Aktivierung, Konfiguration, Wiederherstellung

Windows-Praxis: Laufwerke mit BitLocker verschlüsseln

Die BitLocker-Laufwerksverschlüsselung gehört bei einigen Windows-Versionen zur Grundausstattung. Seit Windows 7 lassen sich mit BitLocker-To-Go auch USB-Sticks per Verschlüsselung sichern. Wie Sie BitLocker einsetzen und im Zweifel Probleme lösen, beschreibt der folgende Beitrag detailliert.

BitLocker ist Bestandteil von Windows Vista/7 Enterprise und Ultimate sowie wie von Windows Server 2008 R2. Die Funktion dient der Datenverschlüsselung von kompletten Festplatten.

Prinzipiell setzt BitLocker für den Idealfall voraus, dass in dem System, dessen Laufwerke verschlüsselt werden sollen, eine TPM-Lösung integriert ist. Dabei handelt es sich um einen Chip, der grundlegende Sicherheitsfunktionen zur Verfügung stellt. Darüber lassen sich beispielsweise Schlüssel an eine Plattform binden. Zur Aktivierung von BitLocker ist ein solcher TPM-Chip zwar optimal, aber nicht zwingend vorgeschrieben.

Kontrolle: Über die TPM-Verwaltungskonsole in Windows 7 und Windows Server 2008 R2 können Sie erkennen, ob Ihr System mit einem TPM-Chip ausgestattet ist.
Kontrolle: Über die TPM-Verwaltungskonsole in Windows 7 und Windows Server 2008 R2 können Sie erkennen, ob Ihr System mit einem TPM-Chip ausgestattet ist.

Wenn Sie nicht wissen, ob Ihr Computer über einen TPM-Chip verfügt, können Sie die TPM-Verwaltungskonsole über tpm.msc starten. Hier erhalten Sie eine entsprechende Meldung. Allerdings muss der TPM-Chip im BIOS aktiviert sein. Oftmals ist dies nicht der Fall, selbst wenn eine solche Lösung hardwareseitig vorhanden ist.

Auf dem Computer müssen mindestens zwei Partitionen angelegt sein. Eine Partition ist dem Betriebssystem vorbehalten und wird von BitLocker verschlüsselt, während die andere Partition die aktive Partition ist, die unverschlüsselt bleiben muss. Die Größe der aktiven Partition muss mindestens 100 MByte betragen. BitLocker lässt sich abhängig von der Ausstattung des Computers in fünf verschiedenen Varianten betreiben:

1. Computer ohne TPM-Chip - Wenn im Computer kein TPM-Chip integriert ist, speichert BitLocker Daten auf einem USB-Stick. Dieser muss mit dem Computer verbunden sein, damit BitLocker booten kann.

2. Computer mit TPM-Chip - Hier entschlüsselt BitLocker die Daten mit der im TPM gespeicherten Prüfsumme.

3. TPM und PIN - Zusätzlich müssen Anwender bei jedem Neustart des Computers eine PIN eingeben.

4. TPM und Startschlüssel - Statt der PIN verwendet der Computer einen Startschlüssel, der von einem USB-Stick bezogen wird.

5. Recovery-Schlüssel - Diese Funktion benötigen Sie, wenn sich die Hardware des Computers ändert oder Anwender ihre PIN nicht mehr kennen.

BitLocker konfigurieren

Die Konfiguration von BitLocker findet über Systemsteuerung/System und Sicherheit/BitLocker-Laufwerkverschlüsselung statt. Aktivieren Sie am besten direkt nach der Installation von Windows 7 in der Systemsteuerung BitLocker. Verfügt der Computer über einen TPM-Chip und haben Sie diesen im BIOS aktiviert, muss dieser nach der Installation zunächst initialisiert werden:

1. Öffnen Sie über tpm.msc die TPM-Verwaltungskonsole.

2. Klicken Sie bei Aktionen auf TPM initialisieren, um den TPM-Initialisierungs-Assistenten zu starten. Diese Option erscheint nur, wenn ein TPM-Chip im Computer verbaut ist.

3. Starten Sie nach der Initialisierung den Computer neu.

4. Nach dem Neustart erscheint eine Bestätigungsaufforderung, um sicherzustellen, dass keine bösartige Software versucht, das TPM einzuschalten.

5. Bevor das TPM zum Schutz des Computers eingesetzt werden kann, muss es einem Besitzer zugeordnet sein. Beim Festlegen des TPM-Besitzers wird ein Kennwort zugewiesen, sodass nur der autorisierte TPM-Besitzer auf das TPM zugreifen und es verwalten kann.

6. Klicken Sie auf Kennwort drucken, wenn Sie das Kennwort ausdrucken möchten.

7. Klicken Sie auf Initialisieren. Der Initialisierungsprozess kann einige Minuten dauern.