Seit Windows 11 24H2 gibt es eine ungewöhnliche Funktion: Bei einer Neuinstallation auf einem Gerät mit TPM-Chip und aktiviertem Secure Boot werden nahezu alle Festplattenpartitionen automatisch verschlüsselt. Ja, alle angeschlossenen Laufwerke (einschließlich der Systempartition) werden mit BitLocker verschlüsselt, selbst wenn Sie dies nicht manuell eingerichtet haben. Dies gilt unabhängig davon, ob Sie ein lokales Konto oder ein Microsoft-Konto verwenden und ob es sich um die Windows-Version Home, Pro oder Enterprise handelt. Vor diesem Update funktionierte die automatische Geräteverschlüsselung eher unzuverlässig – sie war nur auf Geräten mit TPM, Modern Standby und bestandenem HSTI-Test möglich. Jetzt scheint sie fest integriert zu sein.
Eines ist wichtig zu wissen: Die Verschlüsselung erfolgt während der letzten Phase der Windows-Einrichtung (OOBE).Die Daten werden zwar verschlüsselt, sind aber erst durch den BitLocker-Schlüsselschutz wirklich geschützt, wenn sich jemand zum ersten Mal bei Windows anmeldet. Bei dieser ersten Anmeldung lässt sich der Volumenverschlüsselungsschlüssel relativ leicht auslesen (die Sicherheit ist also nicht optimal).Kurz gesagt: Ihre Daten sind erst dann wirklich geschützt, wenn Sie den Schlüsselschutz anschließend selbst einrichten.
- Wenn Sie sich mit einem Microsoft-Konto (MSA) anmelden, wird der Schutz aktiviert und der BitLocker-Wiederherstellungsschlüssel wird an die Microsoft-Cloud, Entra ID oder Ihre AD-Konfiguration gesendet – sofern Sie diese für die Speicherung von Wiederherstellungsschlüsseln konfiguriert haben.
- Wenn Sie sich mit einem lokalen Konto anmelden, sind Ihre Daten erst dann geschützt, wenn Sie explizit einen Schlüsselschutz einrichten. Etwas ungewöhnlich, aber so funktioniert es.
Wenn Sie die automatische Geräteverschlüsselung nicht nutzen möchten oder einfach die Kontrolle darüber behalten wollen, können Sie sie unter Einstellungen → Datenschutz & Sicherheit deaktivieren. Schieben Sie dazu einfach den Schalter für die GeräteverschlüsselungOff auf „Aus“.Ganz einfach. Für eine detailliertere Steuerung, beispielsweise um die Verschlüsselung während der Installation zu deaktivieren, gibt es einige Befehlszeilen- und Registry-Tricks.
Um zu überprüfen, ob Ihr Volume verschlüsselt ist, öffnen Sie eine Eingabeaufforderung oder ein PowerShell-Fenster und führen Sie folgenden Befehl aus:
manage-bde -statusWenn Sie die Verschlüsselung auf einem bestimmten Laufwerk (z. B.C:) sofort deaktivieren möchten, führen Sie Folgendes aus:
manage-bde -off C:Und wenn Sie es wirklich ernst meinen und BitLocker auf allen Laufwerken vollständig deaktivieren möchten, können Sie dies mit Administratorrechten über PowerShell ausführen:
Get-BitLockerVolume | Disable-BitLockerNoch etwas: Um zu verhindern, dass die Laufwerke während der Windows-Installation verschlüsselt werden, können Sie Rufus zum Erstellen des Installationsmediums verwenden. Achten Sie beim Brennen der ISO-Datei darauf, die Option „ Automatische BitLocker-Geräteverschlüsselung deaktivieren “ zu aktivieren. Dadurch wird verhindert, dass das Betriebssystem die Laufwerke unerwartet verschlüsselt. Selbstverständlich können Sie die Geräteverschlüsselung auch während der Installation deaktivieren, um die volle Kontrolle zu haben.
So funktioniert das:
- Nach dem Kopieren der Windows 11-Dateien startet der PC neu und zeigt den OOBE-Bildschirm (Region, Sprache usw.) an.
- Drücken Sie diese Taste
Shift+F10, um direkt dort eine Eingabeaufforderung zu öffnen. - Wenn Sie die Registry bearbeiten möchten, führen Sie Folgendes aus
regedit.exe: - Navigieren Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker. Erstellen Sie anschließend einen neuen DWORD-Parameter (32 Bit) mit dem Namen PreventDeviceEncryption.
- Setzen Sie diesen Wert auf 1. Alternativ können Sie folgenden Befehl in der Kommandozeile ausführen:
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\BitLocker /v PreventDeviceEncryption /t REG_DWORD /d 1 /fSchließen Sie anschließend einfach den Registrierungseditor oder die Eingabeaufforderung und fahren Sie mit der Windows-Installation fort. Das Gerät verschlüsselt die Laufwerke auf diese Weise nicht automatisch. Etwas ungewöhnlich, aber es funktioniert – manchmal beim ersten Versuch, manchmal nicht, daher kann ein Neustart erforderlich sein.