Windows 10/11: Microsoft veröffentlicht Fix für OOBE-Bitlocker-Ausfall-Bug

[English]Microsoft propagiert zwar Bitlocker zur Verschlüsselung von Laufwerken unter Windows. Aber es gibt immer wieder Bugs, die die Verschlüsselung verhindern oder Dritten unbefugten Zugriff auf verschlüsselte Laufwerke ermöglichen. Ein Microsoft Supporter hat jetzt einen Fall enthüllt, bei dem Bitlocker in der Out-of-the-Box (OOBE) Phase der Windows-Installation nicht aktiviert wird. Es gibt Möglichkeiten, diesen (doch sehr exotischen) Bug in Windows 10/11 zu umgehen.

BitLocker ist eine Funktion in Windows 10/11, die die Festplatte von Geräten verschlüsselt, um die dort gespeicherten Daten vor unbefugtem Zugriff zu schützen. Ich hatte bereits 2019 im Blog-Beitrag Windows 10: Bitlocker verschlüsselt automatisch berichtet, dass diese Verschlüsselung automatisch erfolgt. Das kann durchaus unangenehme Momente bereiten, wenn Nutzer den Wiederherstellungsschlüssel nicht kennen (siehe Windows 10/11 Home-Edition und die OEM Bitlocker-Falle). Andererseits ist seit November 2022 bekannt, dass es eine Bitlocker-Bypass-Schwachstelle CVE-2022-41099 im Windows Recovery Environment (WinRE) gibt. Das Patchen ist aber eine Herausforderung (siehe Windows 10/11: Microsoft veröffentlicht Script für den WinRE BitLocker Bypass-Fix).

Bitlocker streikt bei Neustart

Es gibt einige Szenarien, in denen Administratoren und Anwender BitLocker vorübergehend außer Kraft setzen müssen. Dies ist beispielsweise der Fall, wenn das BIOS oder die Firmware eines Systems mithilfe des Aktualisierungsprogramms eines Herstellers aktualisiert wird.

In solchen Szenarien lässt sich vorgeben, wie viele Neustarts des Systems die Bitlocker-Verschlüsselung auszusetzen ist, bevor BitLocker die Verschlüsselung wieder aufnimmt. Dieser Parameter für die Neustartanzahl lässt sich mit dem PowerShell-Cmdlet Suspend-BitLocker festlegen (siehe Suspend-BitLocker). Im folgenden Beispiel wird Bitlocker ausgesetzt, bis der Client 3 Mal neu gestartet wurde:

Suspend-Bitlocker -MountPoint "C:" -RebootCount 3

Helmut Wagensonner, ein Cloud Solution Architect Engineer bei Microsoft, hat kürzlich im Techcommunity-Beitrag Bitlocker Is Not Resuming After Reboot Count Has Been Reached einen Bitlocker-Fehler in Windows 10/11 aufgedeckt. Wagensonner ist bei einem Kunden darauf gestoßen, dass die automatische Bitlocker-Wiederaufnahme nach der angegebenen Anzahl von Neustarts versagt, wenn der OOBE-Prozess (Out-of-the-Box-Experience) beim Setup nicht angeschlossen wurde. Er schreibt dazu:

Es gibt jedoch ein bekanntes Problem mit BitLocker, auf das Sie möglicherweise stoßen: BitLocker wird nach dem Anhalten nicht automatisch wiederhergestellt, wenn OOBE (Out of box experience) nicht abgeschlossen ist. OOBE ist der Prozess, bei dem Ihr Gerät zum ersten Mal nach der Installation von Windows 10 eingerichtet wird.

Das bedeutet, dass das betreffende System ungeschützt durch Bitlocker zurück bleibt. Die einzige Lösung besteht in diesem Fall darin, BitLocker erneut manuell zur Verschlüsselung aufzufordern. Das lässt sich mit dem Befehlszeilentool manage-bde eine administrative Eingabeaufforderung erzwingen.

manage-bde -resume C:

Alternativ ließe sich auch der nachfolgende PowerShell-Befehl verwenden:

Resume-BitLocker -MountPoint "C:"

Im Techcommunity-Beitrag verrät Wagensonner auch, wie man per PowerShell abfragen kann, wie oft Windows 10/11 neu zu starten ist, bevor Bitlocker wieder mit der Verschlüsselung beginnt. Der Beitrag legt auch die Szenarien offen, bei denen Bitlocker deaktiviert werden muss und die anschließende Wiederaufnahme scheitert. (via)