Schlagwort-Archive: Bitlocker

Meltdown / Spectre Microcode Updates – Bitlocker Key nicht vergessen

Die Aktualisierung von Firmware und BIOS stellt eine große Systemänderung dar. Daher wird man auf Systemen deren Systemlaufwerke mit Bitlocker verschlüsselt nach einem solchen Update nach dem Bitlocker Key gefragt.

Vor dem Update sollte also geprüft werden ob man noch im Besitz des Keys ist, z.B. weil er im Active Directory , MBAM oder separat auf einem Speichermedium gesichert wurde. Gerne wird ja der Key auch mal auf C:\ gespeichert. An diese Information kommt man aber nach dem Update nicht mehr ran.

Nach dem Update und der Eingabe des Keys startet Windows regulär. Damit nicht bei jedem Bootvorgang nach dem Key gefragt wird muss man über die Systemsteuerung Bitlocker für das Systemlaufwerk suspenden und anschließend wieder resumen.

Beim Resumevorgang wird die Verschlüsselung mit der geänderten Hardwarekonfiguration vorgenommen. Daher wird beim nächsten Bootvorgang keine geänderte Hardware mehr erkannt und das System entschlüsselt die Systemdisk für den Bootvorgang.

Bitlocker verhindert das Booten unter Windows 7 nach Deployment mit ConfigMgr Current Branch

Bei der Aktualisierung von SCCM wird auch immer das Bootimage aktualisiert auf die neueste Version. Wenn man im Unternehmen damit aber auch weiterhin Windows 7 deployed und mit Bitlocker die Festplatten verschlüsselt taucht folgende Fehlermeldung nach der Installation des Betriebssystems auf:

FILE: \WINDOWS\system32\winload.exe

Status: 0xc210000

Info: The action could not be completed because the Bitlocker Drive Encryption key required to unlock the volume could not be obtained.

Hört sich erstmal ganz schlimm an, ist es aber nicht. Zum Hintergrund muss man verstehen, dass die Bitlocker Verschlüsselungsroutinen sich mit Windows 10 ändern. Die neue Verschlüsselungsroutine XTS-AES kann nicht von Windows 7 gelesen werden und daher kommt es zu dieser Fehlermeldung.

Das betroffene Bootimage ist das was beim Upgrade von v1511 auf die nächste Version aktualisiert wird.

Um das Deployment zu reparieren muss die Tasksequenz angepackt werden.
Hier müssen vor dem Step Pre-Provision Bitlocker drei Registrykeys gesetzt werden:

reg add HKLM\SOFTWARE\Policies\Microsoft\FVE /t REG_DWORD /v EncryptionMethodWithXtsFdv /d 3 /f
reg add HKLM\SOFTWARE\Policies\Microsoft\FVE /t REG_DWORD /v EncryptionMethodWithXtsOs /d 3 /f
reg add HKLM\SOFTWARE\Policies\Microsoft\FVE /t REG_DWORD /v EncryptionMethodWithXtsRdv /d 3 /f

Damit bringt man dem Bootimage bei, dass AES-CBC 128bit benutzt werden soll das von Windows 7 verstanden wird.

Die Keys müssen gesetzt werden bevor Bitlocker Pre-Provisioning passiert:

Die Schritte in der Tasksequenz sind vom Typ General -> Run Command Line :

Die Values stehen dabei für folgende Verschlüsselungsroutinen:
3 = AES-CBC 128-bit
4 = AES-CBC 256-bit
6 = XTS-AES 128-bit
7 = XTS-AES 256-bit