8
Bitlocker - Wechseldatenträger ohne Passwort verschlüsseln
Windows10 unterscheidet in Bitlocker zwischen 3 Speichertypen:
- Betriebssystemlaufwerk
- Festplattenlaufwerke
- Wechseldatenträger
Entsprechende Unterscheidungen gibt es auch in den GPOs. Habe wohl schon alles probiert in den GPOs, stehe jedoch vor dem Problem:
Ich kann mein Betriebssystemlaufwerk C: so verschlüsseln, dass ich mit einer .bek Datei auf einem USB-Stick die Platte beim Booten sofort zur Verfügung habe.
Genau nach dem Schema möchte ich aber auch einen Wechseldatenträger (externe Festplatte an eSATA) verschlüsseln. Diese soll auch mit einer .bek Datei entschlüsselt werden.
Bitlocker fragt mich aber entweder nach einem Passwort oder dass ich es Automatisch Entschlüsseln lassen soll im Bitlocker-Menü.
Je nachdem wie ich die GPOs einstelle fragt es entweder nach Passwort oder Auto. Entschlüsseln. So wie das Betriebssystemlaufwerk kann ich die GPOs jedoch nicht einstellen,
da bei Wechseldatenträgern die Option fehlt. Mir war aber so, dass es früher so möglich war, wie ich es konfigurieren will. Eine Idee?
PS: Bitte nun keine Sinndiskussionen, warum ich kein Kennwort oder PIN mit TPM nutzen möchte, danke. Ich benutze grundsätzlich kein TPM und eine AD existiert auch nicht.
- Betriebssystemlaufwerk
- Festplattenlaufwerke
- Wechseldatenträger
Entsprechende Unterscheidungen gibt es auch in den GPOs. Habe wohl schon alles probiert in den GPOs, stehe jedoch vor dem Problem:
Ich kann mein Betriebssystemlaufwerk C: so verschlüsseln, dass ich mit einer .bek Datei auf einem USB-Stick die Platte beim Booten sofort zur Verfügung habe.
Genau nach dem Schema möchte ich aber auch einen Wechseldatenträger (externe Festplatte an eSATA) verschlüsseln. Diese soll auch mit einer .bek Datei entschlüsselt werden.
Bitlocker fragt mich aber entweder nach einem Passwort oder dass ich es Automatisch Entschlüsseln lassen soll im Bitlocker-Menü.
Je nachdem wie ich die GPOs einstelle fragt es entweder nach Passwort oder Auto. Entschlüsseln. So wie das Betriebssystemlaufwerk kann ich die GPOs jedoch nicht einstellen,
da bei Wechseldatenträgern die Option fehlt. Mir war aber so, dass es früher so möglich war, wie ich es konfigurieren will. Eine Idee?
PS: Bitte nun keine Sinndiskussionen, warum ich kein Kennwort oder PIN mit TPM nutzen möchte, danke. Ich benutze grundsätzlich kein TPM und eine AD existiert auch nicht.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 538504
Url: https://administrator.de/forum/bitlocker-wechseldatentraeger-ohne-passwort-verschluesseln-538504.html
Ausgedruckt am: 08.04.2025 um 18:04 Uhr
8 Kommentare
Neuester Kommentar
Moin.
Du kannst die .bek-Datei schon nutzen, nur leider nicht über das Menü. Ist dein Laufwerk x: und die .bekdatei in c:\users\deinnutzer\documents\irgendeine.bek, ist der Befehl
Du kannst die .bek-Datei schon nutzen, nur leider nicht über das Menü. Ist dein Laufwerk x: und die .bekdatei in c:\users\deinnutzer\documents\irgendeine.bek, ist der Befehl
1
manage-bde -unlock x: -rk c:\users\deinnutzer\documents\irgendeine.bek
1
Hm ok. Vielleicht benutze ich doch ein Kennwort für den Wechseldatenträger und die .bek Datei und die 48 Zahlen in der Wiederherstellungstext-Datei als Notfall-Lösung. Ich denke bei den Wechseldatenträgern kann ich damit leben. Aber ist es korrekt, dass dies erst in einer der letzten Windows10 Versionen geändert wurde?
Meines Wissens war das schon immer so.
Sag mal, warum lässt Du das Laufwerk nicht automatisch entsperren? Dabei wird eine vom System sicher abgelegte .bek-Datei automatisch verwendet.
Sag mal, warum lässt Du das Laufwerk nicht automatisch entsperren? Dabei wird eine vom System sicher abgelegte .bek-Datei automatisch verwendet.
Das ist eine lange Geschichte. Wer es unbedingt lesen will:
Ich habe 4 Platten + 1 neu:
- SSD C: OS
- SSD D: Massenspeicher (auto. Entschlüsslung)
- HDD X: Backup1 (auto. Entschlüsselung)
- HDD Y: Backup2 (keine Auto.Entschlüsselung)
- (neue m.2 SSD als Upgrade für C: )
Vor ein paar Tagen hatte ich hier einen Beinahe Super-GAU. Daten der letzten 20 Jahre wären fast alle futsch gewesen. Ich bin da wirklich blau angelaufen ab einem gewissen Zeitpunkt und mir war auch wirklich ein wenig schwindlig. Hab eine neue m.2 SSD eingebaut und das Win10 von der 2.5" SSD rübergeklont via Clonezilla außerhalb Win10. Alles gut erst mal. Nach nem Tag dachte ich mir, ich bau die 2.5 SSD wieder ein, formatiere sie unter Win10 und nutze sie als Massenspeicher, ist ja schließlich was wert. Aus irgend einem Grund, den ich nicht nachvollziehen kann, hatte ich aber plötzlich beim Boot einen Bluescreen, winload.exe nicht auffindbar und Bitlocker Code(48 Zahlen) wurde schon nicht akzeptiert. Abstecken der alten SSD brachte nichts. m.2 MBR irgendwie defekt und winload.exe nicht auffindbar (0x0000e Fehler oder ähnlich). Bin mir 100% sicher das lag am Klon-Original den ich wieder unter Win10 eingebaut habe, begründen kann ichs aber nicht, ergibt kein Sinn. Blöd nur, dass ich die sehr gründlich überschrieben habe als es noch gemeinsam lief, vor dem Reboot. Sämtliche Versuche die MBR-Bootpartition der m.2 zu retten/neu erstellen usw scheiterten.
Da war ich noch cool. Hey dachte ich mir, die Daten sind ja noch alle da, ich habe alle .bek und .txt schließlich auf der USB. Das mit C: ist erst mal blöd aber was solls. Ich installier jetzt einfach Win10 neu auf der alten 2.5 SSD und entschlüssel dann von dort aus nacheinander die Platten und auf den Externen liegen ja noch Images von C: (3 Monate alt damit kann ich leben). Das spiel ich dann auf die m.2 zurück, dann ist alles gut. Blöd nur, dass auf dem frischen Win10 ALLE Schlüssel nicht akzeptiert wurden, weder die .bek's noch die 48Zahlen, auf keinem (!) Laufwerk. Die Identifier zu den Keys waren alle deckungsgleich. Ab hier lief ich dann blau an!!! Daton von über 20 Jahren futsch?!
Erst als ich die zweite Backup-Platte mal via USB@SATA-Adapter an meinem Zweitrechner anschloss, hellte sich meine Laune wieder ein wenig auf. Dort wurde der 48Zahlencode SOFORT ZACK akzeptiert. Nach und nach entschlüsselte ich auch die übrigen Laufwerke via Adapter am Zweitrechner, wobei erstaunlicherweise die D: (also mit Auto. Entschlüsselung) erst nach der zweiten (!) Eingabe des 48er Codes akzeptiert wurde (die erste Eingabe war aber zu 100% korrekt). Zum Glück hab ichs da 2x probiert, wollte die Daten auch schon abschreiben. Alles irgendwie seltsam, ich weiß. Und hätte auch schon alles auf dem Hauptrechner alles funktionieren müssen. Und warum die m.2 die MBR zerschossen wurde und da schon der Bitlocker Code nicht akzeptiert wurde bei der Systemreparatur CD weiß ich auch nicht. Meine Lehre daraus ist: Die D: meinetwegen als interne Platte auto. Entschlüsseln, aber die 2 Backup HDDs eben nicht mehr. Auch wenn .bek's und 48er Zahlen alle vorliegen, verhält sich das seltsam. Ich weiß klingt alles etwas schräg aber genau so hab ichs erlebt und ich war bei allem sehr Gewissenhaft, keine Eingabefehler, vor allem Bitlocker meldet ja Falscheingaben beim 48er Code. Da waren keine Falscheingaben. Viele Fragen, keine Antworten, aber Hals aus der Schlinge gezogen. Und am verlässlichsten war die externe Platte ohne Auto. Entschlüsselung, die hatte ich vor Jahren schon verschlüsselt.
Ich habe 4 Platten + 1 neu:
- SSD C: OS
- SSD D: Massenspeicher (auto. Entschlüsslung)
- HDD X: Backup1 (auto. Entschlüsselung)
- HDD Y: Backup2 (keine Auto.Entschlüsselung)
- (neue m.2 SSD als Upgrade für C: )
Vor ein paar Tagen hatte ich hier einen Beinahe Super-GAU. Daten der letzten 20 Jahre wären fast alle futsch gewesen. Ich bin da wirklich blau angelaufen ab einem gewissen Zeitpunkt und mir war auch wirklich ein wenig schwindlig. Hab eine neue m.2 SSD eingebaut und das Win10 von der 2.5" SSD rübergeklont via Clonezilla außerhalb Win10. Alles gut erst mal. Nach nem Tag dachte ich mir, ich bau die 2.5 SSD wieder ein, formatiere sie unter Win10 und nutze sie als Massenspeicher, ist ja schließlich was wert. Aus irgend einem Grund, den ich nicht nachvollziehen kann, hatte ich aber plötzlich beim Boot einen Bluescreen, winload.exe nicht auffindbar und Bitlocker Code(48 Zahlen) wurde schon nicht akzeptiert. Abstecken der alten SSD brachte nichts. m.2 MBR irgendwie defekt und winload.exe nicht auffindbar (0x0000e Fehler oder ähnlich). Bin mir 100% sicher das lag am Klon-Original den ich wieder unter Win10 eingebaut habe, begründen kann ichs aber nicht, ergibt kein Sinn. Blöd nur, dass ich die sehr gründlich überschrieben habe als es noch gemeinsam lief, vor dem Reboot. Sämtliche Versuche die MBR-Bootpartition der m.2 zu retten/neu erstellen usw scheiterten.
Da war ich noch cool. Hey dachte ich mir, die Daten sind ja noch alle da, ich habe alle .bek und .txt schließlich auf der USB. Das mit C: ist erst mal blöd aber was solls. Ich installier jetzt einfach Win10 neu auf der alten 2.5 SSD und entschlüssel dann von dort aus nacheinander die Platten und auf den Externen liegen ja noch Images von C: (3 Monate alt damit kann ich leben). Das spiel ich dann auf die m.2 zurück, dann ist alles gut. Blöd nur, dass auf dem frischen Win10 ALLE Schlüssel nicht akzeptiert wurden, weder die .bek's noch die 48Zahlen, auf keinem (!) Laufwerk. Die Identifier zu den Keys waren alle deckungsgleich. Ab hier lief ich dann blau an!!! Daton von über 20 Jahren futsch?!
Erst als ich die zweite Backup-Platte mal via USB@SATA-Adapter an meinem Zweitrechner anschloss, hellte sich meine Laune wieder ein wenig auf. Dort wurde der 48Zahlencode SOFORT ZACK akzeptiert. Nach und nach entschlüsselte ich auch die übrigen Laufwerke via Adapter am Zweitrechner, wobei erstaunlicherweise die D: (also mit Auto. Entschlüsselung) erst nach der zweiten (!) Eingabe des 48er Codes akzeptiert wurde (die erste Eingabe war aber zu 100% korrekt). Zum Glück hab ichs da 2x probiert, wollte die Daten auch schon abschreiben. Alles irgendwie seltsam, ich weiß. Und hätte auch schon alles auf dem Hauptrechner alles funktionieren müssen. Und warum die m.2 die MBR zerschossen wurde und da schon der Bitlocker Code nicht akzeptiert wurde bei der Systemreparatur CD weiß ich auch nicht. Meine Lehre daraus ist: Die D: meinetwegen als interne Platte auto. Entschlüsseln, aber die 2 Backup HDDs eben nicht mehr. Auch wenn .bek's und 48er Zahlen alle vorliegen, verhält sich das seltsam. Ich weiß klingt alles etwas schräg aber genau so hab ichs erlebt und ich war bei allem sehr Gewissenhaft, keine Eingabefehler, vor allem Bitlocker meldet ja Falscheingaben beim 48er Code. Da waren keine Falscheingaben. Viele Fragen, keine Antworten, aber Hals aus der Schlinge gezogen. Und am verlässlichsten war die externe Platte ohne Auto. Entschlüsselung, die hatte ich vor Jahren schon verschlüsselt.
Nutze Backups, dann brauchst Du Super-GAUs nicht zu fürchten.
Installiert man Windows 10 "frisch", dann kommt es darauf an, welchen Build die Setupmedien hatten. Ist er 1507/10240, dann kann die XTS-Verschlüsselung noch nicht gelesen werden und Windows sagt "Schlüssel nicht korrekt". In dem Fall zunächst Windows aktualisieren auf den derzeitig aktuellen Build, dann klappt das auch.
Eine automatische Entsperrung kann zusätzlich zu Kennwort und .bek-Datei genutzt werden - einfacher geht's nicht und dennoch sicher.
Installiert man Windows 10 "frisch", dann kommt es darauf an, welchen Build die Setupmedien hatten. Ist er 1507/10240, dann kann die XTS-Verschlüsselung noch nicht gelesen werden und Windows sagt "Schlüssel nicht korrekt". In dem Fall zunächst Windows aktualisieren auf den derzeitig aktuellen Build, dann klappt das auch.
Eine automatische Entsperrung kann zusätzlich zu Kennwort und .bek-Datei genutzt werden - einfacher geht's nicht und dennoch sicher.
Hatte ja Backups. 2 ext Platten sogar. Mit auto. Entschlüsseln eine davon. Heimtückisch dabei dann wird eine zweite .bek erzeugt. Sieht man nur wenn man mit manage-bde draufguckt. Speichert man sie raus weiss man erst mal nicht welche. Muss man nachschauen. Sind beide gültig?
Das mit der veralteten Win10 Version kann sein. Habs glaub ich mit ner alten CD neu installiert. Creation Tool kam erst später. Würde erklären, warum der aktuellere Zweitrechner die Codes genommen hat. Würde auch erklären warum die Win10 CD Reparatur die C auch nicht entschlüsselt hat. Gab aber auch keine Meldungen bzgl Versionen.
Erklärt aber nicht warum die mbr der C anfangs hops ging als ich die geklonte Platte wieder reingehangen hab. Damit fings an. Auch beim Zweitrechner erst mal 48er Code nicht genommen bei einer Platte. Datenverlust hatte ich am Ende nur wenig. Ging ja alles gut. Waren aber bescheidene Stunden. So oder so ich bevorzuge bek auf USB ohne Kennwort. Die Textschlüssel hab ich auch immer separat gesichert. Ich sag nicht dass Bitlocker Müll ist. Aber ich bin mir sicher früher konnte man nur mit bek verschlüsseln. Kann man heute auch über cmd. Weiss aber nicht ob die Verschlüsselung dann aktiviert wird. Auch die vielen Schlüsselnamen und Übersetzungen sind unglücklich in gpedit. Systemschlüssel, Wiederherstellungsschlüssel, Kennwort, Pin, Systemstartschlüssel. War davor kein Rookie. Nun wieder manches dazu gelernt. Ich werde nun schauen ob man das Passwort zwangsläufig braucht oder obs stattdessen auch die bek nimmt
Das mit der veralteten Win10 Version kann sein. Habs glaub ich mit ner alten CD neu installiert. Creation Tool kam erst später. Würde erklären, warum der aktuellere Zweitrechner die Codes genommen hat. Würde auch erklären warum die Win10 CD Reparatur die C auch nicht entschlüsselt hat. Gab aber auch keine Meldungen bzgl Versionen.
Erklärt aber nicht warum die mbr der C anfangs hops ging als ich die geklonte Platte wieder reingehangen hab. Damit fings an. Auch beim Zweitrechner erst mal 48er Code nicht genommen bei einer Platte. Datenverlust hatte ich am Ende nur wenig. Ging ja alles gut. Waren aber bescheidene Stunden. So oder so ich bevorzuge bek auf USB ohne Kennwort. Die Textschlüssel hab ich auch immer separat gesichert. Ich sag nicht dass Bitlocker Müll ist. Aber ich bin mir sicher früher konnte man nur mit bek verschlüsseln. Kann man heute auch über cmd. Weiss aber nicht ob die Verschlüsselung dann aktiviert wird. Auch die vielen Schlüsselnamen und Übersetzungen sind unglücklich in gpedit. Systemschlüssel, Wiederherstellungsschlüssel, Kennwort, Pin, Systemstartschlüssel. War davor kein Rookie. Nun wieder manches dazu gelernt. Ich werde nun schauen ob man das Passwort zwangsläufig braucht oder obs stattdessen auch die bek nimmt
Dein Problem löst Du (vorher) wie folgt. Backup auf Wechselplatte(n) per EFS und BL chiffriert. Den privaten EFS Key exportierst Du auf mehrere USB Sticks die 101% sicher und getrennt gelagert werden. BL nutzt Du auf diesen Wechselplatten NUR mit PW (20 + Stellen). Den Recovery Key druckst Du aus und lagerst ihn 101% sicher.
Im Schadfall des kompletten Systems installierst Du den PC neu, importierst den EFS Key und stöpselst die Wechselplatte an, PW Eingabe, fertig!
Automatisches Entsperren ist bequem...Chiffrierung ist nie bequem … Das Du kein TPM nutzt ist gut, zeugt von Wissen … Das TPM kann von der ME beeinflusst werden und die kann beeinflusst werden, Intel legt den chiffrierten Code der ME nicht offen.
Denkbares Szenario: Land mit 3 Buchstaben gibt Intel den Befehl per I Net über die ME das TPM zu sperren … was dann???
Frage an DerWoWusste: OK so?
Im Schadfall des kompletten Systems installierst Du den PC neu, importierst den EFS Key und stöpselst die Wechselplatte an, PW Eingabe, fertig!
Automatisches Entsperren ist bequem...Chiffrierung ist nie bequem … Das Du kein TPM nutzt ist gut, zeugt von Wissen … Das TPM kann von der ME beeinflusst werden und die kann beeinflusst werden, Intel legt den chiffrierten Code der ME nicht offen.
Denkbares Szenario: Land mit 3 Buchstaben gibt Intel den Befehl per I Net über die ME das TPM zu sperren … was dann???
Frage an DerWoWusste: OK so?
Ich denke ich werde mit dem neuen Acronis True Image einfach nur die tibx (neuestes Acronis-Format) den Image-Klon verschlüsseln. Zumindestens bei einer Backup-Platte. Die zweite Backup-Platte wie gehabt mit Bitlocker meinetwegen mit Kennwort. Bei Acronis muss ich aber erst noch schauen welche Encryption-Stärke maximal einstellbar ist.
