BitLocker Lockdown unlocked

VON Dr. Wolf SiegertZUM Montag Letzte Bearbeitung: 6. Mai 2020 um 10 Uhr 25 Minuten

 

Der Status

Endlich war das neue Microsoft Surface Book 2 fertig eingerichtet. Jetzt fehlte nur noch das Backup [1].

Zuvor sollte dem Gerät noch eine Dockingstation angehängt werden. Die dazugehörige USB-C-Buchse mit Thunderbold 3 eröffnet dafür ja eine Reihe von neuen Möglichkeiten.

Aber der Versuch, auf diesem Weg eine dafür offensichtlich nur "im Prinzip" aber letztendlich nicht wirklich geeignete HP Z-Book Dockingstation einzubinden, scheiterte.

In einer der für solche Fragen spezialisierte FAQ-Seite [2] wird u.a. empfohlen, in diesem Fall eine der Sicherheitseinstallungen im BIOS zu entfernen. Das hier vorliegende Gerät hat aber keine ’klassischen’ BIOS-Einstellungen mehr, sondern das Nachfolge UEFI-System an Bord.

Schon mal bis dahin vorgedrungen, wird das Ganze mit einer SicherheitsPIN von sechs Zahlen vor nicht autorisierten Eingriffen geschützt - und wieder geschlossen.

Das Ergebnis: seitdem erlaubt der Rechner keinen Zugriff auf die Festplatte mehr [3]

Die Anfragen

Alle im Verlauf der letzten Woche angefragten Personen und Institutionen hatten zur Lösung dieses Problems keine adäquate oder auch nur weiterführende Antwort bereit.

Eine schriftliche Anfrage beim MS-Cloud-Provider führt der unten zitierten Antwort, eine nochmalige Nachfrage am letzten Arbeitstag der letzten Woche aber eher zu einem geradezu grundsätzlichen Unverständnis und der Rückfrage, was man denn bitteschön mit diesem Anliegen überhaupt zu tun habe...

Da derzeit im Büro derzeit noch drei weitere Rechner (2 fix, einer mobil) vorgehalten werden und weiterhin betriebsfähig sind, ist jetzt (noch) keine Panik angesagt, aber einiges Stirnrunzeln, da nicht wirklich erkannt werden kann, wie weiter zu verfahren ist.

Die Recherchen

Sie sind ebenso umfangreich wie zeitraubend. Und dabei könnte es durchaus sein, dass bei einer Kenntnis des richtigen Lösungs- und Verfahrensweges auch schnell eine Lösung herbeigeführt werden könnte - wie gesagt: könnte.

Zunächst mal ist es gar nicht möglich, sich in das eigene Microsoft-Konto einzuloggen [4]

Beim Start des zur Disposition stehenden Rechners erscheint die Meldung: "Bitlocker-Status wird wiederhergestellt". Und danach die Aufforderung, den "Wiederherstellungsschlüssel" einzugeben, "da die Richtlinie für den sicheren Start unerwartet geändert wurde"

Wie aber an diesen Schlüssel kommen?
Im System wird sogar eine Wiederherstellungsschlüssel-ID (zur Identifizierung Ihres Schlüssels) genannt. Er beginnt mit "EB95..." und endet mit "...CA70"

Auf dem Screen ist nachfolgend zu lesen: "Weitere Informationen erhalten Sie hier: aka.ms/recoverykeyfaq [5]

Abschliessend heisst es:

Einige Änderungen an Hardware, Firmware oder Software können Bedingungen darstellen, die BitLocker nicht von einem möglichen Angriff unterscheiden kann. In diesen Fällen verlangt BitLocker möglicherweise zur Sicherheit nach dem Wiederherstellungsschlüssel[s], auch wenn der Benutzer ein autorisierter Eigentümer des Geräts ist. Dadurch wird sichergestellt, dass wirklich ein autorisierten Benutzer versucht, das Gerät zu entsperren.

Auch von Dritter Seite werde inzwischen weitere Info-Links vorgeschlagen, wie zum Beispiel dieser hier:

https://www.borncity.com/blog/2020/01/10/neues-altes-problem-gesperrte-microsoft-konten/

Und ohne weiter ins Detail zu gehen, wird schnell deutlich, dass es not-wendig ist, sich etwas eingehender mit diesen neuen Regeln und Verriegelungen zu beschäftigen.

Soweit also, so "gut";

Was tun?

Hier nochmals die erste Antwort auf die erste, schon vor mehr als einer Woche gestellte Anfrage, in der es heisst:

Bitte senden Sie uns eine PDF mit Firmenbriefkopf, Stempel und Unterschrift mit der Bitte das Office 365 Admin Passwort an Ihre hinterlegte Vertrags- E-Mailadresse zu senden.

Nach Erhalt Ihrer PDF als Antwort auf diese E-Mail, fordern wir umgehend das Passwort bei microsoft für Sie an.

Diesem Vorschlag wird jetzt doch zu Beginn dieses neuen Tages, dieser neuen Woche entsprochen, auch wenn es hier n i c h t um das Office 365 Admin Passwort geht, sondern um einen 24-stelligen im Azure-Account hinterlegten Schlüssel zur Freigabe der Festplatten auf zwei Windows 10 64 bit Pro - Rechnern.

Das Ergebnis

Nachdem zu Beginn dieses Tages die Anfrage in Form eines PDF fertiggestellt, unterschrieben und versandt worden war, wurde gegen Ende des Arbeitstages durch einen Anruf nochmals auf dieses Anschreiben aufmerksam gemacht.

Daraufhin wurde dieses an das Azure-Team weitergeleitet.
Und die waren echt fix. Und konnten noch vor 20 Uhr den Ansprechpartner im Cloud-Team mit allen notwendigen Informationen versehen.

Diese wurden dann auch unter Wahrung aller in dieser kurzen Zeit einzuhaltenden Sicherheitsstandards zugestellt, nachdem eine Reihe von sicherheitsrelevanten Prüf-Fragen gestellt und von Nutzerseite zutreffend beantwortet werden konnten.

Nach der Übermittlung und Eintragung der "Schlüssel-Zahlen" konnte die Platte sofort wieder freigeschaltet werden. Dann wurden alle Kommunikationsspuren gelöscht, und auch dieser Eintrag um einige sicherheitsrelevante Infos bereinigt.

Zu guter Letzt wurden die Fragen auf der Seite:
https://cloud.telekom.de/de/kundenzufriedenheitsumfrage
in der fortlaufenden Abfolge wie folgt beantwortet:
"Ja, Nein, 2,1,2,2,3,4"

Das darunter eingerichtete freie Textfeld wurde am Ende mit einer persönlichen Mail-Adresse gezeichnet und vorab mit diesen Zeilen ausgefüllt:

Ganz offen gesagt: bin weder EDV- noch IT-Experte, aber habe mir über die Jahre ein gewisses Erfahrungswissen erworben, das ich immer wieder neu anreichern muss. Und da ist es extrem hilfreich, Personen am anderen Ende der Leitung anzutreffen, die mit solchen "Prosumern" umzugehen in der Lage sind. Das ist nicht immer der Fall, aber wenn, wie in diesem Fall, wird das Ganze wirklich für beide Seiten zu einer echt positive Erfahrung. Danke!

Anmerkungen

[1Die 64bit-Version von Drive SnapShot lag auf Grund einer Empfehlung schon vor, war aber noch nicht eingesetzt worden.

[2

Thunderbold 3 Dock not working ...

[3Und schlimmer noch, auch ein anderer, ebenfalls mit Windows 10 64 bit Pro ausgestatteter HP-Tower für den Audio-und Videoschnitt wird ebenfalls ab diesem Moment noch vor dem Start blockiert. Gibt es da einen Zusammenhang, oder nur eine zeitliche Verknüpfung unglücklicher Zustände?
Nun, nachdem das hier geschilderte Problem geklärt werden konnte liess sich der HP-Tower nach wie vor nicht starten. Bis sich nach dem Öffnen des Gehäuses eine defekte Schnittstelle erkennen liess. Nachdem der "Wackler" behoben war, klappte es auch wieder mit dem Start dieses Rechners. Oufff...

[4

Request Id: f09f1391-2b79-4d73-8f50-00034b371b00
Correlation Id: 1f64fa1d-b3d9-48e2-b9d0-56a0aef75156
Timestamp: 2020-04-21T22:30:31Z
Message: AADSTS50020: User account ’[...]’ from identity provider ’https://sts.windows.net/c60a39fb-1758-4017-9d04-6243cbc8b4af/’ does not exist in tenant ’Microsoft’ and cannot access the application ’405e80fc-f8e6-40e6-b6b9-e5bcc7e6813e’(RedirectionUxProd) in that tenant. The account needs to be added as an external user in the tenant first. Sign out and sign in again with a different Azure Active Directory user account.

[5

Suchen des BitLocker-Wiederherstellungsschlüssels
Gilt für: Windows 10

BitLocker ist ein Windows-Feature für die Geräteverschlüsselung. Für den Fall, dass Ihr Gerät Sie nach dem BitLocker-Wiederherstellungsschlüssel fragt, können die folgenden Informationen Ihnen helfen, den 48-stelligen Schlüssel zu finden, den Sie zum Entsperren Ihres Geräts benötigen. Hier einige Orte, an dem Sie den Schlüssel finden können, wenn Sie ihn nicht sofort verfügbar haben:

In ihrem Microsoft-Konto: Melden sie sich bei ihrem Microsoft-Konto auf einem anderen Gerät an, um den Wiederherstellungsschlüssel zu finden. Wenn andere Benutzer Konten auf dem Gerät haben, können Sie sie bitten, sich bei ihrem Microsoft-Konto anzumelden, um zu sehen, ob sie den Schlüssel haben.

Auf einem archivierten Papierausdruck: Ihr Wiederherstellungsschlüssel kann sich auf einem Ausdruck befinden, der bei der Aktivierung von BitLocker gespeichert wurde. Sehen Sie dort nach, wo Sie wichtige Unterlagen zu Ihrem Computer aufbewahren.

Auf einem USB-Speicherstick: Stecken Sie den USB-Speicherstick in den gesperrten PC ein, und befolgen Sie die Anweisungen. Wenn Sie den Schlüssel als Textdatei auf dem Speicherstick gespeichert haben, verwenden Sie einen anderen Computer, um die Textdatei zu lesen.

In einem Azure Active Directory-Konto: Wenn Ihr Gerät jemals mit einem Arbeits- oder Schul-E-Mail-Konto einer Organisation angemeldet war, kann der Wiederherstellungsschlüssel in dem Ihrem Gerät zugeordneten Azure AD-Kontodieser Organisation gespeichert sein. Möglicherweise können Sie direkt darauf zugreifen, oder Sie müssen sich dazu an einen Systemadministrator wenden.

Bei Ihrem Systemadministrator: Wenn Ihr Gerät mit einer Domäne (normalerweise einem Arbeits- oder Schulgerät) verbunden ist, fragen Sie einen Systemadministrator nach dem Wiederherstellungsschlüssel.

Weitere Informationen zu BitLocker-Wiederherstellungsschlüsseln

Weitere Informationen zur Geräteverschlüsselung


9353 Zeichen