Lenovo BitLocker uitschakelen - Privacy en beveiliging

maandag 11 september 2017 22:47

Acties:

0 Henk 'm!

00101010

Topicstarter

Hallo Tweakers,

Ik heb recentelijk een Lenovo Thinkpad T470 aangeschaft en ik ben er opzich best tevreden mee. Alleen heb ik nu een dual boot opgesteld met Ubuntu, en sinds dien slaat de Windows Bitlocker in en moet ik om Windows te kunnen starten een Key invoeren die online op mijn windows account staat.

Ik dacht dat dit 1-malig was, maar nu kom ik erachter dat ik het elke keer moet doen wanneer ik Windows wil starten.

Nu het minder grappige:
Ik heb geen standaard functies in windows om het uit te zetten. Mijn Windows ziet in schijfbeheer wel dat mijn C schijf een bitlocker heeft, maar in de configuratiescherm zie ik geen enkele optie om het uit te zetten.
(Rechtermuisknop op de schijf geeft ook geen Bitlocker opties).

Andere dingen die ik heb geprobeerd:
Run: gpedit.msc, kan hij niet vinden
CMD: manage-bde -off C: Met als resultaat: "manage-dbe is not recognized as an internal or external command"

Op Google valt er vanaf dit punt vrij weinig te vinden, behalve dat de Bitlocker werkt met een TPM (Trusted Platform Module). Die kan ik nu wel uitzetten in Windows, maar ik heb geen idee of ik dan na een reboot uberhaupt wel bij mijn software kan komen en ik weet ook niet of het een bepaalde setting is in de bios die ik nog moet aanpassen.

Heeft iemand enig idee hoe ik van mijn bitlocker af kom? Het is namelijk best irritant om elke keer 50 cijfers in te voeren als code om mn laptop te kunnen gebruiken na een reboot.

Edit: Ik gebruik de edit-knop vaak.

maandag 11 september 2017 22:51

Acties:

0 Henk 'm!

RGAT

Welke Windows versie heb je exact? Win10 x64 Pro bijv.
Dat hij gpedit.msc niet kan vinden is, apart... Als je dat in het startmenu invult, vindt Windows dan wel iets?
Klinkt bijna alsof een admin e.a. aan beperkingen heeft ingesteld...

[ Voor 17% gewijzigd door RGAT op 11-09-2017 22:51 ]

Fixing things to the breaking point...

maandag 11 september 2017 22:52

Acties:

0 Henk 'm!

analogworm

Misschien heb je hier iets aan. Vrij uitgebreide guide om bitlocker in te stellen en uit te zetten https://www.tenforums.com...m-drive-windows-10-a.html

maandag 11 september 2017 23:06

Acties:

0 Henk 'm!

Fordox

00101010

Topicstarter

RGAT schreef op maandag 11 september 2017 @ 22:51:
Welke Windows versie heb je exact? Win10 x64 Pro bijv.
Dat hij gpedit.msc niet kan vinden is, apart... Als je dat in het startmenu invult, vindt Windows dan wel iets?
Klinkt bijna alsof een admin e.a. aan beperkingen heeft ingesteld...

Ik heb Windows 10 Home 64 bit. gpedit.msc vind ie zelfs niet wanneer ik de volledige zoekfunctie probeer. Het lijkt erop dat Windows de encryptie niet eens ondersteund. Ik ben zelf de rechtmatige eigenaar en dus ook de admin. Ik heb er niks aan veranderd.

analogworm schreef op maandag 11 september 2017 @ 22:52:
Misschien heb je hier iets aan. Vrij uitgebreide guide om bitlocker in te stellen en uit te zetten https://www.tenforums.com...m-drive-windows-10-a.html

Geen van al die opties is voor mij beschikbaar. Het lijkt bijna een hardware issue van Lenovo ipv Windows.
https://forums.lenovo.com...oblem/m-p/3678001#M116416

Hier staan meerdere mensen die er last van hebben, maar ik kan er ook vrij weinig chocola van maken wat nu de oplossing is.

Edit: Ik gebruik de edit-knop vaak.

maandag 11 september 2017 23:09

Acties:

0 Henk 'm!

analogworm

Fordox schreef op maandag 11 september 2017 @ 23:06:
[...]

Ik heb Windows 10 Home 64 bit. gpedit.msc vind ie zelfs niet wanneer ik de volledige zoekfunctie probeer. Het lijkt erop dat Windows de encryptie niet eens ondersteund. Ik ben zelf de rechtmatige eigenaar en dus ook de admin. Ik heb er niks aan veranderd.

[...]

Geen van al die opties is voor mij beschikbaar. Het lijkt bijna een hardware issue van Lenovo ipv Windows.
https://forums.lenovo.com...oblem/m-p/3678001#M116416

Hier staan meerdere mensen die er last van hebben, maar ik kan er ook vrij weinig chocola van maken wat nu de oplossing is.

Format C werkt altijd

maandag 11 september 2017 23:18

Acties:

0 Henk 'm!

xFeverr

analogworm schreef op maandag 11 september 2017 @ 23:09:
[...]

Format C werkt altijd

behalve als je de disk in gebruik hebt als bootdisk

Kan je eens een foto maken van dat Bitlocker scherm? Want dat zit dus niet in een home versie van Windows, dus dat lijkt me sterk. Echter heb je wel een Thinkpad, worden die niet standaard geleverd met een Pro versie?

Bitlocker vraagt de sleutel aan je TPM en die geeft het juist af als alles goed is. Met de installatie van Ubuntu is er dus iets veranderd waardoor je TPM de boel niet vertrouwd (en terecht als de bootvolgorde opeens anders is enzo) en zal de daardoor de sleutel niet afgeven. Die moet je dus zelf gaan invullen inderdaad... In principe zou alles daarna goed moeten gaan maar aangezien Windows 10 Home helemaal geen ondersteuning bied voor Bitlocker gaat het wellicht mis...

Ik vraag me serieus af hoe die schijf dan vergrendeld is geraakt. Zie je wel bij je C-schijf een slotje staan dan?

[ Voor 41% gewijzigd door xFeverr op 11-09-2017 23:22 ]

maandag 11 september 2017 23:33

Acties:

0 Henk 'm!

Fordox

00101010

Topicstarter

xFeverr schreef op maandag 11 september 2017 @ 23:18:
[...]

behalve als je de disk in gebruik hebt als bootdisk

Kan je eens een foto maken van dat Bitlocker scherm? Want dat zit dus niet in een home versie van Windows, dus dat lijkt me sterk. Echter heb je wel een Thinkpad, worden die niet standaard geleverd met een Pro versie?

Het is een standaard Bitlockerscherm die zegt dat de boot is veranderd. Misschien kan ik proberen om de grub weer aan te passen in Ubuntu naar wat het was, zal dat helpen? De problemen kwamen daarna pas aan orde. Hij heeft het wel een keer goed gedaan na de installatie van Ubuntu, maar niet meer naar de grub aanpassing.
Het is wel een Lenovo Thinkpad. Ik heb niks aan de software veranderd en geeft WIndows 10 Home aan (helaas). Hij is niet gekocht via een zakelijke distributeur, ik ben gewoon particulier.

Bitlocker vraagt de sleutel aan je TPM en die geeft het juist af als alles goed is. Met de installatie van Ubuntu is er dus iets veranderd waardoor je TPM de boel niet vertrouwd (en terecht als de bootvolgorde opeens anders is enzo) en zal de daardoor de sleutel niet afgeven. Die moet je dus zelf gaan invullen inderdaad... In principe zou alles daarna goed moeten gaan maar aangezien Windows 10 Home helemaal geen ondersteuning bied voor Bitlocker gaat het wellicht mis...

Ik vraag me serieus af hoe die schijf dan vergrendeld is geraakt. Zie je wel bij je C-schijf een slotje staan dan?

Ja de schijf is blijkbaar standaard encrypted vanuit Lenovo. In schijfbeheer geeft hij ook aan dat ie een bitlocker heeft op die partitie.

Edit: Ik gebruik de edit-knop vaak.

maandag 11 september 2017 23:35

Acties:

0 Henk 'm!

RGAT

Het lijkt erop dat je met Home wel Bitlocker kan unlocken maar niet kan encrypten, zelfs als bootdisk...
Een bug feature van Microsoft I guess

Lijkt mij iig dat dit niet op te lossen is zonder een reinstall... Zal een Lenovo image zijn geweest en met jouw OS kan je jouw OS niet decrypten........

Verklaart iig waarom gpedit niet werkt, is uit de Home versie gesloopt...

[ Voor 14% gewijzigd door RGAT op 11-09-2017 23:36 ]

Fixing things to the breaking point...

maandag 11 september 2017 23:41

Acties:

0 Henk 'm!

Fordox

00101010

Topicstarter

Ik heb de grub terug veranderd maar dat heeft niet geholpen. In de bios kan ik wel de TPM uit zetten, maar zal mijn Windows dan nog wel unlocken als ik de key invoer?

Edit: Ik gebruik de edit-knop vaak.

maandag 11 september 2017 23:42

Acties:

0 Henk 'm!

RGAT

Fordox schreef op maandag 11 september 2017 @ 23:41:
Ik heb de grub terug veranderd maar dat heeft niet geholpen. In de bios kan ik wel de TPM uit zetten, maar zal mijn Windows dan nog wel unlocken als ik de key invoer?

Als je de TPM uitzet of wist is je hele installatie weg, inclusief alle data etc. die op het encrypted deel stond...
Nou zou je die nog met een recovery key kunnen recoveren, in theorie...

[ Voor 8% gewijzigd door RGAT op 11-09-2017 23:43 ]

Fixing things to the breaking point...

maandag 11 september 2017 23:47

Acties:

0 Henk 'm!

Fordox

00101010

Topicstarter

Dat dacht ik dus ook al. Maar ik heb geen zin om m'n laptop en alle software te wipen hiervoor gezien ik deadlines heb om te halen.

Edit: Ik gebruik de edit-knop vaak.

dinsdag 12 september 2017 07:28

Acties:

0 Henk 'm!

Snake

Los Angeles, CA, USA

Je hebt de key, dus je kan perfect de TPM wissen, re-enablen en re-adopten. En dan even Bitlocker uit en aan zetten, en het zou weer moeten werken!

Going for adventure, lots of sun and a convertible! | GMT-8

dinsdag 12 september 2017 08:40

Acties:

0 Henk 'm!

Fordox

00101010

Topicstarter

"Dan even de bitlocker uit en aan zetten" is dus het hele probleem

Dat kan blijkbaar niet op Windows 10 Home waar de laptop mee kwam.

Edit: Ik gebruik de edit-knop vaak.

dinsdag 12 september 2017 09:13

Acties:

0 Henk 'm!

Snake

Los Angeles, CA, USA

Jawel!

Ga naar Settings > System > About

Beneden staat er iets genaamt 'Device Encryption' (aangezien je een TPM 2.0 hebt).

[ Voor 91% gewijzigd door Snake op 12-09-2017 09:14 ]

Going for adventure, lots of sun and a convertible! | GMT-8

dinsdag 12 september 2017 09:39

Acties:

0 Henk 'm!

Fordox

00101010

Topicstarter

Ik heb mijn Windows in het nederlands en kan dus lastig vinden waar dat staat.
Ik heb wel dit gevonden:
Afbeeldingslocatie: https://i.imgur.com/x2kQ6CIl.png

Afbeeldingslocatie: https://i.imgur.com/x2kQ6CIl.png

Is dit hetgene dat je bedoeld?

Ik neem aan dat dit de beveiliging is met herstelpunten, niet zozeer de BitLocker.

Ondertussen heb ik de powershell optie ook al geprobeerd, die geeft dit aan:

PS C:\Windows\system32> Disable-BitLocker -MountPoint "C:"
Disable-BitLocker : BitLocker-stationsversleuteling kan op het station met het besturingssysteem pas worden uitgeschakeld als de functie voor automatisch ontgrendelen is uitgeschakeld voor de vaste en verwisselbare stations die aan deze computer zijn gekoppeld. (Uitzondering van HRESULT: 0x80310029)
At line:1 char:1
+ Disable-BitLocker -MountPoint "C:"
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: ( [Write-Error], COMException
+ FullyQualifiedErrorId : System.Runtime.InteropServices.COMException,Disable-BitLocker

het enige dat ik me kan bedenken met removable media is de USB stick die ik heb gebruikt voor het installeren van Ubuntu en een SD kaartje die er nu ook niet in staat. Maar ik neem aan dat dit niet de oorzaak kan zijn?

Ook heb ik nu een topic lopen op het Lenovo forum https://forums.lenovo.com...le-bitlocker/td-p/3802319
En zij kunnen er ook vrij weinig mee helaas.

[ Voor 7% gewijzigd door Fordox op 12-09-2017 09:58 ]

Edit: Ik gebruik de edit-knop vaak.

dinsdag 12 september 2017 18:48

Acties:

0 Henk 'm!

Thralas

Even iets verder zoeken.

FVE_E_AUTOUNLOCK_ENABLED
2150694953 (0x80310029)
This volume cannot be decrypted because keys used to automatically unlock data volumes are available.
Use ClearAllAutoUnlockKeys to remove these keys.

Lijkt me al een stuk duidelijker.

Er is ook een Get-BitLockerVolume cmdlet om alle bitlocker volumes te listen. Zie ook de andere cmdlets om de auto unlock keys te clearen als je hebt vastgesteld dat je ze niet belangrijk zijn.

Edit: beter idee.

Volgens mij is de TPM een bitlocker protector, net als de recovery key. Lijkt me dus dat je een passwordprotector kunt toevoegen en dan de TPM protector kunt verwijderen. Dan blijft je FDE behouden, zij het zonder TPM.

[ Voor 18% gewijzigd door Thralas op 12-09-2017 19:06 ]

dinsdag 12 september 2017 19:41

Acties:

0 Henk 'm!

Fordox

00101010

Topicstarter

Dit klinkt als informatie die ik goed kan gebruiken! maar ik weet niet exact hoe ik het toe moet passen. Moet ik eerst de ClearAllAutoUnlockKeys doen en daarna nog een keer de Disable-BitLocker? Zou een beetje kut zijn als ik mijn auto keys kwijt raak en daarna nog steeds niet de bitlocker eraf kan krijgen.

The Enable-BitLockerAutoUnlock cmdlet enables automatic unlocking for a volume protected by BitLocker Disk Encryption.

You can configure BitLocker to automatically unlock volumes that do not host an operating system. After a user unlocks the operating system volume, BitLocker uses encrypted information stored in the registry and volume metadata to unlock any data volumes that use automatic unlocking.

Dit is vanuit jouw linkje. Helaas kan ik dit niet gebruiken, omdat de schijf met de Bitlocker het OS draait.

Met Get-BitLockerVolume krijg ik dit:

code:

PS C:\Windows\system32> Get-BitLockerVolume


   ComputerName: LAPTOP-N6TLOQF7

VolumeType      Mount CapacityGB VolumeStatus           Encryption KeyProtector              AutoUnlock Protection
                Point                                   Percentage                           Enabled    Status
----------      ----- ---------- ------------           ---------- ------------              ---------- ----------
OperatingSystem C:        188,40 FullyEncrypted         100        {RecoveryPassword, Tpm}              On

De commands die verder nuttig kunnen zijn in mijn optiek zijn:
Suspend-BitLocker; The Suspend-BitLocker cmdlet suspends Bitlocker encryption, allowing users to access encrypted data on a volume that uses BitLocker Drive Encryption. This cmdlet makes the encryption key available in the clear.
Unlock-BitLocker; The Unlock-BitLocker cmdlet restores access to encrypted data on a volume that uses BitLocker Drive Encryption. You can use the Lock-BitLocker cmdlet to prevent access.
Maar ik heb geen idee of beide werken wanneer je de pc reboot.

Ik ben bang dat wanneer ik iets verkeerds invoer in Powershell dat ik mn hardeschijf encrypted houd en er zelfs niet meer bij kan met de key.
Ik zou het zeer op prijs stellen als je me wilt uitleggen wat ik moet doen in de commands!

(Ik wil op dit moment gewoon de bitlocker eraf. Stel mijn PC crasht, wil ik mn hardeschijf nog wel kunnen uitlezen in een ander systeem zonder moeite)
Edit: Ik edit teveel.

[ Voor 49% gewijzigd door Fordox op 12-09-2017 19:53 ]

Edit: Ik gebruik de edit-knop vaak.

woensdag 13 september 2017 12:55

Acties:

0 Henk 'm!

xFeverr

Geen zorgen, met je herstelsleutel kan je altijd nog in een andere PC bij de data.

Ik denk dat de boel echt flink om zeep is... Dat Lenovo een al ge-encrypte disk zou geven lijkt me trouwens ook echt raar, hoe kom je dan aan die herstelsleutel? Ik zou sowieso nu direct even een mooie backup maken, want als je het voor mekaar krijgt om je keys te veranderen ofzo dan is het afgelopen met je data. Opnieuw installeren die handel zou ik zeggen.

woensdag 13 september 2017 15:06

Acties:

0 Henk 'm!

Fordox

00101010

Topicstarter

Lenovo Thinkpads komen normaal gesproken met Windows Pro, die de functie heeft om m uit te schakelen. Helaas ben ik een particulier en kreeg ik Windows Home erbij,

De key staat online op mijn Microsoft account die gekoppeld is aan mijn laptop, dus daar kom ik altijd wel bij nu.

Edit: Ik gebruik de edit-knop vaak.

woensdag 13 september 2017 15:10

Acties:

0 Henk 'm!

Paradox

tip.. maak een backup van de data...

woensdag 13 september 2017 15:12

Acties:

0 Henk 'm!

Fordox

00101010

Topicstarter

Er staat geen belangrijke data op de laptop, alleen software programma's die ik wil houden. Dingen zoals backups maken e.d. is ook niet hetgene waar ik me nu zorgen om maak.
Zoals ik ook al eerder aangaf, ik kom nog volledig bij m'n Windows maar moet elke keer de BitLocker key aangeven wanneer ik mn pc opstart. En dat wil ik er dus af hebben

Edit: Ik gebruik de edit-knop vaak.

woensdag 13 september 2017 15:31

Acties:

0 Henk 'm!

Verwijderd

manage-bde -protectors -delete c: -type tpmandpin
manage-bde -protectors -add c: -tpm

zo te zien heb je manage-dbe getypt als ik je startpost zie

woensdag 13 september 2017 15:37

Acties:

0 Henk 'm!

Joran

<3 natalee

Wat wij (op mn werk dus) doen als we zo'n unlock key moeten invullen (48 cijfers, doe normaal zeg) loggen we in als admin, gaan we naar bitlockerbeheer en suspend->enablen we hem. Daarna krijgen we die melding niet meer.
Gewoon mijn input, het gaat hier om windows 7 enterprise, dus het zal wel weer anders zijn bij jou.

Send me your gameboys

woensdag 13 september 2017 18:16

Acties:

0 Henk 'm!

Fordox

00101010

Topicstarter

Ik kan niet gewoon bij die setting, maar misschien lukt het wel via Powershell. Ik ga die instructie maar eens proberen.

Update:
Afbeeldingslocatie: https://imgflip.com/s/meme/Mother-Of-God.jpg

Afbeeldingslocatie: https://imgflip.com/s/meme/Mother-Of-God.jpg

HET WERKT!
Thanks @Thralas en @Joran!
Ik heb uiteindelijk

code:

1	Suspend-BitLocker -MountPoint "C:" -RebootCount 0

gebruikt. Nu is hij suspended tot ik hem weer enable. Ik vind helemaal mooi

@Verwijderd Ik heb je oplossing niet nodig gehad gelukkig

. Ik had bde wel goed getypt. Hij gaf een goed foutmelding op die command. Desondanks bedankt voor het meedenken

[ Voor 66% gewijzigd door Fordox op 13-09-2017 18:31 ]

Edit: Ik gebruik de edit-knop vaak.