Bitlocker-Key nötig: April-Update sperrt Windows-Nutzer aus

Nach dem April-Patchday werden offenbar auf einigen Windows-Systemen Bitlocker-Keys abgefragt. Ohne Eingabe des korrekten Schlüssels lassen sich die Systeme nicht mehr starten. Microsoft bestätigte das Problem in den jeweiligen Supportbeiträgen zu den jüngsten Windows-Updates. Betroffen sind nicht nur die Desktop-Betriebssysteme Windows 10(öffnet im neuen Fenster) und Windows 11(öffnet im neuen Fenster), sondern auch Windows Server 2022(öffnet im neuen Fenster) und 2025(öffnet im neuen Fenster).

Laut Microsoft wird der Bitlocker-Key nur beim ersten Neustart nach der Installation des jeweiligen Updates angefordert. Weitere Neustarts lösen wohl keine erneute Schlüsselabfrage aus. Zudem sind nach Angaben des Konzerns nur Systeme mit einer "nicht empfohlenen Bitlocker-Gruppenrichtlinie-Konfiguration" betroffen, die am ehesten auf von IT-Abteilungen verwalteten Geräten zu finden ist.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: TechRiders Summit – Europas Plattform für digitale Souveränität, IT Strategy & Execution

zum Ratgeber

Seminar: Weiterbildung: Einführung Data Science

zum Kurs

E-Learning: Microsoft Office Essentials - Einsteigerpaket für 4 Office-Anwendungen (E-Learning)

zum Kurs

Damit die Bitlocker-Abfrage erscheint, müssen mehrere Bedingungen gleichzeitig erfüllt sein, die Microsoft wie folgt beschreibt(öffnet im neuen Fenster):

• Bitlocker ist auf dem Betriebssystemlaufwerk aktiviert.
• Die Gruppenrichtlinie "Tpm-Plattformüberprüfungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren" ist konfiguriert und PCR7 ist im Validierungsprofil enthalten (oder der entsprechende Registrierungsschlüssel wurde manuell festgelegt).
• Systeminformationen (msinfo32.exe) melden Secure Boot State PCR7 Binding als "Not Possible" (Nicht möglich).
• Das Windows UEFI CA 2023-Zertifikat ist in der Secure-Boot-Signaturdatenbank enthalten, so dass das Gerät berechtigt ist, den 2023 signierten Windows-Boot-Manager als Standardeinstellung zu nutzen.
• Auf dem Gerät wird noch nicht der 2023-signierte Windows-Boot-Manager ausgeführt.

Workarounds sollen helfen

Eine dauerhafte Lösung für das Problem hat Microsoft nach eigenen Angaben noch nicht. Der Konzern verspricht aber, eine solche mit einem zukünftigen Windows-Update bereitzustellen. Administratoren, die die Abfrage des Bitlocker-Schlüssels in ihren Umgebungen vermeiden wollen, empfiehlt Microsoft zwei Workarounds, die jedoch vor Installation der April-Updates angewandt werden müssen.

Einer dieser Workarounds zielt darauf ab, die genannte Gruppenrichtlinienkonfiguration zu entfernen. Für den zweiten Workaround muss ein vom Microsoft-Support bereitgestellter Known Issue Rollback (KIR) angewandt werden, der einen automatischen Wechsel zum 2023er Boot-Manager verhindert. Genauere Anweisungen zu beiden Workarounds sind in den Supportbeiträgen Microsofts(öffnet im neuen Fenster) zu finden.

Es ist nicht das erste Mal, dass Windows-Systeme nach einem Update die Eingabe des Bitlocker-Keys erzwingen. Beispielsweise nach dem Oktober-Patchday des vergangenen Jahres gab es zumindest unter Windows 10 und Windows 11 das gleiche Problem. Damals waren vorwiegend Intel-basierte Geräte mit Connected-Standby-Support betroffen.

• Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Affiliate-Hinweis
  Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.