Bitlocker Falle - Windows 11 Pro 25H2

[KaiM]

Hallo,

die Bitlocker Fallle hat bei mir zugeschlagen, dabei habe ich nur das UEFI Bios auf den Werkszustand zurückgesetzt. Es wurde automatisch verschlüsselt.

Richtig erschrocken bin ich, dabei dachte ich habe das System im Griff.

System:
Windows 11 Pro 25H2
mit lokalem Konto

Powershell

Code: Alles auswählen

manage-bde -status

Ergebnis

Code: Alles auswählen

PS C:\WINDOWS\system32> manage-bde -status
BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.26100
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.

Datenträgervolumes, die mit BitLocker-Laufwerkverschlüsselung
geschützt werden können:
Volume "C:" [Windows]
[Betriebssystemvolume]

    Größe:                        543,16 GB
    BitLocker-Version:            Kein
    Konvertierungsstatus:         Vollständig entschlüsselt
    Verschlüsselt (Prozent):      0,0 %
    Verschlüsselungsmethode:      Kein
    Schutzstatus:                 Der Schutz ist deaktiviert.
    Sperrungsstatus:              Entsperrt
    ID-Feld:                      Kein
    Schlüsselschutzvorrichtungen: Keine gefunden

Volume "D:" [lager]
[Datenvolume]

    Größe:                        1287,32 GB
    BitLocker-Version:            Kein
    Konvertierungsstatus:         Vollständig entschlüsselt
    Verschlüsselt (Prozent):      0,0 %
    Verschlüsselungsmethode:      Kein
    Schutzstatus:                 Der Schutz ist deaktiviert.
    Sperrungsstatus:              Entsperrt
    ID-Feld:                      Kein
    Automatische Entsperrung:     Deaktiviert
    Schlüsselschutzvorrichtungen: Keine gefunden

PS C:\WINDOWS\system32>

Bitlocker ist inzwischen wieder deaktiviert.

Wie kann ich Bitlocker dauerhaft sicher deaktivieren?

VG
Kai.

[Tante Google]

[Holgi]

schaust du hier:
https://www.deskmodder.de/wiki/index.ph ... ler_finden

Code: Alles auswählen

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker]
"PreventDeviceEncryption"=dword:00000001

Screenshot 2026-05-02 115305.jpg

Screenshot 2026-05-02 120322.jpg

gpedit.msc öffnen

Navigiere zu:

Computerkonfiguration
→ Administrative Vorlagen
→ Windows-Komponenten
→ BitLocker-Laufwerkverschlüsselung
→ Betriebssystemlauferke
Setze:
„Zusätzliche Authentifizierung beim Start anfordern“ → Deaktiviert

[vorXII]

cmd als Administrator und:

Abfrage:
manage-bde -status

Abschalten:
manage-bde -off c:

Ergebnis nach kurzer Wartezeit:

Code: Alles auswählen

    BitLocker-Version:            Kein
    Konvertierungsstatus:         Vollständig entschlüsselt
    Verschlüsselt (Prozent):      0,0 %
    Verschlüsselungsmethode:      Kein
    Schutzstatus:                 Der Schutz ist deaktiviert.

[KaiM]

Hallo, macht es wirklich Sinn die Bitlocker dauerhaft zu aktivieren?
Wie kann es sein, dass beim Reset vom Bios auf den Werkszustand Bitlocker automatisch verschlüsselt?
Ein Passwort ist bei dem Windows 11 25H nicht gesetzt, es handelt sich um eine Lokale Installation.

Wie gut, dass ich kein Online Konto mit einem MS Account mit Fakedatenhinterlegung genutzt habe.
Dann wäre ich evtl. völlig ausgesperrt?
Welchen Weg gibt es dann, kann MS dann evtl. helfen, wenn der Bitlocker Schlüssel online im MS Account liegt?

Ich bin immer noch geschockt, dass mir so etwas passieren kann. :-(
Windows 11 Pro hat ohne zu Fragen über meine Entscheidung entschieden.

Könnte ich als Lösung auch den TPM Chip im Bios deaktivieren, oder gibt es dann an anderer Stelle mit W 11 Probleme?

[Holgi]

TPM Deaktivierung ist naheliegend.
Aus meiner Sicht ist TPM unnötig.
Aber Windows 11 benötigt für die Installation TPM (wir wissen es kann umgangen werden) und evtl. benötigt auch mal die eine oder andere Hardware/Software TPM ( Fingerabdruckleser..) Du experimentierst doch gerne: probiere es aus!

[Captain_Chris]

... Wie gut, dass ich kein Online Konto mit einem MS Account mit Fakedatenhinterlegung genutzt habe.
Dann wäre ich evtl. völlig ausgesperrt?
Welchen Weg gibt es dann, kann MS dann evtl. helfen, wenn der Bitlocker Schlüssel online im MS Account liegt?

Ich bin immer noch geschockt, dass mir so etwas passieren kann.
Windows 11 Pro hat ohne zu Fragen über meine Entscheidung entschieden. ...

Verstehe deine Panik jetzt nicht. Du hast doch immer unzählige Backup´s.

viewtopic.php?t=33747&start=15
viewtopic.php?t=33264

[Gast2025]

@Bitlocker Falle - Windows 11 Pro 25H2
Rufus, Ventoy, MCT, WinLite, Debloater usw. - "Ist ja alles schön, ABER!"

Der große Unterschied ist: Anhalten oder Deaktivieren"
aussetzen = pausieren = vorübergehend aufheben
"Pausieren ist hier das Stichwort"

MS Empfehlung:
Um dies zukünftig zu vermeiden, sollte vor BIOS-Updates oder Resets die BitLocker-Verschlüsselung immer angehalten werden.

BitLocker aussetzen/deaktivieren:
Wenn Sie Zugriff haben, können Sie in der Systemsteuerung unter "BitLocker-Laufwerksverschlüsselung" den Schutz vorübergehend aufheben.

Wiederherstellungsschlüssel suchen:
Um den 48-stelligen Schlüssel zu sichern könnte man den evtl. noch auf USB Stick sichern. (Lokaler Benutzer)
Wenn BitLocker nach dem Reset doch ungewollt sperrt.

Automatische Geräteverschlüsselung bei Windows 11/10:
Bei vielen modernen Laptops (besonders mit Windows Home oder Pro, wenn mit einem Microsoft-Konto verknüpft) ist die Verschlüsselung bereits aktiv oder "bereit", aber im Hintergrund.

Ein Reset des BIOS kann diese Funktion aktivieren.
Änderung der Sicherheitskonfiguration (TPM): BitLocker nutzt das TPM-Modul (Trusted Platform Module) auf dem Mainboard, um die Schlüssel 48-stellig zu sichern.

BitLocker verwalten.
Wählen Sie im BitLocker-Fenster neben dem Laufwerk (meist C:)
die Option Wiederherstellungsschlüssel sichern.
Wählen Sie die Option In einer Datei speichern.
Wählen Sie den USB-Stick als Speicherort aus und klicken Sie auf Speichern.

Sicherung anlegen!
TPM auslesen: Das ist die Frage.... bevor (clear).
Über die Eingabeaufforderung (CMD) als Admin:
Geben Sie folgenden Befehl ein und drücken Sie Enter:
manage-bde -protectors -get C:
(Ersetzen Sie C: durch den entsprechenden Laufwerksbuchstaben).
Suchen Sie in der Ausgabe nach "Numerisches Kennwort".
Dies ist der 48-stellige Schlüssel.
Kopieren Sie sich diesen Schlüssel in eine Textdatei auf dem USB-Stick.

Niemals nur lokal: "Sicherheitsrisiko"
Speichern Sie den Schlüssel nicht auf dem verschlüsselten Laufwerk (Partition) selbst.
Externe Festplatte = Ordner mit Rechnername
Ausdrucken: Es ist empfehlenswert, den Schlüssel zusätzlich auszudrucken.
Ich denke eher, eine pdf Datei wäre bei so einem Spruch sinnvoll
Identifikation: Die Datei heißt oft "BitLocker Recovery Key" mit einer ID-Nummer.
+ Registry Datei mit Reg Einträgen zum aktiveren / deaktivieren für Bitlocker anlegen

Wenn Sie das BIOS auf Werkseinstellungen (DEFAULT) zurücksetzen, werden Sicherheitsoptionen wie Secure Boot oder der TPM-Modus oft geändert oder das TPM wird "gelöscht" (clear).
BitLocker erkennt diese Änderung als Sicherheitsrisiko, sperrt das Laufwerk und fragt nach dem Wiederherstellungsschlüssel, was oft als "aktive Verschlüsselung" wahrgenommen wird.

RE - Aktivierung von TPM oder Secure Boot:
Durch den (BIOS) Reset wird oft der Standardzustand hergestellt, bei dem TPM und Secure Boot "Enabled" sind.
Kann einem also auch so nebenbei bei leer werdender Batterie passieren
Hardwareänderungen oder Systemfehler
Wer geht schon gerne in's BIOS...

Ist die Windows-Geräteverschlüsselung "konfiguriert", beginnt das System sofort, den Datenträger zu verschlüsseln.

Wie Sie den Wiederherstellungsschlüssel sichern, hängt letztlich von Ihrer Windows-Edition ab.

Wer noch weiter dazu lesen will:
https://www.drivelock.com/de/blog/bitlo ... luesselung

Unliebsame Überraschungen.....
Nun ja, wenn du den Schlüssel nicht mehr hast, dann sind deine Daten futsch.
Das ist ja der Sinn einer Verschlüsselung dass man da nicht mehr dran kommt.

Nun kann man sich das Szenario mit der pnpclass.sys noch Mal überlegen

"KaiM ist nicht alleine damit konfrontiert"
Ich hoffe, ihr hattet wieder Spaß beim Lesen

[KaiM]

Panik habe, hatte ich nicht, ich ägere mich über mich selbst, weil sich das System verselbständigen konnte und ich es nicht gleich gemerkt habe.

Mein gesamtes Backupkonzept ist gut.

[DK2000]

Bei mir aktiviert sich die Geräteverschlüsselung nur bei Neuinstallation, außer ich unterbinde das mit einer Antwortdatei (die ich natürlich immer vergesse). Im laufenden Betrieb oder bei Inplace Upgrade hatte ich das noch nicht. Und ohne Microsoft Konto wird diese so oder so bei der Home nicht abgeschlossen. Da muss man schon manuell etwas nachhelfen. Keine Ahnung, warum sich das bei Dir automatisch aktiviert hat.