WeBLOG
Windows 11-August-Patch macht Ärger mit Bitlocker (24.08.2022)
Unter Windows 11 kann das Update KB5012170 für die Secure-Boot-Datenbank für vollverschlüsselte Betriebssysteme mit BitLocker grossen Stress verursachen. Der Patch soll eigentlich unsichere Bootloader sperren.

In bestimmten Konstellationen kommt es jedoch bei einem Reboot zur BitLocker-Wiederherstellung, d.h. Betroffene sind dann gezwungen den BitLocker-Wiederherstellungsschlüssel einzugeben, um die Systempartition zu entschlüsseln.

Evtl. hilft ein BIOS/UEFI-Update, um den Fehler zu eliminieren, da das Problem mit dem TPM und PCR7 zusammenhängt, ansonsten gilt:

Hat man den BitLocker-Wiederherstellungs-Schlüssel nicht gesichert und auch zuvor keine Komplett-Sicherung aus einem laufenden System heraus gemacht (z.B. über Backup-Software wie Macrium Reflect, Paragon, Aomei, EaseUs oder Acronis) - denn dann ist das on the fly entschlüsselte System gesichert worden (und konnte nur mit der Backup-Verschlüsselung der Backup-Software ausserhalb von BitLocker abgesichert werden), dann sieht es sehr schlecht aus. Sprich das System respektive die Daten aus der Systempartition sind in diesem Fall nicht wiederherstellbar!

Auch wird eine Wiederherstellung aus einer Komplett-Sicherung (über dritte Backup-Software), die nicht aus dem gestarteten System erfolgte, sondern beispielsweise über einen bootable USB-Stick, keine Abhilfe schaffen (wenn der Recovery-Key nicht vorliegt), weil in diesem Fall das BitLocker-verschlüsselte System gesichert wurde.

Microsoft erläutert in diesem Beitrag, dass man, vor Installation des Patches, BitLocker hätte deaktivieren können...Was ist das denn bitte für ein Tipp??? Soll man nun jedes mal vor der Installation eines Microsoft Updates vorsichtshalber entschlüsseln und danach wieder verschlüsseln...Vor allem kommt der Rat zu spät, wenn das Kind bereits in den Brunnen gefallen ist.

Um Schwierigkeiten jeglicher Art vorzubeugen, sollte man IMMER ein Voll-Backup, wie vorgenannt beschrieben, parat haben! Und im Falle einer Vollverschlüsselung natürlich den Wiederherstellungs-Key sorgfältig und sicher aufbewahren (Drittspeichermedium und/oder Ausdrucken) und zusätzlich ein Voll-Backup aus dem laufenden, on the fly entschlüsselten System, erstellen (dann mit der Verschlüsselung der Backup-Software arbeiten, d.h. das Backup-Image absichern!). In letzterem Fall wäre man in der Lage das System entschlüsselt wiederherzustellen, auch ohne BitLocker-Wiederherstellungsschlüssel.

Nachtrag: siehe auch Erklärung im zweiten Kommentar.

Kommentare (23) zu diesem BLOG-Eintrag
Sie können einen neuen Kommentar-Thread beginnen (siehe Button) oder auf einen bestehenden Kommentar antworten (Grafik "antworten" unten links zu einem Kommentar anklicken). In letzterem Fall wird ein "@{name}" (auf wen die Antwort erfolgte) im Kommentar automatisch vorangestellt.


Wolfe (24.08.2022 | 11:20 Uhr)

Ich beschäftige mich mit der Verschlüsselung. Was ich nicht verstehe ist das mit der entschlüsselten Sicherung des verschlüsselten Systems. Können Sie Ihren Beitrag bitte dahingehend ergänzen?    

Thomas (24.08.2022 | 11:52 Uhr) http://bauser-enterprises.com
kundenservice@bauser-enterprises.com
@Wolfe
Es muss unterschieden werden, in welchem Stadium das Backup über eine Backup-Lösung (wie z.B. Macrium Reflect) erstellt wurde. Je nachdem passiert folgendes:

1. Backup im laufenden Windows-Betrieb (z.B. automatisiert) und Wiederherstellung über das Bootmedium der Backup-Software:
Dann ist das Betriebssystem nach der Wiederherstellung unverschlüsselt, da es zum Zeitpunkt des Backups entsperrt war und die Backup-Software "keine Ahnung" von der Verschlüsselung hatte. Sprich hier muss der Bitlocker nach Wiederherstellung wieder angeworfen werden und die Vollverschlüsselung erneut erfolgen (mit neuen Schlüsseln). Bitte den weiteren Hinweis* unten zu dieser Variante beachten!

2. Backup manuell über das Bootmedium der Backup-Software (ohne BitLocker Support und Bitlocker-Unlock):
Das Betriebssytem ist in diesem Fall nicht gestartet und somit auch nicht entsperrt/entschlüsselt. Es wird ein Sektor-für-Sektor Backup angelegt (d.h. exakt gleiche Grösse wie die gesicherte Partition), da die Backup-Software aufgrund der Verschlüsselung nichts "sehen" kann, sprich nur eine voll belegte Partition erkennt (deshalb sind hier auch keine differentiellen oder inkrementellen Backups möglich, sondern nur Vollbackups). Das Betriebssystem wird nach der Wiederherstellung wie bisher BitLocker-vollverschlüsselt sein. D.h. ist so ein Bug, wie im Beitrag oben beschrieben, schon zum Zeitpunkt der Sicherung vorhanden, ist dennoch der Wiederherstellungs-/Recovery-Key erforderlich, um die Daten und das System zu retten. Hat man den Schlüssel nicht mehr, ist das Backup in diesem Fall wertlos!

*Weiterer Hinweis:
Die Backups (Images) selbst sollten auf keinem vollverschlüsselten Ziel-Medium gespeichert werden! Denn dann wird die Wiederherstellung über das Rettungsmedium knifflig, weil das Quelllaufwerk, welches die Sicherung enthält, zuvor entsperrt werden müsste. Es bietet sich vielmehr an, das Backup-Image per AES-Verschlüsselung mit Passwort über die Backup-Software zu schützen (bietet z.B. Macrium Reflect), um es dennoch sicher auf einem nicht vollverschlüsselten Medium speichern zu können und vor Zugriff durch Dritte nachhaltig zu schützen. Natürlich muss man sich dieses Passwort dann ebenso merken oder auf einem dritten Medium sichern.

Die obige Erklärung betrifft nicht nur eine Vollverschlüsselung mit BitLocker, sondern ist übertragbar auf jegliche Voll-Verschlüsselung (z.B. über VeraCrypt) und jegliches Betriebssystem.

Ich hoffe, Ihre Frage damit zufriedenstellend beantwortet zu haben.    

Wolfe (24.08.2022 | 12:20 Uhr)

@Thomas
Herr Murr, vielen Dank! Perfekter Service hier.    

Thomas (25.08.2022 | 09:49 Uhr)
kundenservice@bauser-enterprises.com
@Wolfe
Gern geschehen.    

simona (24.08.2022 | 23:12 Uhr)

@Thomas
habe ein windows 11 und mit bitlocker verschlüsselt. es ist ist mir genau das passiert: wiederherstellung wird gefordert. der schlüssel zur wiederherstellung ist aber nirgendwo. wurde mir auch nicht zur sicherung bei der verschlüsselung angeboten. bin ziemlich ratlos.    

Thomas (25.08.2022 | 09:16 Uhr) http://bauser-enterprises.com
kundenservice@bauser-enterprises.com
@simona
Ich gehe davon aus, dass es sich um eine Home-Edition von Windows 11 handelt. Dann wurde der Benutzer bei der Einrichtung sicherlich mit einem Microsoft-Konto verknüpft. Die Win11-Home-Edition in Verbindung mit Bitlocker speichert den Schlüssel dann ungefragt in der Microsoft-Cloud in Deinem Benutzerkonto (ist auch bei der Prof.-Edition so, sofern man mit einem MS-Konto anstatt lokalem Benutzer arbeitet). Anders wäre das mit einer Professional-Edition und lokalem Benutzerkonto gelaufen (das bevorzuge ich, weil Recovery-Keys vertraue ich keiner Cloud an).

Die Vorgehensweise wäre, sich mit dem MS-Konto, welches bei der Einrichtung des Rechners mit dem Benutzer verknüpft wurde, mit einem anderen Gerät anzumelden und nach dem Schlüssel zu suchen. Am besten nach der Anmeldung folgenden Link verwenden:
https://account.microsoft.com/devices/recoverykey

Dort sollte der BitLocker-Recovery-Key für das entsprechende Gerät dann auftauchen. Wenn nicht und wirklich keine lokale Sicherung des Schlüssels vorliegt, sieht es düster aus. Eine Wiederherstellung ist dann nicht mehr möglich!    

simona (25.08.2022 | 09:59 Uhr)

@Thomas
danke für die hilfestellung!!! :-)
leider finde ich keinen "recovery key" in meinem microsoftkonto.    

Thomas (25.08.2022 | 10:05 Uhr)
kundenservice@bauser-enterprises.com
@simona
Dann ist bzgl. der Systempartition leider Finsternis angesagt. Sicher, dass es das richtige MS-Konto ist, sprich das seinerzeit mit dem Benutzer verknüpft wurde?

Gibt es denn noch eine zweite (Daten-)Partition, die evtl. nicht vollverschlüsselt wurde? Dann könnte man zumindest diese Daten retten, indem man die HDD/SSD ausbaut und mittels Adapter an einen anderen Rechner anschliesst oder dort einbaut und die Daten dann "herausholt".

Bin jetzt gleich unterwegs, d.h. eine evtl. geforderte Antwort meinerseits kann dann eine Weile dauern.    

simona (25.08.2022 | 10:16 Uhr)

@Thomas
habe nur ein microsoftkonto, deshalb muß das richtig sein. und es ist nur eine festplatte eingebaut.    

Thomas (25.08.2022 | 11:55 Uhr)
kundenservice@bauser-enterprises.com
@simona
Eine verbaute HDD oder SSD bedeutet nicht zwingend, dass es auch nur eine Partition gibt. Sofern nicht selbst erstellt, liefern manche Hersteller per se den Rechner mit zwei Partionen aus. Z.B. C: für das OS und D: oder E: für Daten.

Wurde nun nur C:, also die Systempartition, vollverschlüsselt und die Datenpartition nicht, dann wären diese Daten zugänglich. Natürlich sollte man, wenn man es richtig macht, auch eine Datenpartition vollverschlüsseln aber vielleicht wurde das nicht gemacht, was dann im vorliegenden Fall von Vorteil wäre.

Ein Backup - wie im zweiten Kommentar von mir unter Punkt 1 beschrieben - gibt es auch nicht?    

simona (25.08.2022 | 12:26 Uhr)

@Thomas
gibt nur C und kein backup.    

Thomas (25.08.2022 | 12:55 Uhr)
@simona
Sorry, leider gibt es dann keine Möglichkeit mehr, das System und die Daten zu retten! Ansonsten könnte man eine Vollverschlüsselung ja gleich sein lassen.

Es bleibt dann nur, das System neu aufzusetzen. Wenn BitLocker (oder andere Verschlüsselungs-Lösungen wie z.B. VeraCrypt) wieder zum Einsatz kommen sollte, dann bitte den Wiederherstellungs-Schlüssel SICHER aufbewahren!    

simona (25.08.2022 | 13:17 Uhr)

@Thomas
trotzdem danke für deine hilfe!!! und verschlüsseln werde ich ganz bestimmt nichtmehr.    

Thomas (25.08.2022 | 13:29 Uhr)
kundenservice@bauser-enterprises.com
@simona
Nicht entmutigen lassen. Der Fehler lag letztendlich darin, dass der Recovery-Key nirgendwo gesichert wurde oder nicht mehr auffindbar ist UND zudem kein Backup erstellt wurde. Natürlich hat MS mit dem Update gepatzt, was nicht vorkommen darf, aber mit so etwas muss man immer rechnen!    

Troll (25.08.2022 | 17:05 Uhr)

@simona
Sag mal, wer verschlüsselt denn sein System und sichert das Recovery nicht. Da würde ich sagen selbst schuld. Mein Mitleid hält sich in Grenzen.



Editiert von Thomas (25.08.2022 | 18:02 Uhr):
Verunglimpfende Worte im obigen Statement entfernt!    

Thomas (25.08.2022 | 18:03 Uhr)
kundenservice@bauser-enterprises.com
@Troll
Ich bitte darum, freundlich und fair zu bleiben und Deinem Nickname nicht gerecht zu werden. Du bist hier seit vielen Jahren freigegeben (als vertrauenswürdig eingestuft), d.h. Deine Beiträge sind sofort online. Ich möchte Deine Kommentare nicht freigeben/zensieren müssen, denn bisher war es ja auch nicht notwendig.    

Thomas (25.08.2022 | 13:36 Uhr)
Ich möchte hier darauf hinweisen, dass eine Vollverschlüsselung absolut sinnvoll ist, um seine Daten zu schützen, z.B. bei Diebstahl des Geräts/Rechners aber es gibt auch andere Gründe. Siehe dazu meine ausführliche Anleitung zur Verschlüsselung mit VeraCrypt mit Hintergründen dazu.

Man muss natürlich wissen, was man da macht und wie man sich gegen jegliche Art von Ausfällen absichert. Dazu gehört, neben der Aufbewahrung des Recovery-Key, in jedem Fall die Erstellung von regelmässigen Backups (nicht nur bei Verschlüsselung angeraten!). Im Falle der Vollverschlüsselung einer Systempartition siehe Punkt 1 und den weiteren Hinweis im zweiten Kommentar weiter oben.    

nothing (25.08.2022 | 21:18 Uhr)

die geschichte mit den windows-hengsten und dem fehlerhaften patch ist wirklch überflüßig aber ich habe überhaupt kein verständnis dafür, wenn irgendwelche laien meinen zu verschlüsseln oder was weis ich was machen aber keine ahnung davon haben. deshalb finde ich das engagement hier für die simona zwar lobend aber für die katz. solchen usern kann keinerhelfen!!!!!!

bin es so was von leid wenn amateure am werk sind und dann kosztenlose hilfe wollen. ist doch zum kotzen. daten weg: richtig so. aus fehlern lernen!!!!!!!!! aber nicht rumheulen.    

Troll (25.08.2022 | 22:07 Uhr)

@nothing
Du redest mir aus der Seele. Wenn ich einen Ikea-Schrank aufbauen möchte, muß ich die Anleitung lesen. Mach ich das nicht, muß ich wahrscheinlich einen neuen Bausatz kaufen. Habe ich das RTFM zu Bitlocker nicht gelesen, muß ich eben neu installieren. Nochmal: Mein Mitleid hält sich in Grenzen.    

Thomas (25.08.2022 | 22:22 Uhr)
kundenservice@bauser-enterprises.com
@Troll
und @nothing:

Im Prinzip habt Ihr beide vollkommen recht, d.h. man sollte sich mit etwas beschäftigen, bevor man es angeht. ABER es wird den Usern eben oft zu einfach gemacht oder sie können u.U. gar nichts dafür.

Z.B. habe ich schon erlebt, dass BitLocker bei Auslieferung eines vom Hersteller vorinstallierten Windows bereits aktiviert war. Ja, wo ist denn da der Recovery-Key? Es gibt zwar Mechanismen, die diesen automatisiert bei Erststart mit dem dann verknüpften MS-Konto synchronisieren aber das schlägt dann fehl, wenn die Installation ohne Internetverbindung oder mit Internetunterbrechung stattfindet oder ein lokales Konto mit Tricks (bei der Home-Edition) eingerichtet wird. Der User hat dann möglicherweise keine Kenntnis davon, dass BitLocker überhaupt aktiviert ist. Denn es gibt auch die Variante ohne Eingabe eines Passworts beim Systemstart...

Auch geht hier die Geschichte völlig unter, dass Microsoft mit dem Update KB5012170 völligen Bockmist gebaut hat! Im vorgenannt beschriebenen Fall der werkseitigen BitLocker-Aktivierung hat der User unter bestimmten Umständen keine Chance, ohne entsprechendes Backup, sein System wiederherzustellen.

Ich bitte diese Argumente bei der Beurteilung von Laien, die arglos einen Computer kaufen, zu berücksichtigen.    

Troll (25.08.2022 | 22:54 Uhr)

@Thomas
Laß ich nicht gelten: Man hat sich gefälligst damit auseinanderzusetzen mit was man es zu tun hat.

Wo ich ganz bei Dir bin: MS hat einmal mehr Scheiße gebaut!    

simona (27.08.2022 | 11:59 Uhr)

@Troll
sorry, wenn ich hier bestimmten leuten auf die füße getreten bin.    

Thomas (27.08.2022 | 12:54 Uhr)
kundenservice@bauser-enterprises.com
@simona
Nicht irritieren lassen! Und entschuldigen musst Du Dich auch nicht. Niemand hat die Weisheit mit Löffeln gefressen. Du kannst hier so viele Fragen stellen wie Du willst, das ist MEINE Website.