- BitLocker fragt nach dem Schlüssel, wenn es Änderungen erkennt Starten o Hardware, insbesondere wenn USB-C/Thunderbolt vor dem Booten aktiviert ist.
- Der Wiederherstellungsschlüssel befindet sich in Microsoft (MSA), Azure AD/AD, auf Papier oder in einer Datei; ohne ihn ist eine Entschlüsselung nicht möglich.
- Sichere Lösungen: BitLocker anhalten/fortsetzen, BIOS/UEFI anpassen (TBT/USB-C vor dem Booten deaktivieren), BIOS/Windows aktualisieren und Secure Boot überprüfen.
- Installieren Sie als letzten Ausweg Windows neu. Für die Verschlüsselung ist der Schlüssel erforderlich, um legitim auf Daten zuzugreifen oder sie wiederherzustellen.
Wenn Sie beim Einschalten Ihres PCs jedes Mal einen blauen Bildschirm sehen, der nach dem BitLocker-Wiederherstellungsschlüssel fragt, machen Sie sich keine Sorgen: Es handelt sich nicht (unbedingt) um einen Fehler. In den meisten Fällen handelt es sich um absichtliche Sicherheitsmaßnahme von Windows, um Ihre Daten zu schützen, wenn es während des Startvorgangs oder an der Hardware Änderungen erkennt.
Dieses Verhalten mag überraschend sein, wenn Sie es noch nie zuvor erlebt haben, aber es folgt einer Logik: BitLocker speichert bei Aktivierung einen „Schnappschuss“ des Systemstatus und wenn sich etwas ändert (BIOS/UEFI, Geräte, Bootmenü…), wechselt in den Wiederherstellungsmodus und fragt nach dem Passwort. Im Folgenden erfahren Sie, warum dies geschieht, wo Sie das Passwort finden und wie Sie diesen Bildschirm bei jedem Start deaktivieren können, ohne die Sicherheit zu gefährden.
Was ist der BitLocker-Wiederherstellungsbildschirm und warum wird er angezeigt?
BitLocker ist eine Windows-Laufwerkverschlüsselung, die unbefugten Zugriff verhindern soll. Wenn BitLocker einen anderen Startstatus als den ursprünglich aufgezeichneten erkennt, werden Sie zur Eingabe des 48-stelliger Wiederherstellungsschlüssel um zu bestätigen, dass die Person, die das Team gründet, auch diejenige ist, die dies tun sollte.
Zu den Änderungen, die den Wiederherstellungsmodus auslösen, gehören Änderungen an der Firmware (BIOS/UEFI), der Startreihenfolge oder dem Starttyp, wichtige Updates, das Anschließen neuer Speichergeräte und Lagerung oder Andocken beim Start oder Aktivieren von Optionen wie USB-C/Thunderbolt-Boot im Vorstart.
Auf Computern mit Anschlüssen USB-C Bei Thunderbolt 3 (TBT)-Ports wurde beobachtet, dass TBT-Boot- und Pre-Boot-Unterstützung aktiviert ist, wodurch diese Ports zur Liste der bootfähigen Geräte hinzugefügt werden. BitLocker interpretiert dies als möglichen externen Zugriffspfad und fragt bei jedem Start nach dem Passwort, was aus Sicherheitsgründen normal ist.
Hinweis: Wenn Sie diese Optionen deaktivieren, um zu verhindern, dass BitLocker Sie benachrichtigt, besteht der einzige Nebeneffekt darin, dass Sie nichts tun können. PXE-Boot von USB-C/TBT oder von einigen Docks, die diese Anschlüsse verwenden. Wenn Sie es nicht benötigen, ist es für viele Benutzer ein akzeptabler Kompromiss.
Wo Sie Ihren BitLocker-Wiederherstellungsschlüssel finden
Bevor Sie Änderungen vornehmen, suchen Sie den Schlüssel. Dies ist der direkteste Weg, den Wiederherstellungsmodus zu beenden und Anpassungen problemlos vorzunehmen. Microsoft zentralisiert die möglichen Speicherorte an wenigen zuverlässigen Stellen, an denen Ihr Schlüssel zu finden ist. automatisch gesichert oder manuell gespeichert.
Geschäfts- oder Schulkonto (Azure AD): Wenn Ihr Team von einer Organisation verwaltet wird, melden Sie sich bei Ihrem Azure AD-Profil an. Azure Active DirectoryDort sehen Sie das Gerät und die Option „BitLocker-Schlüssel abrufen“, um den zugehörigen Schlüssel anzuzeigen. Geben Sie die Schlüssel-ID an, wenn der Administrator Sie dazu auffordert.
Persönliches Microsoft-Konto (MSA): Besuchen Sie das Wiederherstellungsportal von einem anderen Gerät aus unter account.microsoft.com/devices/recoverykey und melden Sie sich mit der richtigen E-Mail-Adresse an. Wenn Sie mehr als eine E-Mail-Adresse auf Ihrem Gerät verwenden, überprüfen Sie alle Konten die möglicherweise verknüpft sind; auch solche, die Sie nicht mehr aktiv verwenden.
Andere typische Speicherorte: Viele Benutzer haben den Schlüssel ausgedruckt, als sie BitLocker aktivierten, oder ihn als PDF/DateiÜberprüfen Sie Ihre Dokumente, das Ausdruckfach oder den Ordner, in dem Sie normalerweise Informationen auf Ihrem PC speichern. Die Informationen können sich auch in Active Directory (sofern von der IT verwaltet), Azure AD oder in Ihrem Microsoft-Konto befinden.
Hilfreicher Tipp: Tippen Sie auf dem BitLocker-Wiederherstellungsbildschirm auf Esc , um erweiterte Optionen anzuzeigen. Dort wird die Schlüssel-ID angezeigt. Notieren Sie sie oder machen Sie ein Foto davon und geben Sie es Ihrem Administrator, damit dieser den genauen Schlüssel in AD/Azure AD finden kann.
Häufige Symptome und Ursachen der Schleife, in der nach dem Schlüssel gefragt wird
Das Symptom ist eindeutig: Bei jedem Systemstart erscheint der BitLocker-Bildschirm und fordert den Schlüssel an, obwohl der Computer nach der Eingabe einwandfrei funktioniert. Dieses Verhalten tritt normalerweise bei einem der folgenden Probleme auf: auslöst:
- Firmware- oder Boot-Änderungen: BIOS/UEFI aktualisieren, Secure Boot aktivieren/deaktivieren, zwischen grafischen und Legacy-Boot-Menüs wechseln oder die Boot-Reihenfolge ändern.
- Neue Peripheriegeräte oder USB-C/TBT-Docks: Schließen Sie Docks/externe Speicher beim Start an oder lassen Sie die Thunderbolt 3/USB-C-Preboot und Boot-Unterstützung über diese Ports.
- Falsche Kennwortversuche: Nach mehreren fehlgeschlagenen Versuchen erzwingt BitLocker aus Sicherheitsgründen den Wiederherstellungsmodus.
- Option zum automatischen Entsperren aktiviert: In bestimmten Fällen kann es zu Inkonsistenzen kommen, die dazu führen, dass der Wiederherstellungsbildschirm angezeigt wird una y otra vez.
- Problematische Software/Updates: ein Windows-Update oder Treiber das den Start beeinflusst, oder ein BIOS veraltet, was zu Konflikten führt.
Beispiel aus der Praxis: Ein Nutzer eines HP-Laptops berichtete, dass das System nach einem abnormalen Start und einer blauen Warnung bei jedem Neustart nach dem BitLocker-Schlüssel fragte. Die Diagnose verlief einwandfrei, aber die Schleife blieb bestehen. Solche Fälle lassen sich in der Regel beheben. Aktualisieren der Registrierung BitLocker-Konfiguration oder Anpassen der Startoptionen.
Schnelle und sichere Lösungen (empfohlen)
Beginnen Sie mit der am wenigsten invasiven Methode und halten Sie aus Sicherheitsgründen Ihren Schlüssel bereit. Diese Aktionen zielen darauf ab, BitLocker den neuen Systemstatus „beizubringen“, sodass es den Schlüssel nicht mehr anfordert. bei jedem Start.
1) BitLocker anhalten und fortsetzen
Nachdem Sie den Schlüssel eingegeben und sich bei Windows angemeldet haben, gehen Sie zu Start > Systemsteuerung > BitLocker-Laufwerkverschlüsselung. Klicken Sie auf dem Systemlaufwerk (normalerweise C:) auf „Schutz aussetzen”, warten Sie einige Minuten und dann “Schutz fortsetzen”. Dies aktualisiert die Werte von TPM und die BitLocker-Boot-Baseline.
Vorsichtshinweis: Bevor Sie größere Änderungen vornehmen, wie z. B. das BIOS aktualisieren, Hardware hinzufügen oder die Startreihenfolge ändern, setzt BitLocker aus Und wenn Sie fertig sind, setzen Sie es fort. Dadurch wird verhindert, dass Sie unnötig nach Ihrem Passwort gefragt werden.
2) Peripheriegeräte beim Start trennen
Entfernen Sie USB-Geräte, Docks oder externe Laufwerke, wenn Sie den Computer einschalten. Wenn Sie Thunderbolt-/USB-C-Docks verwenden, versuchen Sie, den Computer nur mit angeschlossenem Netzteil zu starten. Manchmal reicht ein sauberer Neustart aus, damit der Computer ordnungsgemäß startet. BitLocker springt nicht.
3) BIOS/UEFI und Windows aktualisieren
Ein veraltetes BIOS kann zu inkonsistenten Boot-Ergebnissen führen. Laden Sie die neueste BIOS-/Firmware-Version vom Hersteller herunter und installieren Sie das Update gemäß den Anweisungen. Installieren Sie außerdem alle Updates Verfügbare Windows-Funktionen unter „Einstellungen“ > Windows Update.
4) Secure Boot einrichten
Manche Computer hören auf, nach dem Kennwort zu fragen, wenn Sie Secure Boot aktivieren. Rufen Sie die UEFI-Firmware in den erweiterten Optionen auf und ändern Sie Secure Boot auf Aktiviert/Deaktiviert (oder "Nur Microsoft(sofern Ihr Gerät dies zulässt). Speichern und testen. Wenn keine Verbesserung eintritt, setzen Sie die Einstellung zurück.
BIOS/UEFI-Einstellungen für USB-C und Thunderbolt, die BitLocker auslösen
Wenn Ihr Laptop oder Desktop-PC USB-C/TBT-Boot unterstützt und Thunderbolt Pre-Boot ab Werk aktiviert ist, können diese Ports in die Liste der bootfähigen Geräte gelangen und BitLocker fordert bei jedem Start zur Eingabe eines Kennworts auf. Das Deaktivieren dieser Optionen ist in der Regel die Lösung. effektiver.
Richtlinienschritte (kann je nach Modell variieren):
- Schalten Sie Ihren Computer ein und rufen Sie das BIOS/UEFI mit F2 oder F12 auf dem Startbildschirm auf.
- Suchen Sie nach Systemeinstellungen > Systemeinstellungen USB (oder ähnlich) und wenden Sie diese Änderungen an:
- Deaktivieren Sie die Boot-Unterstützung für Thunderbolt 3 oder USB Typ-C.
- Deaktivieren Sie die Vorstart USB Typ-C oder Thunderbolt 3 (einschließlich „PCIe hinter TBT“).
- Deaktiviert den UEFI-Netzwerkstapel.
- Im POST-Verhalten > Schnellstart, wählen Sie „Erschöpfend“.
Wichtig: Durch diese Änderungen können Sie nicht mehr über PXE von USB-C/TBT-Geräten oder Docks booten. Wenn Ihre Umgebung kein PXE benötigt, ist der Verlust geringer, als wenn Sie die Wiederherstellungsbildschirm pro Tag.
Zu den Computern und Zubehörteilen, bei denen dieses Verhalten dokumentiert wurde, gehören das Dell Dock WD15, das Dell Thunderbolt Dock TB16, das Dell Precision Dual USB-C Thunderbolt Dock TB18DC und portátiles wie Latitude 5280/5288, 7280, 7380, 5480/5488, 7480, 5580 und Precision 3520. Bei anderen Herstellern (HP, Lenovo, ASUS usw.) können die Menüs anders heißen, aber die Idee ist äquivalent.
Erweiterte Optionen vom Wiederherstellungsbildschirm
Wenn Sie immer noch auf dem blauen BitLocker-Bildschirm sind, drücken Sie Esc, um weitere Optionen zu öffnen, wählen Sie „Dieses Laufwerk überspringen“ und gehen Sie zu Problembehandlung > Erweiterte Optionen, was Teil der Windows 11-Wiederherstellungsumgebung. Von hier aus können Sie verschiedene Anpassungen vornehmen, ohne Windows zu öffnen, immer mit Vorsicht und mit Ihrem Wiederherstellungsschlüssel.
Protektoren vorübergehend entsperren und deaktivieren
Öffnen Eingabeaufforderung und führen Sie es aus, wobei Sie das Laufwerk ersetzen, wenn es nicht C: ist:
manage-bde -unlock C: -rp TU-CLAVE-DE-48-DIGITOS
Wenn das Volume entsperrt ist, können Sie vorübergehend deaktivieren die Protektoren, um einen normalen Start zu ermöglichen, während Sie die Einstellungen anpassen:
manage-bde -protectors -disable C:
Denken Sie nach dem Neustart und dem Anwenden von Änderungen (z. B. Anhalten/Fortsetzen von BitLocker oder Überprüfen des BIOS) daran, die Laufwerksschutzfunktionen mithilfe des BitLocker-Dashboards erneut zu aktivieren, um die Sicherheit aufrechtzuerhalten. aktiver Schutz.
Kehren Sie zum alten Startmenü zurück
Auf einigen Computern löst das grafische Startmenü von Windows 10/11 BitLocker aus. Wenn Sie sich bei Windows anmelden, öffnen Sie CMD als Administrator und zu manipulieren Sie den BCD, Lauf:
bcdedit /set {default} bootmenupolicy legacy
Mit dem klassischen „Legacy“-Menü haben einige Benutzer das Wiederherstellungsmodus bei jedem Start. Wenn Sie keine Änderung bemerken, können Sie diese später rückgängig machen.
Automatische Entsperrung deaktivieren
Überprüfen Sie in der Systemsteuerung > BitLocker-Laufwerkverschlüsselung, ob auf Ihrem Systemlaufwerk die Option „Automatische Entsperrung deaktivieren“ angezeigt wird. Deaktivieren Sie diese Option und starten Sie das Systemlaufwerk neu. In bestimmten Konfigurationen kann die automatische Entsperrung zu Inkonsistenzen die die Abfrage eines Passworts erzwingen.
Secure Boot von UEFI umschalten
Starten Sie unter Erweiterte Optionen > UEFI-Firmware-Einstellungen die Firmware neu, gehen Sie zu Sicherheit und stellen Sie Secure Boot auf Aktiviert/Deaktiviert (oder „Nur Microsoft“). Speichern Sie mit F10 und testen Sie. Diese Änderung überschreibt in der Regel Boot-Parameter, die von BitLocker validiert werden. kalt.
Wenn nichts mehr geht: Problematische Updates, Neuinstallation und Wiederherstellung
Wenn die Schleife nach einem bestimmten Update gestartet wurde, sollten Sie es über Einstellungen > Update und Sicherheit > Verlauf anzeigen > deinstallieren. Updates deinstallieren, und installieren Sie es anschließend neu. Halten Sie BitLocker vor dem Update an und setzen Sie es anschließend fort.
Als letzten Ausweg können Sie formatear Laufwerk C: und installieren Sie Windows neu. Öffnen Sie in den erweiterten Optionen die Eingabeaufforderung und verwenden Sie DiskPart zum Löschen und Formatieren oder booten Sie von einem Installations-USB-Stick. Beachten Sie, dass dabei Daten gelöscht werden: Wenn Ihr Laufwerk verschlüsselt war, müssen Sie Wiederherstellungsschlüssel um zuvor auf die Informationen zuzugreifen oder sie abzurufen.
Über Wiederherstellungssoftware: Tools wie WinPE-Wiederherstellungseditionen (z. B. professionelle BitLocker-orientierte Lösungen) können beim Kopieren von Daten von einem verschlüsselten Laufwerk helfen, aber nur, wenn Sie den 48-stelligen Schlüssel angeben. Ohne diesen Schlüssel gibt es keine legitime Möglichkeit, entziffern BitLocker-Inhalte. Seien Sie vorsichtig bei Anleitungen, die versprechen, „BitLocker ohne Schlüssel zu umgehen“.
Leidenschaftlicher Autor über die Welt der Bytes und der Technologie im Allgemeinen. Ich liebe es, mein Wissen durch Schreiben zu teilen, und genau das werde ich in diesem Blog tun und Ihnen die interessantesten Dinge über Gadgets, Software, Hardware, technologische Trends und mehr zeigen. Mein Ziel ist es, Ihnen dabei zu helfen, sich auf einfache und unterhaltsame Weise in der digitalen Welt zurechtzufinden.