Bitlocker wird nach Tausch der System SSD nicht mehr ausgeführt
Ich bin auf diese Seite gestoßen, da ich seit ein paar Tagen ein Problem mit Bitlocker habe und im Netz nun nach einer Lösung suche.
Ursprünglich habe ich diese Frage bereits als Kommentar des Artikels "Meine Wissenssammlung zu Bitlocker" gepostet. Hier hat mich jedoch der Threadersteller gebeten eine direkte Frage zu stellen. Dieser Bitte komme ich natürlich gerne nach!
Folgendes ist passiert:
Der Speicherplatz auf der 128 GB SSD meines HP Envy x360 wurde langsam knapp und daher habe ich mich entschlossen eine größere Platte WD Blue 500 GB einzubauen.
Das Notebook läuft mit Windows 10 Pro und besitzt einen TPM 2.0 Chip.
Das Systemlaufwerk auf der alten ADATA SSD war mit Bitlocker verschlüsselt. Ebenso die "D" Partition der 2ten internen 1TB Festplatte. Beide Schlüssel waren auch im TPM gespeichert und beide Wiederherstellungsschlüssel liegen mir glücklicherweise auch im Klartext vor.
Ich habe mit der Software Paragon das komplette SSD Laufwerk mit allen Partitionen und die die "D" Partition der 2ten Festplatte auf ein externes USB Laufwerk gesichert. Dabei sagte Paragon bereits, dass die Sicherung keine Bitlocker Verschlüsselung mehr hat, was ja auch logisch ist!
Anschließend habe ich die alte SSD Festplatte ausgebaut und die neue eingebaut. Den Rechner habe ich dann mit dem zuvor erstellten Paragon Recovery USB Stick gestartet. Ich habe nun dass Backup auf die neue SSD zurückgespielt und dabei zusätzlich die Partitionsgröße der Windows Partition angepasst (vergrößert).
Nach der Wiederherstellung habe ich den Rechner auch problemlos mit der neuen SSD booten können. Der Zugriff auf Laufwerk D funktionierte erst, nachdem ich den Wiederherstellungsschlüssel eingegeben habe.
In der Bitlockerverwaltung konnte ich nun den Bitlocker für das Laufwerk C: aktivieren und für D: deaktivieren. Ich habe dann allerdings zunächst das D Laufwerk entschlüsselt und die TPM Informationen im Bios gelöscht.
Nach einem Reboot wurde TPM als betriebsbereit angezeigt und ich habe dann den Bitlocker für Laufwerk C aktiviert und nach der Prüfung hat mir Windows 3 Optionen zur Entsperrung vorgeschlagen:
1. Pin Eingabe
2. Entsperrung mit einem USB Stick
3. Automatische Entsperrung.
Ich habe Punkt 3 gewählt, da ich der Ansicht bin, dass der Schlüssel im TPM Chip gesichert wird.
Das System hat anschließend das Laufwerk verschlüsselt und zeigt nach der Fertigstellung den Status "Bitlocker angehalten" an. Auch nach einem Reboot ändert sich an dem Zustand nichts. Bitlocker ist nach wie vor angehalten, starten kann ich ihn augenscheinlich nicht.
Nachdem ich damals das ursprüngliche System von Windows Home auf Windows Pro aktualisiert hatte, habe ich meines Wissens nach "nur" den Bitlocker für beide Laufwerke aktiviert und alles war gut. Der Bitlocker war nach der Verschlüsselung im Status "Aktiviert / Ausgeführt".
Ich habe das Laufwerk noch mal entschlüsselt (Bitlocker deaktiviert) und testweise die Option "Pin verwenden" gewählt. Beim Start wird der Pin abgefragt und dann ist der Bitlocker aber wider im Status angehalten.
Die D Platte konnte dann übrigens wieder ganz normal verschlüsselt werden.
Das Problem trat mit Windows 10 - 1809 erstmalig auf, zwischenzeitlich hatte ich die Verschlüsselung noch mal deaktiviert und heute das ganze noch mal mit nach dem Update auf Build 1903 getestet. Aber das Problem besteht so weiterhin.
Das Administrator.de Mitglied "DerWoWusste" hat mich bereits gebeten folgende Informationen zu posten:
Ergebnis von: manage-bde -status c:
BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.18362
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.
Volume "C:" [Windows]
[Betriebssystemvolume]
Größe: 463,88 GB
BitLocker-Version: 2.0
Konvertierungsstatus: Nur verwendeter Speicherplatz ist verschlüsselt
Verschlüsselt (Prozent): 100,0 %
Verschlüsselungsmethode: XTS-AES 128
Schutzstatus: Der Schutz ist deaktiviert.
Sperrungsstatus: Entsperrt
ID-Feld: Unbekannt
Schlüsselschutzvorrichtungen:
TPM
Numerisches Kennwort
Ergebnis von manage-bde -on c:
BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.18362
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.
Volume "C:" [Windows]
[Betriebssystemvolume]
HINWEIS: Durch diesen Befehl wurden keine neuen Schlüsselschutzvorrichtungen
erstellt. Geben Sie "manage-bde -protectors -add -?" ein, um Informationen
zum Hinzufügen weiterer Schlüsselschutzvorrichtungen anzuzeigen.
HINWEIS: Die Verschlüsselung ist bereits abgeschlossen.
Der BitLocker-Schutz wurde durch Aktivierung der Schlüsselschutzvorrichtungen aktiviert.
Für mich hat das erst mal nichts mit dem TPM Modul zu tun, sondern irgendwas hängt noch im Bitlocker "quer". Wahrscheinlich aus der alten Installation. Oder liege ich mit der Vermutung komplett daneben? Für den richtigen Denkanstoß wäre sehr dankbar!
Ursprünglich habe ich diese Frage bereits als Kommentar des Artikels "Meine Wissenssammlung zu Bitlocker" gepostet. Hier hat mich jedoch der Threadersteller gebeten eine direkte Frage zu stellen. Dieser Bitte komme ich natürlich gerne nach!
Folgendes ist passiert:
Der Speicherplatz auf der 128 GB SSD meines HP Envy x360 wurde langsam knapp und daher habe ich mich entschlossen eine größere Platte WD Blue 500 GB einzubauen.
Das Notebook läuft mit Windows 10 Pro und besitzt einen TPM 2.0 Chip.
Das Systemlaufwerk auf der alten ADATA SSD war mit Bitlocker verschlüsselt. Ebenso die "D" Partition der 2ten internen 1TB Festplatte. Beide Schlüssel waren auch im TPM gespeichert und beide Wiederherstellungsschlüssel liegen mir glücklicherweise auch im Klartext vor.
Ich habe mit der Software Paragon das komplette SSD Laufwerk mit allen Partitionen und die die "D" Partition der 2ten Festplatte auf ein externes USB Laufwerk gesichert. Dabei sagte Paragon bereits, dass die Sicherung keine Bitlocker Verschlüsselung mehr hat, was ja auch logisch ist!
Anschließend habe ich die alte SSD Festplatte ausgebaut und die neue eingebaut. Den Rechner habe ich dann mit dem zuvor erstellten Paragon Recovery USB Stick gestartet. Ich habe nun dass Backup auf die neue SSD zurückgespielt und dabei zusätzlich die Partitionsgröße der Windows Partition angepasst (vergrößert).
Nach der Wiederherstellung habe ich den Rechner auch problemlos mit der neuen SSD booten können. Der Zugriff auf Laufwerk D funktionierte erst, nachdem ich den Wiederherstellungsschlüssel eingegeben habe.
In der Bitlockerverwaltung konnte ich nun den Bitlocker für das Laufwerk C: aktivieren und für D: deaktivieren. Ich habe dann allerdings zunächst das D Laufwerk entschlüsselt und die TPM Informationen im Bios gelöscht.
Nach einem Reboot wurde TPM als betriebsbereit angezeigt und ich habe dann den Bitlocker für Laufwerk C aktiviert und nach der Prüfung hat mir Windows 3 Optionen zur Entsperrung vorgeschlagen:
1. Pin Eingabe
2. Entsperrung mit einem USB Stick
3. Automatische Entsperrung.
Ich habe Punkt 3 gewählt, da ich der Ansicht bin, dass der Schlüssel im TPM Chip gesichert wird.
Das System hat anschließend das Laufwerk verschlüsselt und zeigt nach der Fertigstellung den Status "Bitlocker angehalten" an. Auch nach einem Reboot ändert sich an dem Zustand nichts. Bitlocker ist nach wie vor angehalten, starten kann ich ihn augenscheinlich nicht.
Nachdem ich damals das ursprüngliche System von Windows Home auf Windows Pro aktualisiert hatte, habe ich meines Wissens nach "nur" den Bitlocker für beide Laufwerke aktiviert und alles war gut. Der Bitlocker war nach der Verschlüsselung im Status "Aktiviert / Ausgeführt".
Ich habe das Laufwerk noch mal entschlüsselt (Bitlocker deaktiviert) und testweise die Option "Pin verwenden" gewählt. Beim Start wird der Pin abgefragt und dann ist der Bitlocker aber wider im Status angehalten.
Die D Platte konnte dann übrigens wieder ganz normal verschlüsselt werden.
Das Problem trat mit Windows 10 - 1809 erstmalig auf, zwischenzeitlich hatte ich die Verschlüsselung noch mal deaktiviert und heute das ganze noch mal mit nach dem Update auf Build 1903 getestet. Aber das Problem besteht so weiterhin.
Das Administrator.de Mitglied "DerWoWusste" hat mich bereits gebeten folgende Informationen zu posten:
Ergebnis von: manage-bde -status c:
BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.18362
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.
Volume "C:" [Windows]
[Betriebssystemvolume]
Größe: 463,88 GB
BitLocker-Version: 2.0
Konvertierungsstatus: Nur verwendeter Speicherplatz ist verschlüsselt
Verschlüsselt (Prozent): 100,0 %
Verschlüsselungsmethode: XTS-AES 128
Schutzstatus: Der Schutz ist deaktiviert.
Sperrungsstatus: Entsperrt
ID-Feld: Unbekannt
Schlüsselschutzvorrichtungen:
TPM
Numerisches Kennwort
Ergebnis von manage-bde -on c:
BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.18362
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.
Volume "C:" [Windows]
[Betriebssystemvolume]
HINWEIS: Durch diesen Befehl wurden keine neuen Schlüsselschutzvorrichtungen
erstellt. Geben Sie "manage-bde -protectors -add -?" ein, um Informationen
zum Hinzufügen weiterer Schlüsselschutzvorrichtungen anzuzeigen.
HINWEIS: Die Verschlüsselung ist bereits abgeschlossen.
Der BitLocker-Schutz wurde durch Aktivierung der Schlüsselschutzvorrichtungen aktiviert.
Für mich hat das erst mal nichts mit dem TPM Modul zu tun, sondern irgendwas hängt noch im Bitlocker "quer". Wahrscheinlich aus der alten Installation. Oder liege ich mit der Vermutung komplett daneben? Für den richtigen Denkanstoß wäre sehr dankbar!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 457453
Url: https://administrator.de/contentid/457453
Ausgedruckt am: 04.12.2024 um 19:12 Uhr
19 Kommentare
Neuester Kommentar
Ich habe das Laufwerk bereits mehrere Male verschlüsselt und anschließend wieder entschlüsselt!
Ok. Vermutlich hast Du es geschafft, den alten TPM-Protektor auf dem Laufwerk zu behalten. Das bedeutet, beim Start wird der TPM nach diesem gefragt, hat ihn aber nicht (denn du hast den TPM geleert) - deshalb schaltet Windows den Schutz nicht an: der TPM könnte diesen ja nicht aufheben.Entferne den TPM-Protektor und füge ihn neu hinzu:
manage-bde c: -protectors -delete -type tpm
manage-bde c: -protectors -add -tpm
manage-bde -protectors -enable c:
Dann entscheide dich, ob Du neu installieren willst, oder nicht.
Wenn nicht, teste folgendes:
-wie verhält es sich, wenn Du setup bootest und den letzten Befehl dort ausführst (achte darauf, welchen Buchstaben Setup dem Systemlaufwerk gegeben hat). Die Kommandozeile startet man im Setup mit Shift F10, wenn man bei der Sprachauswahl ist.
Ich steige immer so von einer Platte auf die andere um:
Image von den Partitionen anlegen mit Drive snapshot, restore auf die neue Platte, neu verschlüsseln - keine Probleme damit.
Wenn nicht, teste folgendes:
-wie verhält es sich, wenn Du setup bootest und den letzten Befehl dort ausführst (achte darauf, welchen Buchstaben Setup dem Systemlaufwerk gegeben hat). Die Kommandozeile startet man im Setup mit Shift F10, wenn man bei der Sprachauswahl ist.
Ich steige immer so von einer Platte auf die andere um:
Image von den Partitionen anlegen mit Drive snapshot, restore auf die neue Platte, neu verschlüsseln - keine Probleme damit.
Hallo, gibt es zu dem Thema eine Lösung? Habe gerade die gleiche Herausforderung, wobei ich irgendwo auf die Info gestoßen bin, dass die WD Blue SSDs kein BitLocker unterstützen! (https://www.testberichte.de/p/western-digital-tests/wd-blue-3d-nand-sata ..) Die Info unter dem Link bestätigt das nochmal. Ich hab irgendwo jedoch auch mal die Begründung bzw. eine Erläuterung gelesen, finde das gerade aber nicht wieder und bekomme es auch nicht zusammengereimt. Vielleicht hast du ja Neuigkeiten dies bzgl.
Ich habe es nun selber durchgespielt. Das Clonen der ursprünglichen SSD auf die WD Blue, während Bitlocker noch aktiviert war, brachte als Ergebnis, dass der Clone-Prozess erfolgreich war, jedoch mit dem Hinweis, dass die Zielpartitionen unverschlüsselt erstellt werden. Nach dem erfolgreichen Clonen war das System mit der neuen SSD (WD Blue) funktionsfähig, Bitlocker ließ sich jedoch nicht erneut aktivieren.
Ich wiederholte das Clonen, allerdings deaktivierte und entschlüsselte ich das Quelllaufwerk und führte dann den Clone-Vorgang durch. Mit dem Ergebnis, dass eine Aktivierung von Bitlocker für die neue SSD (WD Blue) wieder möglich war.
In der Vergangenheit hatte ich dieses Verhalten nicht, der Clone-Prozess konnte jeweils sauber durchgeführt werden, selbst bei aktiver Verschlüsselung. Mit der WD Blue hatte ich somit erstmals die Notwendigkeit vor dem Clone-Prozess die Quelle zu entschlüsseln.
Ich wiederholte das Clonen, allerdings deaktivierte und entschlüsselte ich das Quelllaufwerk und führte dann den Clone-Vorgang durch. Mit dem Ergebnis, dass eine Aktivierung von Bitlocker für die neue SSD (WD Blue) wieder möglich war.
In der Vergangenheit hatte ich dieses Verhalten nicht, der Clone-Prozess konnte jeweils sauber durchgeführt werden, selbst bei aktiver Verschlüsselung. Mit der WD Blue hatte ich somit erstmals die Notwendigkeit vor dem Clone-Prozess die Quelle zu entschlüsseln.
Sorry, stimmt, hätte ich mal mitteilen sollen. Zum Fehler, den genauen Wortlaut hab ich nicht mehr. Also per se geht es um ein Notebook DELL E7470 mit Hynix m.2 SATA SSD, OS Windows 10 Enterprise 19h1 und Ziel des Clone-Vorgangs mit Macrium Reflect war eine WD blue m.2 SATA SSD. Azure AD-Join mit Richtlinie zur erzwungenen Verschlüsselung der Datenträger. Nach Durchführung der Bitlocker-Konfiguration mit Einstellung zur automatischen Entschlüsselung und Neustart zwecks Systemprüfung kam die Meldung, dass das System nicht kompatibel sei um eine Verschlüsselung mit Bitlocker durchführen zu können.
Das Klonen kann Macrium während Windows läuft nicht kompatibel zu Bitlocker machen. Das Klonen müsste geschehen, wenn Windwos nicht läuft, so dass eine Sektorkopie erstellt wird. Dies kann zum Beispiel Clonzilla im advanced mode.
Ich hatte bei hunderten von Systemen gerade mal 1x die Meldung, dass eine System nicht kompatibel sei, und das war vor 10 Jahren unter Vista. Mit Sicherheit liegt es nicht an der Platte. Ich denke, die C't schreibt über Hardwareverschlüsseltes Bitlocker und nicht über Softwareverschlüsselung.
Ich hatte bei hunderten von Systemen gerade mal 1x die Meldung, dass eine System nicht kompatibel sei, und das war vor 10 Jahren unter Vista. Mit Sicherheit liegt es nicht an der Platte. Ich denke, die C't schreibt über Hardwareverschlüsseltes Bitlocker und nicht über Softwareverschlüsselung.