Frühere Windows-Versionen starten nicht nach dem Schritt "Einrichten von Windows und Configuration Manager", wenn BitLocker vor der Bereitstellung mit Windows 10, Version 1511, verwendet wird

  • Artikel

In diesem Artikel wird erläutert, warum frühere Windows-Versionen nicht gestartet werden, nachdem Sie den Schritt "Setup Windows and Configuration Manager" ausgeführt haben, wenn BitLocker vor der Bereitstellung mit Windows 10, Version 1511, verwendet wird.

Gilt für: Windows 10 – alle Editionen, Windows 7 Service Pack 1
Ursprüngliche KB-Nummer: 4494799

Problembeschreibung

Betrachten Sie folgendes Szenario:

  • Sie installieren windows 10, Version 1511 ADK, auf Ihren Startimages.
  • Sie wenden KB3143760 auf Ihre Startimages an.
  • Sie möchten eine Windows-Version installieren, die älter als Windows 10, Version 1511, ist, indem Sie Ihre neuen 1511-Startimages verwenden. Dazu fügen Sie der Tasksequenz den integrierten Schritt "Pre-Provision BitLocker" hinzu. Dies ermöglicht das Feature "Nur verwendete Speicherplatzverschlüsselung", um die BitLocker-Laufwerkverschlüsselung zu beschleunigen.

Alle Schritte in der Tasksequenz funktionieren erwartungsgemäß bis zum Schritt "Einrichten von Windows und Configuration Manager". Nachdem dieser Schritt ausgeführt wurde, wird Ihr Gerät in einem Bildschirm "Wiederherstellung" gestartet, auf dem die Meldung "Es gibt keine BitLocker-Wiederherstellungsoptionen auf Ihrem PC mehr" angezeigt wird und dem folgenden Screenshot ähnelt:

Screenshot des Bildschirms

Ursache

Dieses Problem tritt auf, da die Standardverschlüsselung in Windows 10, Version 1511, von AES 128 in XTS-AES 128 geändert wurde, um die Sicherheit zu verbessern. Die neue Verschlüsselungsmethode wird von Systemversionen, die vor Windows 10, Version 1511, veröffentlicht wurden, nicht erkannt.

Um diese Situation zu überprüfen, aktivieren Sie die Befehlszeilenunterstützung, und führen Sie während der Windows PE-Phase den folgenden Befehl aus:

manage-bde.exe -status

Screenshot der Ausgabe des Befehls, der die Verschlüsselungsmethode XTS-AES 128 zeigt.

Lösung

Verwenden Sie zum Beheben dieses Problems einen Befehlszeilenschritt ausführen. Fügen Sie dazu den folgenden Befehl vor dem Tasksequenzschritt "Pre-Provision BitLocker" hinzu:

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod  /t REG_DWORD /d 3 /f

Screenshot der Eigenschaften des hinzugefügten Tasksequenzschritts: Festlegen der BitLocker-Schlüsselstärke AES 128.

Wenn ein x64-Startimage verwendet wird, wählen Sie die Option zum Deaktivieren der 64-Bit-Dateisystemumleitung aus.

Wenn Sie andere Verschlüsselungsmethoden wie AES 256 bevorzugen, verwenden Sie die Anleitungen in der folgenden Tabelle.

Wert Verschlüsselungsmethode Bedeutung und Befehlszeilensyntax
1 AES_128_WITH_DIFFUSER Das Volume wurde vollständig oder teilweise vom AES-Algorithmus (Advanced Encryption Standard) verschlüsselt und mithilfe einer Diffusorebene mit einer AES-Schlüsselgröße von 128 Bit verbessert.

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 1 /f
2 AES_256_WITH_DIFFUSER Das Volume wurde vollständig oder teilweise vom AES-Algorithmus (Advanced Encryption Standard) verschlüsselt und mithilfe einer Diffusorebene mit einer AES-Schlüsselgröße von 256 Bit verbessert.

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 2 /f
3 AES_128 Das Volume wurde vollständig oder teilweise vom AES-Algorithmus (Advanced Encryption Standard) verschlüsselt, der eine AES-Schlüsselgröße von 128 Bit aufweist.

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 3 /f
4 AES_256 Das Volume wurde vollständig oder teilweise vom AES-Algorithmus (Advanced Encryption Standard) verschlüsselt, der eine AES-Schlüsselgröße von 256 Bit aufweist.

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 4 /f
6 XTS_AES128 * Das Volume wurde vollständig oder teilweise vom AES-Algorithmus (Advanced Encryption Standard) verschlüsselt, der eine XTS-AES-Schlüsselgröße von 128 Bit aufweist. Dies ist die Standardeinstellung für Windows PE 10.0.586.0 (Version 1511).

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 6 /f
7 XTS_AES256 * Das Volume wurde vollständig oder teilweise vom AES-Algorithmus (Advanced Encryption Standard) verschlüsselt, der eine XTS-AES-Schlüsselgröße von 256 Bit aufweist. reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 7 /f

* Unterstützt nur für Bereitstellungen von Windows 10-Images, Version 1511 oder höher

Ihre Systembereitstellung funktioniert jetzt. Die Verschlüsselungsmethode wird erneut auf AES 128 festgelegt, wie es in älteren Windows PE-Versionen war.

Screenshot der bde-Statusbefehlsausgabe nach Verwendung des Tasksequenzschritts, der zeigt, dass die Verschlüsselungsmethode erneut auf AES 128 festgelegt ist.

References

Neuerungen in Windows 10, Versionen 1507 und 1511