Change Bitlocker Encrypton - dcasota/Lenovo83BY GitHub Wiki
Bitlocker encryption default value is XTS-128. Is there a benefit of changing the default encryption method_
Accordingly to https://www.m3datarecovery.com/news/what-encryption-does-bitlocker-use.html yes, there is.
Choosing between AES 128-bit and AES 256-bit encryption depends on your specific security needs and the performance capabilities of your system.
* For general users: AES 128-bit encryption is typically sufficient. It offers excellent security with minimal impact on your system performance, making it the ideal choice for most personal users. * For highly sensitive data: AES 256-bit encryption is recommended for users who handle sensitive information. However, the impact brought by this cipher strength may be noticeable, especially on system performance. * For different types of drives: XTS-AES is highly recommended for encrypting operating system drives and fixed data drives, while AES-CBC is fit for removable data drives.
First, see Windows security features licensing and edition requirements
https://learn.microsoft.com/en-us/windows/security/licensing-and-edition-requirements?tabs=licensing
Changing the encryption method has no effect if the drive is already encrypted, or if encryption is in progress. So you need to decrypt laptops, change encryption method, then encrypt again.
Check the encryption status.
manage-bde -status c:
BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.26100
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.
Volume "C:" [Windows-SSD]
[Betriebssystemvolume]
Größe: 3723.75 GB
BitLocker-Version: 2.0
Konvertierungsstatus: Nur verwendeter Speicherplatz ist verschlüsselt
Verschlüsselt (Prozent): 100.0 %
Verschlüsselungsmethode: XTS-AES 128
Schutzstatus: Der Schutz ist aktiviert.
Sperrungsstatus: Entsperrt
ID-Feld: Unbekannt
Schlüsselschutzvorrichtungen:
TPM
Numerisches Kennwort
Externer Schlüssel
Decrypt the system.
PS C:\Windows\System32> disable-bitlocker -mountpoint C
ComputerName: LTDCA
VolumeType Mount CapacityGB VolumeStatus Encryption KeyProtector AutoUnlock Protection
Point Percentage Enabled Status
---------- ----- ---------- ------------ ---------- ------------ ---------- ----------
OperatingSystem C: 3’723.75 DecryptionInProgress 100 {Tpm, RecoveryPassword, … Off
Double check after a while until the status response changed to disabled.
disable-bitlocker -mountpoint C
Disable-BitLocker: Die BitLocker-Laufwerkverschlüsselung ist für dieses Laufwerk nicht aktiviert. Aktivieren Sie BitLocker. (0x80310008)
Re-enable Bitlocker with new encryption method.
Enable-BitLocker -MountPoint "C:" -EncryptionMethod Aes256 -TPMProtector -skipHardwareTest
ComputerName: LTDCA
VolumeType Mount CapacityGB VolumeStatus Encryption KeyProtector AutoUnlock Protection
Point Percentage Enabled Status
---------- ----- ---------- ------------ ---------- ------------ ---------- ----------
OperatingSystem C: 3’723.75 EncryptionInProgress 1 {Tpm} Off
The encryption takes a few hours. Check the encryption percentage.
manage-bde -status c:
BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.26100
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.
Volume "C:" [Windows-SSD]
[Betriebssystemvolume]
Größe: 3723.75 GB
BitLocker-Version: 2.0
Konvertierungsstatus: Verschlüsselung wird durchgeführt
Verschlüsselt (Prozent): 0.8 %
Verschlüsselungsmethode: AES 256
Schutzstatus: Der Schutz ist deaktiviert.
Sperrungsstatus: Entsperrt
ID-Feld: Unbekannt
Schlüsselschutzvorrichtungen:
TPM
Encryption must be finished at 100%.
manage-bde -status c:
BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.26100
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.
Volume "C:" [Windows-SSD]
[Betriebssystemvolume]
Größe: 3723.75 GB
BitLocker-Version: 2.0
Konvertierungsstatus: Vollständig verschlüsselt
Verschlüsselt (Prozent): 100.0 %
Verschlüsselungsmethode: AES 256
Schutzstatus: Der Schutz ist aktiviert.
Sperrungsstatus: Entsperrt
ID-Feld: Unbekannt
Schlüsselschutzvorrichtungen:
TPM
Insert an usb media, and enable bitlocker with a startup key as option.
Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath D: -SkipHardwareTest
ComputerName: LTDCA
VolumeType Mount CapacityGB VolumeStatus Encryption KeyProtector AutoUnlock Protection
Point Percentage Enabled Status
---------- ----- ---------- ------------ ---------- ------------ ---------- ----------
OperatingSystem C: 3’723.75 FullyEncrypted 100 {Tpm, ExternalKey} On
Check the encryption protector types.
manage-bde -status c:
BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.26100
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.
Volume "C:" [Windows-SSD]
[Betriebssystemvolume]
Größe: 3723.75 GB
BitLocker-Version: 2.0
Konvertierungsstatus: Vollständig verschlüsselt
Verschlüsselt (Prozent): 100.0 %
Verschlüsselungsmethode: AES 256
Schutzstatus: Der Schutz ist aktiviert.
Sperrungsstatus: Entsperrt
ID-Feld: Unbekannt
Schlüsselschutzvorrichtungen:
TPM
Externer Schlüssel
In addition, add a recovery password protector.
Add-BitLockerKeyProtector -MountPoint C -RecoveryPasswordProtector
WARNING: ERFORDERLICHE AKTIONEN:
1. Bewahren Sie dieses numerische Wiederherstellungskennwort an einem sicheren Ort getrennt vom Computer auf:
xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx
Speichern Sie dieses Kennwort sofort, um Datenverlust zu vermeiden. Mit diesem Kennwort wird sichergestellt, dass Sie das verschlüsselte Volume entschlüsseln können.
ComputerName: LTDCA
VolumeType Mount CapacityGB VolumeStatus Encryption KeyProtector AutoUnlock Protection
Point Percentage Enabled Status
---------- ----- ---------- ------------ ---------- ------------ ---------- ----------
OperatingSystem C: 3’723.75 FullyEncrypted 100 {Tpm, ExternalKey, Recov… On
All three encryption protector types are now active.
get-bitlockervolume c: | fl
ComputerName : LTDCA
MountPoint : C:
EncryptionMethod : Aes256
EncryptionMethodFlags : None
AutoUnlockEnabled :
AutoUnlockKeyStored : False
MetadataVersion : 2
VolumeStatus : FullyEncrypted
ProtectionStatus : On
LockStatus : Unlocked
EncryptionPercentage : 100
WipePercentage : 0
VolumeType : OperatingSystem
CapacityGB : 3723.753
KeyProtector : {Tpm, ExternalKey, RecoveryPassword}
As an option, add a pin, see https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/operations-guide?tabs=powershell.