WeBLOG
Windows-August-Patch macht Ärger mit Bitlocker (24.08.2022)
Unter Windows 11 kann das Update KB5012170 für die Secure-Boot-Datenbank für vollverschlüsselte Betriebssysteme mit BitLocker grossen Stress verursachen. Der Patch soll eigentlich unsichere Bootloader sperren.

In bestimmten Konstellationen kommt es jedoch bei einem Reboot zur BitLocker-Wiederherstellung, d.h. Betroffene sind dann gezwungen den BitLocker-Wiederherstellungsschlüssel einzugeben, um die Systempartition zu entschlüsseln.

Evtl. hilft ein BIOS/UEFI-Update, um den Fehler zu eliminieren, da das Problem mit dem TPM und PCR7 zusammenhängt, ansonsten gilt:

Hat man den BitLocker-Wiederherstellungs-Schlüssel nicht gesichert und auch zuvor keine Komplett-Sicherung aus einem laufenden System heraus gemacht (z.B. über Backup-Software wie Macrium Reflect, Paragon, Aomei, EaseUs oder Acronis) - denn dann ist das on the fly entschlüsselte System gesichert worden (und konnte nur mit der Backup-Verschlüsselung der Backup-Software ausserhalb von BitLocker abgesichert werden), dann sieht es sehr schlecht aus. Sprich das System respektive die Daten aus der Systempartition sind in diesem Fall nicht wiederherstellbar!

Auch wird eine Wiederherstellung aus einer Komplett-Sicherung (über dritte Backup-Software), die nicht aus dem gestarteten System erfolgte, sondern beispielsweise über einen bootable USB-Stick, keine Abhilfe schaffen (wenn der Recovery-Key nicht vorliegt), weil in diesem Fall das BitLocker-verschlüsselte System gesichert wurde.

Microsoft erläutert in diesem Beitrag, dass man, vor Installation des Patches, BitLocker hätte deaktivieren können...Was ist das denn bitte für ein Tipp??? Soll man nun jedes mal vor der Installation eines Microsoft Updates vorsichtshalber entschlüsseln und danach wieder verschlüsseln...Vor allem kommt der Rat zu spät, wenn das Kind bereits in den Brunnen gefallen ist.

Um Schwierigkeiten jeglicher Art vorzubeugen, sollte man IMMER ein Voll-Backup, wie vorgenannt beschrieben, parat haben! Und im Falle einer Vollverschlüsselung natürlich den Wiederherstellungs-Key sorgfältig und sicher aufbewahren (Drittspeichermedium und/oder Ausdrucken) und zusätzlich ein Voll-Backup aus dem laufenden, on the fly entschlüsselten System, erstellen (dann mit der Verschlüsselung der Backup-Software arbeiten, d.h. das Backup-Image absichern!). In letzterem Fall wäre man in der Lage das System entschlüsselt wiederherzustellen, auch ohne BitLocker-Wiederherstellungsschlüssel.

Nachtrag: siehe auch Erklärung im zweiten Kommentar.

Kommentare (23) zu diesem BLOG-Eintrag