BitLocker bei Lokalem Konto doch aktiv?

[Langstrumpf]

Hallo zusammen! Vielleicht kann mir jemand eine Frage beantworten - es betrifft die BitLocker Verschlüsselung, die seit der 24H2 standardmäßig aktiviert wird.

Aber was passiert, wenn man sein Windows nur mit einem lokalen Konto einrichtet? Angeblich wird BitLocker dann nicht automatisch aktiviert. Interessanterweise ist es aber eingeschaltet, wenn man unter "Sicherheit" nachschaut. Und noch seltsamerweise kann man den Schieber auf "Aus" stellen, dann beginnt ein Fortschrittsbalken mit der Entschlüsselung, die durchaus ein paar Minuten dauern kann. Wie gibt's das - wo die Verschlüsselung doch gar nicht aktiviert wurde? Und da es bei lokalem Konto kein Microsoft-Konto gibt, wo der Schlüssel hinterlegt ist - wie kommt man dann im Fall der Fälle an den Schlüssel?

Tatsächlich hat mir jetzt jemand ein drei Monate altes Notebook gebracht, das nur mit einem lokalen Konto eingerichtet war. Es wurde über Windows Update ein BIOS/UEFI-Update angeboten, heruntergeladen und aufgespielt - und beim ersten Neustart anschließend der BitLocker Schlüssel verlangt. Nach einem BIOS bzw. UEFI-Update kann das zwar vorkommen. Der Besitzer schwört aber mit der Hand auf der Bibel, er hätte wirklich nur ein lokales Konto eingerichtet und weiß jetzt nicht, wie er an den Schlüssel kommen soll. Er hätte zwar vor ein paar Wochen ein MS Office gekauft und mit einem Micrososft Konto installiert - aber mit diesem Konto ist kein Gerät verknüpft (sondern nur die Office-Lizenz, ich hab nachgeschaut) und also ohne Gerät auch kein BitLocker Schlüssel einsehbar. Was könnte hier passiert sein?

[Tante Google]

[moinmoin]

Die Geräteverschlüsselung wird auch auf lokalen Konten automatisch durchgeführt und der Schlüssel im TPM (lokale Konten) abgelegt.
Daher muss man den Schlüssel unbedingt sichern, oder gleich rückgängig machen. Daher ist es nicht seltsam, wie du schreibst.

https://www.deskmodder.de/blog/2024/08/ ... ebersicht/

https://www.deskmodder.de/blog/2024/05/ ... aktiviert/

Vermutlich war das BIOS-Update hier "schuld".

[Langstrumpf]

Hallo, moinmoin, Danke für deine schnelle Antwort!

Nun ja, dass das BIOS/UEFI Update schuld war, das hab ich mir schon gedacht.
Aber wie kann ich bei einem lokalen Konto den Bitlocker-Schlüssel sichern? Wo genau in der Systemsteuerung (solange es die noch gibt) ist das zu finden?
Für den konkreten Fall hab ich das System jetzt neu installiert und als erstes die Verschlüsselung ausgeschaltet.

Aber eine weitere Frage:
Es heißt, dass Windows alle angeschlossenen Laufwerke verschlüsselt. Gilt das am Ende auch für externe USB-Festplatten, USB-Sticks oder gar Netzlaufwerke? Da ist mir bisher noch keine Verschlüsselung aufgefallen, und sonderlich sinnvoll wäre sie hier auch nicht.

[moinmoin]

Bislang bekannt sind nur die intern angeschlossenen Festplatten.

[DK2000]

Aber wie kann ich bei einem lokalen Konto den Bitlocker-Schlüssel sichern? Wo genau in der Systemsteuerung (solange es die noch gibt) ist das zu finden?

Screenshot 2025-05-11 094841.png

Bisher wird lediglich die Startpartition, also Laufwerk C:, während der Installation automatisch verschlüsselt. Alle anderen Partitionen bleiben unverschlüsselt.

[Sam2]

Bei meinem Test wurde der ganze Datenträger mit Partition C, D, E, F verschlüsselt.

[DK2000]

Interessant. Hatte ich so in der VM noch nicht. Und auf realer Hardware kann ich das leider mangels Kompatibilität nicht testen.

[ALDI]

Bei mir wurden auch alle Datenträger incl. aller Partitionen verschlüsselt.
Selbst mehrere virtuelle Laufwerke (VHDX) blieben von der Verschlüsselung nicht verschont!

aScreenshot 2025-04-09 172954.png

Ein folgenschweres Scenario: Jemand hat im BIOS die Speichersettings geändert und nach dem Reboot kam es bei der Entschlüsselung zu einem BSOD. Er hat dann am Ende alle Daten verloren.

[John-Boy]

Mit einer autounattend.xml deaktivieren und gut ist

Code: Alles auswählen

reg.exe add "HKLM\SYSTEM\CurrentControlSet\Control\BitLocker" /v "PreventDeviceEncryption" /t REG_DWORD /d 1 /f;