Windows 11: Geräteverschlüsselung wird standardmäßig aktiviert
von Mike Leitner | 18 Kommentare
Mit dem nächsten großen Update für Windows 11, Version 24H2, führt Microsoft eine große Änderung für BitLocker ein: Dieser wird standardmäßig aktiviert, zumindest in Form einer Geräteverschlüsselung. Voraussetzung dafür ist eine Neuinstallation des Betriebssystems, bei der man sich mit einem Microsoft-Konto oder einem Arbeits-/Schulkonto anmeldet. Der Wiederherstellungsschlüssel wird dann im Microsoft-Konto oder in einer Entra-ID gespeichert. Lokale Konten sind nicht betroffen.
Die Home-Version von Windows 11 erhält mit 24H2 ebenfalls BitLocker und ist ebenfalls vom Standard betroffen. Gleichzeitig funktioniert BitLocker auf mehr Geräten, da Modern Standby und Hardware Security Test Interface (HSTI) nicht mehr benötigt werden. Eigentlich finde ich die Änderung gut, sie ermöglicht ein deutlich sichereres Gerät, gerade bei Laptops, die auch mal verloren gehen. Extra Laufwerke werden aber nicht verschlüsselt. Die Auswirkungen auf die Performance schätze ich für die meisten als gering ein, allerdings gibt es anderslautende Berichte.
Wer diese Geräteverschlüsselung nicht möchte, kann das Update trotzdem installieren, da es nur bei einer Neuinstallation greift und auch ein lokaler Account bei der Einrichtung die automatische Verschlüsselung verhindert.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Eindeutig eine gute Entscheidung! Ich verwende Bitlocker seit Jahren und bin sehr zufrieden. Unverschlüsselte Datenträger sind mir zu heikel.
An sich finde ich es auch gut, aber das der Schlüssel in der Cloud gespeichert wird, ist mal wieder typisch Microsoft und nicht gut.
Wer den Schlüssel in fremde Hände gibt, kann sich auch gleich die Verschlüsselung sparen.
Das ist quatsch. Der Gelegenheitsdieb /-finder hat nicht so einfach einen Zugang zum erforderlichen MS- Konto. Du kannst gern den Gegenbeweis antreten.
Muss er nicht, es reicht ja, wenn sich MS mal wieder den Schlüssel zu ihrer Infrastruktur klauen lässt, auf der dein Schlüssel dann abgelegt ist. Wäre ja nicht das erste Mal.
Warum sind dir die denn zu heikel? Außer bei einem physischen Diebstahl dürfte sich die Gefahr in Grenzen halten. Soll nun kein Argument gegen Bitlocker sein, aber ggfls. wären viele besser daran ein sicheres Schloss an der Haustür einzubauen als die Festplatte zu verschlüsseln.
> Außer bei einem physischen Diebstahl
Genau darum geht es aber, wie auch im Artikel schon steht. Mobilgeräte lässt man schnell mal liegen.
Wunder geschehen immer wieder. Ich finde SSDs sind inzwischen schnell genug, dass Verschlüsselung keinen großen Unterschied mehr machen sollte, und alle halbwegs modernen CPUs haben spezielle Hardware zur Beschleunigung von Verschlüsselung, dies sollte also auch kein Bottleneck darstellen. Daher sehe ich keinen Grund mehr, den Speicher eines jeden Geräts (egal ob Smartphone, Tablet oder Laptop, Heim-PC mag dennoch etwas anderes sein) nicht standardmäßig zu verschlüsseln.
Allerdings muss den Nutzern natürlich bekannt sein, inwiefern sich altbekannte Vorgehensweisen für Fehlerbehebungen dadurch ändern.
Wunder? Wo siehst du da ein Wunder? Und auch bei drehenden Festplatten war Verschlüsselung schon vor 20 Jahren ein Must-Have. Dass MS jetzt erst damit anfängt mag vieles sein, peinlich z.B., aber sicher kein Wunder.
Ich sehe es bei Microsofts Geschichte schon als wunder an, dass sie es nicht nur zum Standard machen, sondern sich auch noch dazu herabgelassen haben, den Home-Nutzern Zugang zu Bitlocker zu gewähren. Ändert natürlich nichts daran, dass es peinlich ist, dass die meisten Windows Nutzer es bisher nicht mal optional nutzen konnten, aber in anbetracht der Tatsache wie sehr Microsoft auf Sicherheit scheißt ist jeder nennenswerte Fortschritt ein Wunder.
Gruselig. Der Schlüssel, und damit die einzige Information mit der der Eigentümer des Gerätes im Fehlerfall an seine Daten kommt, liegt damit nicht beim Eigentümer sondern bei Microsoft in der Cloud. Ein weiterer Schritt zur Enteignung des Anwenders.
Ich gehe mal davon aus, dass du auch als Nutzer den Wiederherstellungsschlüssel angezeigt bekommst mit dringendem Hinweis ihn auszudrucken. Er wird wahrscheinlich nur zusätzlich auch in der Cloud hinterlegt, weil Microsoft genau weiß, dass ihre Nutzer laut schreien werden, wenn sie den verbummeln. Ändert natürlich nichts daran, dass das das ganze ad absurdum führt.
Naja, in 99,9999999999999999999999999999% der Fälle (Geschätzt) führt es die Verschlüsselung nicht ad absurdum, sondern ist absolut sinnvoll und gut so. Vermutlich gibt es keinen einzigen Fall in dem jemand die Hardware geklaut hat, dann deinen MS account gehackt hat, und dadurch deine Disk entschlüsseln könnte. Zugegeben, Behörden ausgeschlossen. Aber gerade die USA werden bei jedem kommerziellen Anbieter einen Backdoor haben.
Der Wiederherstellungsschlüssel ist in eurem Microsoft Account einsehbar, gibt es ja jetzt auch schon!
Bin gerade dabei, nach zwei Jahren Pause mal wieder ein „Windows“ 11 zu installieren und hatte mich schon gewundert, dass Bitlocker bereits aktiviert war.
Abgesehen davon ist die Installation ein unglaublicher Zeitfresser: erst fehlte der WLAN-Treiber (obwohl neues TP) und ohne Internet geht’s nicht weiter > Frickellösung gefunden. Dann: Benutzerkonto muss Online-Microsoft-Konto sein > erledigt, danach lokalen Benutzer angelegt und Erstkonto gelöscht.
> Somit (mangels MS-Kontoverknüpfung) sollte auch kein Bitlocker bei Microsoft hinterlegt sein.
Ja ist auch bei mir in der Firma oft sehr nervig.
Die Lösungen aktuell:
Mit Rufus einen Stick mit dem Windows Image präpariert, oder wenn nicht zur Hand
oder
während des Set-ups/First Start von Windows 11 Tastatur Umschalt+F10 drücken
Im Anschluss Befehl OOBE\BYPASSNRO
Daraufhin startet sich das System neu
Dann kann Installation ohne Internet ausgewählt werden mit einem lokalen Konto
> Somit (mangels MS-Kontoverknüpfung) sollte auch kein Bitlocker bei Microsoft hinterlegt sein.
Ich glaube, die Theorie geht nicht auf. Du hast den Computer mit dem Online Account aufgesetzt. Würde mich nicht wundern, wenn der Schlüssel noch im Account liegt. Schau mal rein, ich denke, du wirst mindestens das Gerät dort aus der Verknüpfung löschen müssen. Davon abgesehen, den Schlüssel hatte ja MS bereits. Und es ist ihnen durchaus zuzutrauen, dass sie den Schlüssel nicht richtig löschen und jemand, der deinen Account hacken kann, da trotzdem dran käme. Wenn du also nicht das Passwort on-the-fly ändern kannst und das auch den Wiederherstellungsschlüssel neu generiert, wird das Kind praktisch schon in den Brunnen gefallen sein.
oobe\bypassnro sehe ich nicht als Frickellösung an. Windows Installationen lassen sich auch komplett automatisieren (auch mit vorinstallierter Drittanbietersoftware). Dafür braucht man nur eine Windows Setup Antwortdatei, Windows PE, Sysprep und DISM. Das ganze muss nur einmal eingerichtet werden. Windows Einstellungen lassen sich auch schon vorher Festlegen (zum Beispiel Schnellstart abschalten). Mit dieser Methode brauche ich in der Arbeit pro Gerät ¾ weniger Zeit, als wenn ich Windows auf normalen Weg installieren würde.
„da es nur bei einer Neuinstallation greift und auch ein lokaler Account bei der Einrichtung die automatische Verschlüsselung verhindert.“
Was heißt das genau, es ist doch ohne Umwege gar nicht mehr möglich Windows ohne MS Konto zu installieren … ?