BitLocker Wiederherstellungsschlüssel wurde ohne sichtbaren Grund geändert
Hallo zusammen,
kürzlich habe ich aufgrund des End-of-Life von Windows 10 einen Rechner aktualisiert, auf dem BitLocker aktiviert war.
Nachdem ich den Wiederherstellungsschlüssel eingeben musste, stellte ich fest, dass dieser nicht akzeptiert wurde. Da ich BitLocker erst vor Kurzem eingerichtet habe, bin ich mir sicher, dass der Schlüssel, den ich auf einem Netzlaufwerk (mit ausschließlich eigenem Zugriff) abgelegt hatte, aktuell war (Mitte 2024).
Um das Verhalten zu überprüfen, habe ich den Vorgang auf einem anderen Gerät getestet – mit demselben Ergebnis. Eine mögliche Lösung habe ich bereits im Kopf und teste diese aktuell: Ich erstelle ein Skript, das automatisch die BitLocker-Schlüssel sichert, um solche Fälle in Zukunft zu vermeiden. Falls es sich bewährt, werde ich die Details dazu noch teilen.
Daher meine Frage:
Ist euch dieses Problem ebenfalls schon aufgefallen, und habt ihr möglicherweise eine Ursache oder eine präventive Maßnahme gefunden?
Ich möchte hier keine unnötige Sorge verbreiten – es kann natürlich sein, dass es sich nur um einen Einzelfall handelt (warum genau, ist mir aber unklar).
Ein großes Lob geht an ManageEngine, da das Tool noch den aktuellen BitLocker-Schlüssel gespeichert hatte – ohne diesen wäre ich ziemlich aufgeschmissen gewesen.
Details zu den betroffenen Rechnern:
Rechner 1:
War mit einem softwarebasierten TPM (seitens Mainboard) eingerichtet.
Dieses TPM ist zwischenzeitlich ausgefallen, weshalb ein Passwort als Ersatz genutzt werden musste (BIOS-Batterie leer).
Mittlerweile wurde das TPM wieder eingerichtet – hier könnte ich mir den Schlüsselverlust noch erklären, aber eine entsprechende Warnung seitens Windows wäre hilfreich gewesen.
Rechner 2:
Hier wurde lediglich ein BIOS-Update seitens des Hypervisors (Proxmox) durchgeführt.
Ich werde im Laufe der nächsten Tage weitere Rechner prüfen und berichten.
Viele Grüße
kürzlich habe ich aufgrund des End-of-Life von Windows 10 einen Rechner aktualisiert, auf dem BitLocker aktiviert war.
Nachdem ich den Wiederherstellungsschlüssel eingeben musste, stellte ich fest, dass dieser nicht akzeptiert wurde. Da ich BitLocker erst vor Kurzem eingerichtet habe, bin ich mir sicher, dass der Schlüssel, den ich auf einem Netzlaufwerk (mit ausschließlich eigenem Zugriff) abgelegt hatte, aktuell war (Mitte 2024).
Um das Verhalten zu überprüfen, habe ich den Vorgang auf einem anderen Gerät getestet – mit demselben Ergebnis. Eine mögliche Lösung habe ich bereits im Kopf und teste diese aktuell: Ich erstelle ein Skript, das automatisch die BitLocker-Schlüssel sichert, um solche Fälle in Zukunft zu vermeiden. Falls es sich bewährt, werde ich die Details dazu noch teilen.
Daher meine Frage:
Ist euch dieses Problem ebenfalls schon aufgefallen, und habt ihr möglicherweise eine Ursache oder eine präventive Maßnahme gefunden?
Ich möchte hier keine unnötige Sorge verbreiten – es kann natürlich sein, dass es sich nur um einen Einzelfall handelt (warum genau, ist mir aber unklar).
Ein großes Lob geht an ManageEngine, da das Tool noch den aktuellen BitLocker-Schlüssel gespeichert hatte – ohne diesen wäre ich ziemlich aufgeschmissen gewesen.
Details zu den betroffenen Rechnern:
Rechner 1:
War mit einem softwarebasierten TPM (seitens Mainboard) eingerichtet.
Dieses TPM ist zwischenzeitlich ausgefallen, weshalb ein Passwort als Ersatz genutzt werden musste (BIOS-Batterie leer).
Mittlerweile wurde das TPM wieder eingerichtet – hier könnte ich mir den Schlüsselverlust noch erklären, aber eine entsprechende Warnung seitens Windows wäre hilfreich gewesen.
Rechner 2:
Hier wurde lediglich ein BIOS-Update seitens des Hypervisors (Proxmox) durchgeführt.
Ich werde im Laufe der nächsten Tage weitere Rechner prüfen und berichten.
Viele Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672305
Url: https://administrator.de/forum/bitlocker-wiederherstellungsschluessel-wurde-ohne-sichtbaren-grund-geaendert-672305.html
Ausgedruckt am: 09.04.2025 um 05:04 Uhr
6 Kommentare
Neuester Kommentar
Moin.
Die Schlüssel ändern sich nicht von allein.
Welche Funktion hat Dein manage-Engine-Tool inne? Ist es evtl. dazu berechtigt, Key-Rotation zu machen?
Dieses Problem sollte sich nie stellen. Wenn man erzwingt, dass der Recoverykey immer gebackupt wird (z.B. ins lokale AD), dann kann er nicht ohne Backup geändert werden.
Die Schlüssel ändern sich nicht von allein.
Welche Funktion hat Dein manage-Engine-Tool inne? Ist es evtl. dazu berechtigt, Key-Rotation zu machen?
Dieses Problem sollte sich nie stellen. Wenn man erzwingt, dass der Recoverykey immer gebackupt wird (z.B. ins lokale AD), dann kann er nicht ohne Backup geändert werden.
Es gibt keine ungeplante Rotation. Das passiert nicht von alleine. Hat auch mit TPMs gar nichts zu tun, da ein Recoverykey ein unabhängiger Protektor ist.
Wenn Rotation bei Euch eingestellt ist: abstellen. Ist sicherheitstechnisch kein Gewinn und wird nur dann empfohlen, falls man den Rec-Key an Mitarbeiter rausgeben musst und direkt danach ändern will - das kann man dann manuell machen.
Wenn Rotation bei Euch eingestellt ist: abstellen. Ist sicherheitstechnisch kein Gewinn und wird nur dann empfohlen, falls man den Rec-Key an Mitarbeiter rausgeben musst und direkt danach ändern will - das kann man dann manuell machen.
Moin,
einen geänderten Schlüssel hatte ich auch noch nie.
Ich habe im RMM ein PS-Skript welches erkennt ob sich der Schlüssel geändert hat und diesen als Fehler ausgibt.
Damit erscheint es im RMM im Log.
Es ist eher für interne Geräte bei KMUs gedacht die kein Bitlocker haben und jemand (Microsoft) aktiviert es ohne den Schlüssel aufzuschreiben.
Feel free zu benutzen er kann (Sprachknoten++)
Stefan
einen geänderten Schlüssel hatte ich auch noch nie.
Ich habe im RMM ein PS-Skript welches erkennt ob sich der Schlüssel geändert hat und diesen als Fehler ausgibt.
Damit erscheint es im RMM im Log.
Es ist eher für interne Geräte bei KMUs gedacht die kein Bitlocker haben und jemand (Microsoft) aktiviert es ohne den Schlüssel aufzuschreiben.
Feel free zu benutzen er kann (Sprachknoten++)
Stefan
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
# BitlockerInfo.ps1
# Shows Bitlocker recovery password for all drives
# Creates by Stefan Kittel (https:{{comment_single_line_double_slash:0}}
# Version 13.05.24 09:21
# Output like
# C:{xxxxxxx-339B-410B-90DB-7F211BD61876}:xxxxxxx-384109-643698-023991-193688-493592-234124-xxxxxxx,P:{xxxxxxx-3B16-4D04-86EC-CCEC1D8CC94C}:xxxxxxx-014311-534391-553025-196163-033759-412577-xxxxxxxx
#https:{{comment_single_line_double_slash:1}}
$OutputString =""
$BitlockerMountPointArray = (Get-BitlockerVolume)
foreach ($BitlockerMountPointItem in $BitlockerMountPointArray)
{
If ($BitlockerMountPointItem.protectionstatus -like "On")
{
foreach ($KeyProtector in $BitlockerMountPointItem.KeyProtector)
{
if ($KeyProtector.KeyProtectorType -eq "RecoveryPassword")
{
$OutputString = $OutputString + $BitlockerMountPointItem.MountPoint
$OutputString = $OutputString + $KeyProtector.KeyProtectorId
$OutputString = $OutputString + ":"
$OutputString = $OutputString + $KeyProtector.RecoveryPassword
$OutputString = $OutputString + ","
$OutputCount = $OutputCount + 1
}
else
{
#No infos about tpm or ad stored keys, ignore
}
}
}
else
{
#No infos about unencrypted drives
}
}
if (!$OutputString)
{
Write-Host "No recovery passwords found"
exit 0
}
#remove last comma
$OutputString = $OutputString.trim(",")
#Write-Host $OutputString
#create hash from output string
$hashString = [System.BitConverter]::ToString([System.Security.Cryptography.HashAlgorithm]::Create('sha256').ComputeHash([System.Text.Encoding]::UTF8.GetBytes($OutputString)))
#Write-Host $hashString
#reg infos
$KeyPath = "HKLM:\SOFTWARE\SKIT\BitlockerInfo2"
$ValueName = $hashString
$ValueData = Get-Date
#get last hash info from registry, use later to set exit code
$LastHashUpdate = (Get-ItemProperty -Path $KeyPath -Name $ValueName -ErrorAction SilentlyContinue).$ValueName
#create path if not exists
If (-NOT (Test-Path $KeyPath))
{
New-Item -Path $KeyPath -Force | Out-Null
}
#create/update registry value
New-ItemProperty -Path $KeyPath -Name $ValueName -Value $ValueData -Type String -Force | Out-Null
#if new item return error to force rmm to log it
if (!$LastHashUpdate)
{
#Write-Host 1001
Write-Host $OutputString
exit 1001
}
else
{
#Write-Host OK
Write-Host $OutputString
exit 0
}