auto-enabling itself on a fresh Windows installation on XPS 13?, that a few other users also experience the same issues. I stumbled around computers in our AD and figured out that several PC’s suddenly show a bitlocker key, and definitely not all of them have turned this on on purpose. You can easiliy figure it out, just compare computer objects with bitlocker key vs. kex-txt files on our share. The ones with corresponding key txt file have done it on purpose, the others not.

Also in kurz: Auch bei diesem Fall wurde Bitlocker ohne Zutun der Nutzer automatisch auf Festplatten aktiviert. Die Erklärung findet sich auf dieser Dell-Seite. Im Beitrag Automatic Windows Device Encryption/BitLocker on Dell Systems findet sich folgender Hinweis:

Automatic device encryption allows Windows to encrypt the system drive automatically after you completed the setup of your system. This occurs very similar to smartphones and is completely seamless for the user. Automatic device encryption however is only enabled on systems that meet above system requirements and support Connected Standby or Modern Standby specifications, which require solid-state storage (SSD or eMMC) and non-removable (soldered) RAM.

Automatic device encryption only starts after the Out-Of-Box Experience (OOBE) is completed and a Microsoft Account (MSA) is used on the system (e.g. use MSA for Windows logon, add MSA as email, app and work/school account, log into the Microsoft Store app with MSA, redeem/activate Microsoft Office or other Microsoft applications with MSA).


Werbung

Es ist ein Feature, welches in der Out-of-box-experience (OOBE) Phase des Setup aktiv wird. Dazu muss die Maschine ein TPM-Modul besitzen und die von Dell genannten Hardwarevoraussetzungen aufweisen.

Tipp: Beim Setup ein lokales Konto verwenden

Dieses Verhalten kann man verhindern, indem man beim Setup der Systeme kein Microsoft-Konto sondern ein lokales Benutzerkonto verwendet. Das ist sowohl auf dieser Dell-Seite als auch bei HP im Forum.

Ich gehe mal davon aus, dass Administratoren, die regulär Windows 10-Maschinen mit Pro/Enterprise um diese Problematik wissen. Falls nicht, sind in obigem Beitrag die notwendigen Informationen zu finden. Ist das oben angerissene Problem mit der Speicherung des Wiederherstellungsschlüssels im AD, entgegen der GPO-Vorgaben, ein Thema bei euch?

Artikelreihe:
Windows 10: Wichtiger Secure Boot/Bitlocker Bug-Fix
Windows 10: Bitlocker verschlüsselt automatisch

Ähnliche Artikel:
BitLocker-Verwaltung für Unternehmensumgebungen
Windows: Angriff auf Bitlocker per TPM
SSD-Schwachstelle hebelt (Bitlocker) Verschlüsselung aus
Microsoft Security Advisory Notification ADV180028 zu Bitlocker auf SSDs (6. Nov. 2018)Dell: Neues BIOS verursacht Bitlocker-Probleme
Windows 10 V1803: Fix für Bitlocker-Bug im November 2018?
Neues Surface Book 2 Firmware-Update bringt ggf. Bitlocker-Problem
Windows 10 V1803: Kein Backup für BitLocker-Wiederherstellungsinformationen in AD


Anzeige
Dieser Beitrag wurde unter Problemlösung, Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Windows 10: Bitlocker verschlüsselt automatisch

  1. Gerrit Ellmer sagt:

    Guten Morgen,
    Dieses Verhalten ist schon lange Windows Standard (Device Encryption). Sobald ein Client HSTI fähig ist (Hardware und UEFI Anforderungen erfüllt) wird die Systempartition automatisch von Beginn an verschlüsselt. Die MS Surface Geräte machen dies schon immer.
    Es wird mit 128Bit AES-XTS nur der beschriebene Bereich der Festplatte verschlüsselt.
    Dieses Verhalten kann dadurch verhindert werden, indem man das Installationsmedium anpasst. Es ist ein entsprechender RegKey zu setzen.

  2. Jörn Walter sagt:

    Der Reg-Key:

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker]
    “PreventDeviceEncryption”=dword:00000001

    Temporärer Bypass für entfernbare Geräte wie z.B. USB-Sticks oder USB-Platten

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FVE]
    “RDVDenyWriteAccess”=dword:00000000

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FVE]
    “RDVDenyWriteAccess”=dword:00000001

    • Uwe Bieser sagt:

      Das Verhalten kenne ich von den Surface und Dell-Laptops mit Windows 10 Pro. Mit einem Microsoft Konto hat das nichts zu tun gehabt. Das gelbe Warnzeichen zeigt zwar an, das ein Laufwerk angeblich nicht verschlüsselt ist, die Datenträgerverwaltung ist da aber anderen Ansicht. Die Partition lässt sich auch nicht mit Partitionierungstools verändern, bis wieder entschlüsselt wurde.
      Man muss Bitlocker aktivieren und gleich darauf wieder deaktivieren.

  3. Werbung

  4. Ralf sagt:

    Mal abgesehen davon, dass man hier im März erst über den Angriff auf Bitlocker per TPM (Link siehe oben) lesen konnte, macht diese automatische Verschlüsselung eigentlich auch Sinn. Da hat man ein Notebook mit TPM-Modul und startet per Secure Boot und dann sollen die Festplatten unverschlüsselt sein? Wäre dann doch wohl eher ziemlich unsinnig.

    • Günter Born sagt:

      Gehst Du in die verlinkten Artikel aus den Foren, wirst Du möglicherweise bemerken, dass es durchaus Gründe geben kann, warum Administratoren genau diesen Automatismus vermeiden wollen.

      • Ralf sagt:

        Habe ich jahrelang gemacht. Und immer ein eigenes Installationsverfahren und angepasste Installationsmedien genutzt, wo die eigenen Erfordernisse an Installation und Sicherheit umgesetzt wurden. Deshalb ist das jetzt aber kein Bug, sondern eher eine vernünftige Grundinstallation für einzelne (neue) Geräte. Man muss es nur wissen, und dann kann man es ohne Probleme anpassen. So ist aber erst einmal ein neues Gerät als Standard weniger angreifbar und Secure Boot sicherer (nicht unbedingt sicher).

  5. Günter Born sagt:

    Zur ‘Deshalb ist das jetzt aber kein Bug,’: Hast Du in meinem Artikel das Wort Bug gefunden? Es kommt nur in einem Zitat vor – im Text sollte das nicht stehen. Das Attribut “vernünftig” würde ich allerdings nicht zu eigen machen – das entscheidet der Betroffene für sich, ob es für ihn vernünftig oder ärgerlich ist.

    • Ralf sagt:

      Na ja, Du hast es merkwürdiger Fall/Merkwürdigkeit genannt. Ist das, was ich mit einem Bug gleichsetze, ein nicht erwartetes und (eventuell) fehlerhaftes Verhalten.

      Und warum soll das jetzt ärgerlich sein. Es gibt für mich zwei Fälle:

      a) Man kennt sich mit Windows aus. Dann schaut man sich nach einer Installation ohnehin an, wie die Platten/SSDs bei der Installation konfiguriert sind. Stört einen die Bitlocker-Verschlüsselung, kann man sie ohne Probleme wieder aufheben. Setzt man andere Verschlüsselungsprodukte ein, werden die einen ohnehin warnen. Kein Produkt kann seine Verschlüsselung auf eine andere Verschlüsselung aufsetzen. Also weiß man spätestens an der Stelle, dass man Bitlocker wieder loswerden muss.

      b) Man kennt sich mit Windows nicht aus. Und lässt das neue Notebook so wie es ist. Dann hatte man bislang immer eine unverschlüsselte Platte. Und wenn einem das Gerät geklaut wurde, konnte jeder die Platte ausbauen und die Daten auslesen. Und Notebooks werden gerne geklaut, auch bei privaten Wohnungseinbrüchen. Oder das Gerät geht nach kurzer Zeit kaputt. Dann geht das Gerät zur Reparatur und die Platte geht ungeschützt mit.

      Von daher erscheint mir das weiter sinnvoll. Der Profi wird es schnell wieder los und der normale Käufer hat einen etwas sicheren Notebook (mit Secure Boot und einer erstmal geschützten Platte/SSD). Wie oft wird sich darüber beschwert, dass Anwender/Admins auf Datenbanken keine Admin-Passwörter setzen und diese dann ungeschützt im Internet stehen. Oder auf Smarthome/IOT-Geräte keine Passwörter gesetzt werden bwz. Standardpasswörter nicht geändert werden und die Geräte dann von außen mißbraucht werden können. Ich finde, dann sollte man sich nicht darüber beschweren, dass man bei einem neuen Notebook erstmal eine sichere Grundkonfiguration verpasst bekommt.

      Abgehen davon, wenn man heute ein neues Notebook kauft, kann man das ohnehin ohne Nacharbeit nicht vernünftig einsetzen. Geh mal auf die Supportseite von HP und schau, wieviele Software und Treiber zum Beispiel auf ein ProBook bei der Ersteinrichtung installiert werden. Das wieder loszuwerden, dauert deutlich länger.

  6. Uwe Bieser sagt:

    Zu Variante B ginge das auch trotz Bitlocker. Man läßt die Platte drin und setzt einfach das Windows Passwort neu.Das ließe sich zwar per Preboot-PW verhindern, aber das wäre dann wieder der erfahrene Anwender.

    Aus aktuellem Anlass kann ich den Sicherheitsgewinn für wenig erfahrene Anwender nicht nachvollziehen. Im Gegenteil ist der unbekannt aktivierte Bitlocker eine Gefahr für die Daten. Wenn das Mainboard defekt geht komme ich an die Daten nicht mehr ran, wenn klammheimlich Bitlocker aktiv gesetzt wurde.

  7. Uwe Bieser sagt:

    Ich habe jetzt nicht berücksichtigt, dass man das Windows-PW nicht mehr so einfach per Administratoraktivierung zurücksetzen kann, wenn die Platte verschlüsselt ist.

  8. Werbung

  9. Günter Born sagt:

    Blog-Leser Uwe B. hat mir noch per Mail Hinweise zu eigenen Erfahrungen mit Bitlocker und der automatischen Verschlüsselung zukommen lassen.

    anbei ein Screenshot von einem Fujitsu U748, als Nachtrag zum Thema Bitlocker Verschlüsselung.

    Es ist ein Szenario, dass ich schon öfter erlebt habe. Das Laufwerksymbol zeigt keine Bitlockerverschlüsselung an, die Datenträgerverwaltung schon. Auch gparted zeigte für die Partition C als „Dateisystem“ Bitlocker an (D existierte noch nicht). Trotzdem konnte die Partition C um 507 Mbyte verschoben werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.