Bitlocker: Windows 11 bekommt Hardwarebeschleunigung

HWL News Bot

HWL News Bot

News
Thread Starter
Mitglied seit
06.03.2017
Beiträge
114.147
Microsoft plant eine grundlegende Erweiterung des bisherigen BitLocker-Ansatzes. Die Verschlüsselung soll künftig nicht mehr ausschließlich per Software erfolgen, sondern direkt auf spezialisierter Hardware laufen. Damit kann Windows moderne SoCs und Prozessorarchitekturen nutzen, die über eigene kryptografische Einheiten verfügen. Die für BitLocker typischen Rechenoperationen werden dadurch nicht mehr vollständig vom Hauptprozessor ausgeführt, sondern an dedizierte Hardwaremodule ausgelagert. Dies soll die Gesamtleistung erhöhen und den Einfluss der Verschlüsselung auf Lese- und Schreibgeschwindigkeiten reduzieren.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Bitlocker ist hier deaktiviert.
Bring eh nur etwas für portable Datenträger.
Denn jemand, der an die Daten ran will, wird nie eine Festplatte aus einem PC ausbauen, sondern gleich den ganzen PC klauen.
Und damit muss er nur noch das Passwort des Betriebssystems hacken.
Bzw. auf sehr vielen privaten PCs nicht einmal das, da da oft die passwortlose Anmeldung aktiviert ist.
Und mit Windows 11 erledigt sich das auch von selbst, da dann alle Daten eh bei Microsoft liegen.
Verdanken darf man das der KI und dem Umbau zum Agentic OS.
Und wer Onlinespeicher wie z.B. OneDrive nutzt, hat seine Daten schon freiwillig Microsoft in den Rachen gestopft.
Wozu dann noch die Festplatte verschlüsseln?
 
Ich habe Bitlocker noch nie benutzt. Mir reicht schon die böse Falle mit den Nutzerkonten. Sprich, wenn man Daten eines alten Systems übernehmen will, und das neue sich sperrt, weil man trotz identischer Anmeldung und Hardware ja "das falsche" Konto benutzt, und daher keinen Zugriff auf die eigenen Daten erhält.
 
Zuletzt bearbeitet:
Rudi Ratlos schrieb:
Ich habe Bitlocker noch nie benutzt. Mir reicht schon die böse Falle mit den Nutzerkonten. Sprich, wenn man Daten eines alten Systems übernehmen will, und das neue sich sperrt, weil man trotz identischer Anmeldung und Hardware ja "das falsche" Konto benutzt, und daher keinen Zugriff auf die eigenen Daten erhält.
Zum Vergrößern anklicken....
Nur weil ein Nutzerkonto gleich heißt, ist es nicht das gleiche Nutzerkonto!
Und damit sind es auch NICHT die eigenen Daten!
Der Name des Kontos ist nur ein Anzeigename, aber nicht der eigentliche Name des Kontos.
Windows verwendet SIDs (Sicherheits-IDs) für Konten.
Benutzernamen werden mit einer SID verknüpft.
Legst du einen neuen Benutzer an, generiert Windows im Hintergrund eine neue SID und verknüpft den Benutzernamen mit der SID.
Legst du an einem anderen PC den Benutzer mit gleichem Namen an, so generiert auch da Windows eine neue SID, die aber zu 99,999999999% nicht identisch ist mit der SID auf dem anderen PC.
Und alle Berechtigungen sind auf die SID bezogen, nicht auf den Benutzernamen!
Und deshalb kannst du mit dem neu angelegten Benutzer nicht auf die Daten des alten Benutzers zugreifen.
Und durch das Konzept mit der SID kannst du auch die Benutzer umbenennen, ohne das du den Zugriff auf die Daten verlierst.
Beim Umbenennen wird nur ein neuer Name mit der SID verknüpft.
Die SIDs sieht man dann in der Registry unter HKEY_USERS.
Die sind wie folgt aufgebaut:
S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx
Also 33 zufällig generierte Stellen.
Kürzere SIDs wie z.B. S-1-5-18 sind Systemkonten.
Da gibt es von Microsoft eine lange Liste an vordefinierten SIDs:
learn.microsoft.com

Bekannte SIDs - Win32 apps

Bekannte Sicherheits-IDs (SIDs) identifizieren generische Gruppen und generische Benutzer*innen.
learn.microsoft.com

Unter HKEY_USERS/S......./Volatile Environment/Username siehst du den mit der jeweiligen SID verknüpften Benutzernamen.

Das die Berechtigungen auf die SID bezogen sind, kann man gut sehen, wenn man folgendes macht:
Einen neuen Benutzer anlegen, dann eine Datei anlegen und dem neu angelegten Benutzer Berechtigungen für die Datei geben.
Wenn du jetzt in die Berechtigungen der Datei schaust, siehst du den Benutzernamen.
Jetzt lösche den neu angelegten Benutzer wieder und schaue dir dann wieder die Berechtigungen der Datei an.
Dann siehst du da nicht mehr den Benutzernamen des gelöschten Benutzers, sondern die SID, die er mal hatte.
 
Zuletzt bearbeitet:
@passat3233

Diese Hintergründe sind mir durchaus bewußt. Das ändert aber eben nichts am Problem, daß man mit einem neu installieren Windows seine eigenen Daten nicht mehr "besitzt". Hacker lachen sich einen Ast und kopieren die Daten einfach auf Bit-Ebene, aber dem regulären Benutzer werden sie vorenthalten. Wenn man nicht dazu kommt, sie vor einer Neuinstall zu kopieren (etwa weil die Platte abschmiert, oder das System abraucht), hat man also ein Problem.

Ich mache auch regelmäßig Backups. Lange Zeit mit True Image, bis das Programm wegen des Abo-Modelles unbezahlbar wurde. Seitdem mit Aomei Backupper. Da habe ich die Daten, und kann dennoch nicht zugreifen, weil das alte Benutzerverzeichnis ja die falsche SID hat. Die Daten "vererben" geht auch nicht, weil das gemountete Backup schreibgeschützt ist. Und so weiter. Wenn man keinen Dateimanger findet, der die Benutzerrechte von Windows gezielt umgeht (aktuelle Wahl Q-Dir), steht man im Walde. Dazu vielleicht noch eine wegen Bitlocker nicht mehr zu entschlüsselnde Festplatte, und der Supergau ist da.
 
Das Problem kann man ganz ganz einfach lösen:
Daten auf eine Festplatte kopieren, die mit FAT/FAT16/FAT32/exFAT formatiert ist.
Denn die FAT-Versionen kennen kein Berechtigungssystem.
Da haben grundsätzlich alle auf alles Zugriff.
Berechtigungen gibt es nur bei NTFS, ReFS, ext3, ext4, etc.

Bei Windows 7 gabs übrigens ein Programm namens Easy Transfer.
Das war standardmäßig installiert und dient genau dem Zweck: Nutzerprofile inkl. aller Daten und Berechtigungen auf einen neuen PC zu transferieren.
Das habe ich damals ein paar mal genutzt, funktionierte einwandfrei.
Heute gibt es Fremdprogramme, mit denen man das auch machen kann.
Beispielsweise PCTrans von EaseUS:

Professionelle Windows 11/10 PC Transfer Software: EaseUS Todo PCTrans Professional

Professionelle Transfer Software, EaseUS Todo PCTrans Professional, kann Dateien, Apps und Benutzerkonto-Einstellungen von einem PC auf einem anderen, von Windows XP auf Windows 7/8/10/11, von Windows 8 auf Windows 10/11, von einem 32-Bit Windows PC auf einem 64-Bit Windows PC übertragen.
www.easeus.de www.easeus.de

Habe ich schon mal genutzt, um ein Benutzerkonto von Windows 7 auf Windows 10 umzuziehen.
Klappte auch einwandfrei.
Einzig die Anordnung der Symbole auf dem Desktop wurde nicht mit übernommen.
Die musste man dann selbst wieder auf die gewünschte Position schieben.
 
Zuletzt bearbeitet:
Vorher die Daten kopieren, ist immer das Mittel der Wahl. Meines Wissens auch auf NTSF-Platten, wenn nicht das Hauptverzeichnis nimmt. Aber das Originalverzeichnis im Benutzer ist eben geschützt, und ein davon erstelltes Backup ist es auch. Und kommt man nicht zum Kopieren, weil das System ungeplant ausfällt.....

Wozu macht man denn Backups, wenn sie dann nicht gehen? ;)
 
Zuletzt bearbeitet:
passat3233 schrieb:
Bitlocker ist hier deaktiviert.
Bring eh nur etwas für portable Datenträger.
Denn jemand, der an die Daten ran will, wird nie eine Festplatte aus einem PC ausbauen, sondern gleich den ganzen PC klauen.
Und damit muss er nur noch das Passwort des Betriebssystems hacken.
Bzw. auf sehr vielen privaten PCs nicht einmal das, da da oft die passwortlose Anmeldung aktiviert ist.
Und mit Windows 11 erledigt sich das auch von selbst, da dann alle Daten eh bei Microsoft liegen.
Verdanken darf man das der KI und dem Umbau zum Agentic OS.
Und wer Onlinespeicher wie z.B. OneDrive nutzt, hat seine Daten schon freiwillig Microsoft in den Rachen gestopft.
Wozu dann noch die Festplatte verschlüsseln?
Zum Vergrößern anklicken....
Sowas labiles und unzusammenhängendes von einem User mit fast 20 Jahren auf dem Konto zu lesen deprimiert mich echt.

"Wozu dann noch die Festplatte verschlüsseln?"

Damit deine Daten im Falle eines Verlust (muss ja nicht einmal Diebstahl sein, möglicherweise verlierst du das Gerät auch mal oder musst es in die RMA geben) nicht ausgelesen werden können.

"Und damit muss er nur noch das Passwort des Betriebssystems hacken."

Nein, wenn du keine Verschlüsselung benutzt, reicht das booten eines Live System von einem USB-Stick völlig aus. Oder Ausbau der SSD/HDD.

"Und mit Windows 11 erledigt sich das auch von selbst, da dann alle Daten eh bei Microsoft liegen."

Quark.

Du solltest dir Hilfe suchen, wenn dir die Realität so entgleitet.
 
Hört sich an wie eine Drohung.
Das bald die Hardwarevoraussetzungen noch schlimmer werden.
 
Ich muß kein Gerät zur RMA geben, denn ich baue mir meine PCs immer selbst zusammen.
Ich hatte schon häufiger mit Komplettgeräten zu tun.
Alle waren gegenüber gleich teuren selbst zusammengebauten PCs Mist.
Das fängt schon mit vom Hersteller vorinstallierter Bloatware an und geht über kastrierte BIOS-Versionen, bei denen man so gut wie nichts einstellen kann bis zu lahmer Geschwindigkeit.
Und unter den Komplett-PCs waren sowohl einfache Officerechner als auch sauteure Workstations für den professionllen Einsatz.
Auf dem Papier Raketentechnik, in der Praxis Rohrkrepierer.

Das mit Windows 11 ist kein Quark!
Wer das nicht sieht, sollte mal seine Scheuklappen ablegen!
Schon bei einem Microsoft-Konto erfasst Microsoft viele Daten.
Ein Microsoft Edge sendet den Browserverlauf und viele andere Daten zu Microsoft, wenn man das nicht explizit abstellt.
Wobei die ensprechenden Punkte auch noch rel. versteckt sind und bei manchen Sachen gar nicht über die GUI gehen, sondern nur per manuell zu setzenden Regsitry-Eintrag.
Und das wird mit Copilot, Recall und dem Umbau zu einem "Agentic OS" noch viel schlimmer.
Die erste Betaversion mit Agentic-Funktionen hat Microsoft gerade veröffentlicht.
Und bei OneDrive schreibt Microsoft sogar in den AGB rein, das die sich das Recht vorbehalten, dort gespeicherte Daten für eigene Zwecke zu nutzen.
 
@passat3233 : Nutzt alles nichts solang du Systemkomponente Defender nicht deaktivieren kannst. Was schier unmöglich ist, da halt Systemkomponente. Denn dieser kommuniziert in beiden Richtungen.
Du kannst den optisch überall deaktivieren, nutzt du optionale Software macht diese es größtenteils schon selbst, praktisch aber bekommst weiterhin die Defi Updates und allen anderen Krempel weiterhin und dementsprechend funktionieren alle daran angeschlossenen "Routinen" und "Kommunikationskanäle" (das sind einige) munter weiter.
Eigentlich könntest MS auch wöchentlich eine E-Mail mit Aktivitätenprotokoll senden, würdest du wahrscheinlich als Antwort erhalten: "Brauchen wir nicht, haben wir schon aber danke Herr xxx aus xxxx!" :bigok:

defender.png defender1.png

edit: Mit diesen ganzen Bitlocker Krempel versucht MS doch nur wieder ein must_have Zwangsfeature auf den europäischen Markt zu etablieren, um die Nutzung optionaler Drittanbietertools auszuhebeln. Mag im Amiland funktionieren, sind die aber ja schon einmal in Europa gescheitert (Thema: IE). Bin mal gespannt, wann die mit Bitlocker vor den EuGH landen, wenn sich unsere europäische Datenschmutzcommunity die AGB dieses Tools mal zur Brust nimmt. Ich weiß jetzt auch nicht, was an Bitlocker so toll sein soll, finde das im direkten Vergleich zu z.b. Veracrypt eher langsam und kompliziert. Teils sogar fehlerbehaftet in der Bedienung.
 
Zuletzt bearbeitet:
johnsmiles schrieb:
Du solltest dir Hilfe suchen, wenn dir die Realität so entgleitet.
Zum Vergrößern anklicken....

Das empfehle ich ihm auch immer wieder, aber bisher erfolglos.

Ansonsten sind ALLE meine Datenträger vollverschlüsselt mit LUKS. Es bringt keine Nachteile mit sich, ist einfach in der Handhabung und sicher.

Erklärbär schrieb:
z.b. Veracrypt eher langsam und kompliziert. Teils sogar fehlerbehaftet in der Bedienung.
Zum Vergrößern anklicken....

Boha, das sagt schon alles. Ich hab letztens erst VeraCrypt entsorgt, weil ich das dermaßen rückständig finde :fresse: Ich hab mit dd einfach neue Conatiner erstellt und die mit cryptsetup verschlüsselt. Jetzt habe ich ein Skript zum öffnen der Container und muss mich nicht mehr durch diese umständliche GUI wühlen.
 
Microsoft wegen Bitlocker vor dem EuGH.
🤡
 
Techlogi schrieb:
Microsoft wegen Bitlocker vor dem EuGH.
🤡
Zum Vergrößern anklicken....
Oldie but goldie. Könnte mir ähnliches gut auch bei Bitlocker vorstellen. Aber wo kein Kläger und jeder nur für sich meckert.. ..tja, da macht dann halt MS auch was es möchte.. :p

King Loui schrieb:
Boha, das sagt schon alles. Ich hab letztens erst VeraCrypt entsorgt, weil ich das dermaßen rückständig finde :fresse:
Zum Vergrößern anklicken....
..hmmm? Sorry aber ich brauche bei VC genau zwei Klicks um einen Container (plus PW.) zu öffnen und vor allem (Wink zu Bitlocker) auch wieder zu schließen, wann und wie ich möchte - ganz ohne Script!
Natürlich sollte man schon auch wissen, wie man das Tool bedient und wofür z.b. so etwas wie die Favoriteneinstellungen gedacht sind. ;)
 
Zuletzt bearbeitet:
Bitlocker ist doch überhaupt nicht mit einem Webbrowser vergleichbar. Davon ab kannst du jederzeit ohne weiteres Bitlocker de-/aktivieren oder auch ein anderes Verschlüsselungstool deiner Wahl nutzen. Ja sogar Windows runter schmeißen und eine der unzähligen Linux Distributionen installieren.
Auf wie vielen Smartphones kann man die Geräteverschlüsselung eigentlich deaktivieren? Ach stimmt, das geht meist ja gar nicht, weil weil man ind der Regel den Bootloader nicht einmal entsperrt bekommt. Und wie viele Hersteller waren deswegen vor dem EuGH? Genau: 0.

Verstehe mich nicht falsch, ich bin absolut nicht Anti-OpenSource und bin auch z.B. der Meinung, dass öffentliche Gelder mit absolutem Vorrang in Open Source investiert gehören. Aber MS vor dem EuGH ist schon seeehr weit hergeholt.
 
Es geht hier um einschränken der Wahlfreiheit und erhaschen einer Monopolstellung, nicht um den Browser ansich.
Ist ja nicht so, dass MS nicht schon öfters mal vom EuGH zu Millionenstrafen verknackt worden wäre. Cloud, Office, Teams usw. usf., ich glaube, es gibt mittlerweile kaum ein Tool von MS wo die nicht mal früher oder später ein Ticket vor den EuGH ziehen mussten. Dennoch versuchen die es immer wieder. Könnte ja mal wirklich klappen. MS ist da wirklich sehr hartnäckig wenn irgendwo Dollars winken. ;)

Sorry aber für mich ist das schon ein grundlegender Eingriff in die persönliche "Wahlfreiheit", wenn mir ein Anbieter ungefragt mein komplettes Storage bei Installation dessen Software verschlüsseln könnte und mich dann noch quasi dazu zwingt, dessen Verschlüsselungstool zu verwenden, damit ich wieder an meine Daten komme. Notfalls sogar nur, wenn ich dann auch noch zusätzlich ein Onlinekonto bei denen eröffne.

ps: Korrigiere mich bitte wenn ich falsch liege aber soweit ich weiß, gelten laut deren AGB die vertragsgemäße Nutzung eines Windows Betriebsystemes inkl. Bitlocker Verschlüsselung nur für OEM Geräte. Ist mir relativ neu, dass MS das nun einfach so auf jeden Nutzer ausweitet und ich habe diesbezgl. nie eine Änderung der AGB zugestellt bekommen bzw. eine Info, wo ich dieses einsehen könnte.
 
Zuletzt bearbeitet:
Aber doch nicht Bitlocker. Die stehen doch auch nicht wegen der Datenträgerverwaltung vor Gericht, weil das könnte ja Anbieter von 3rd party Partitoon Tools benachteiligen.
Die EU bzw. EuGH haben auch viel wichtigere Dinge, um die sie sich kümmern sollten, z.B. um die drohende endlose Flut Smarthomegeräte, die sich zu Elektroschrott verwandeln, wenn der Hersteller seine Server abschaltet.

Erklärbär schrieb:
ps: Korrigiere mich bitte wenn ich falsch liege aber soweit ich weiß, gelten laut deren AGB die vertragsgemäße Nutzung eines Windows Betriebsystemes inkl. Bitlocker Verschlüsselung nur für OEM Geräte. Ist mir relativ neu, dass MS das nun einfach so auf jeden Nutzer ausweitet und ich habe diesbezgl. nie eine Änderung der AGB zugestellt bekommen bzw. eine Info, wo ich dieses einsehen könnte.
Zum Vergrößern anklicken....
Habe ich ja nicht gesagt, dass du Bitlocker nutzen musst, sondern der OEM muss (meines Wissens nach) diese Richtlinie umsetzen, damit er den Win11 Sticker aufs Gerät kleben und das Gerät vorinstalliert ausliefern darf. 100% genau weiß ich letzteres aber auch nicht, da es mich nicht interessiert. Wie schon mal erwähnt, halte ich die automatische Verschlüsselung grundsätzlich für gut, nur Microsofts Umgang damit bzw. deren Informationspolitik für fragwürdig.
 
Techlogi schrieb:
nur Microsofts Umgang damit bzw. deren Informationspolitik für fragwürdig.
Zum Vergrößern anklicken....
..und genau darum geht es doch. Von Anfang an. ;)

Tante Google ist voll von Meldungen, wo User sich das OS installiert hatten und nicht schlecht staunten, als plötzlich deren Storage verschlüsselt war. Hallo MS - gehts noch? :hmm:
 
Auf custom oder auf OEM Hardware?
 
Habe noch nie Bitlocker genutzt und habe dies zukünftig auch nicht vor. Zugang zu meinen Rechnern habe nur ich alleine. Und OneDrive nutze ich auch nicht. Die Cloud ist nur eine Festplatte eines anderen PCs, und Cloud kommt wohl von klauen. 🤣
 
Techlogi schrieb:
Auf custom oder auf OEM Hardware?
Zum Vergrößern anklicken....
Querbeet. Aber nicht nur das. Selbst mit sogenannten Sicherheitsupdates kannst du dich ja nichtsahnend in die Nesseln setzen.
MS ist ein Ü-Ei Deluxe und die gehören eigentlich tgl. vor's EuGH gesetzt.(n)

ps: Ich warte immer noch darauf, dass mir auch mal so ein "Leckerli" von diesen demenzkranken WU eingespielt wird, dann mache ich dir mal einen Screen davon. Aber wahrscheinlich ist selbst WU meine aktuelle Enterprisekonfig. zu exotisch, dass Tool kapiert schlicht nicht was ich überhaupt für ein Windows nutze. Auch eine Methode sich vor MS Failures zu schützen. :fresse:
 
Auf custom sollte das nicht passieren, wobei es mittlerweile wohl auch Boards geben soll, wo man das Flag im UEFI setzen kann (meine ich letztens jedenfalls irgendwo gesehen zu haben).
Bitlocker Recovery ist ärgerlich, aber kein Hindernis --> Key im MS Account. Ohne erfolgt die Scharfschaltung (Scharfschaltung != Verschlüsselung) von Bitlocker nicht, dazu gab es in einem anderem Thread viel input und auch Videos von @kaiser
Wenn derjenige hingegen Bitlocker manuell aktiviert und den Key verummelt hat, hat er pech.
 
"..sollte nicht passieren", dass solltest du lieber nicht in Kontext mit Microsoft Produkten setzen. Beißt sich irgendwie. ;)

Das hier z.b. sollte auch nicht passieren:

winver.png

Verursacher: MS Windows Update!
Zumindest scheint das meine Enterprise nun relativ bugsafe zu machen. :haha:
 
Zuletzt bearbeitet:
und auch dann wäre der Key ja im MS Account, andernfalls erfolgt keine Scharfschaltung von Bitlocker.
 
Ja, kann sein. Wenn du dein OS aber lokal installiert hast und demzufolge auch lokaler Nutzer/Admin bist, dann hast du ein Problem.
 
Quatsch. Microsoft würde sowas nie machen
Erklärbär schrieb:
Ja, kann sein. Wenn du dein OS aber lokal installiert hast und demzufolge auch lokaler Nutzer/Admin bist, dann hast du ein Problem.
Zum Vergrößern anklicken....
Das Problem das ein Microsoft Standard Key verwendet wird, den jedes Windows seit Win 7 onboard hat. Sogar Windows RE und PE haben den mit onboard. Nur halt die meisten Linux Distributionen nicht
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh