Bitlocker aktivieren
Das Ganze ist natürlich nur sinnvoll und funktioniert erst dann, wenn Sie Ihren Rechner mit BitLocker schützen. Die Option erreichen Sie zum Beispiel über die Systemsteuerung. Von der Startseite aus navigieren Sie zu System und Sicherheit / BitLocker-Laufwerkverschlüsselung. In der Übersicht werden alle aktuell mit dem Computer verbundenen Laufwerke aufgeführt. Klicken Sie neben dem Laufwerk, auf dem Windows installiert ist (C:), auf BitLocker aktivieren.
Windows 10 - Speichern auf nicht verschlüsselten externen Medien verhindern
Windows 10 Pro, Version 1909
Die BitLocker-Verwaltung erreichen Sie zum Beispiel über die Systemsteuerung, die Sie schnell mithilfe der Suchfunktion starten.
Windows 10 Pro, Version 1909
Auf der Startseite wählen Sie den Punkt „System und Sicherheit“.
Windows 10 Pro, Version 1909
Anschließend klicken Sie auf den Link „BitLocker-Laufwerkverschlüsselung“.
Windows 10 Pro, Version 1909
In der Übersicht finden Sie alle Laufwerke, die aktuell mit Ihrem Computer verbunden sind. Aktivieren Sie BitLocker für Laufwerk C:.
Windows 10 Pro, Version 1909
Daraufhin startet ein Assistent, der Sie bei den folgenden Schritten begleitet.
Windows 10 Pro, Version 1909
Da es sich um das Laufwerk mit dem Betriebssystem handelt, sollten Sie eine Methode wählen, die den Start nicht unnötig verzögert. In der Regel eignet sich die Eingabe eines Passworts am besten.
Windows 10 Pro, Version 1909
Anschließend geben Sie das Kennwort ein, mit dem Sie künftig Ihr Betriebssystem-Laufwerk entsperren.
Windows 10 Pro, Version 1909
Zur Sicherheit fordert Windows Sie noch auf, einen Recovery-Schlüssel zu speichern, falls mit Ihrem Kennwort kein Zugriff möglich sein sollte, etwa weil Sie es vergessen haben.
Windows 10 Pro, Version 1909
Wenn Sie sich für das Speichern in einer Datei entscheiden, können Sie das File auch im Netzwerk ablegen.
Windows 10 Pro, Version 1909
Bevor Windows mit der Verschlüsselung beginnt, empfiehlt sich die vorgeschlagene Überprüfung des Systems. So können Sie sicherstellen, dass alle Voraussetzungen erfüllt sind und es nachfolgend zu keinen Komplikationen kommt.
Windows 10 Pro, Version 1909
Erst nach dem Check und einem Neustart beginnt Windows mit der Verschlüsselung. Hierfür sollten Sie je nach Laufwerksgröße etwas Zeit einplanen.
Windows 10 Pro, Version 1909
Am Ende des Vorgangs wird auf der BitLocker-Verwaltungsseite der neue Status angezeigt.
Windows 10 Pro, Version 1909
Damit auf dem Computer durch BitLocker geschützte Dateien nicht einfach auf einem unverschlüsselten Wechseldatenträger landen, starten Sie den Editor für Gruppenrichtlinien.
Windows 10 Pro, Version 1909
Dann navigieren Sie unterhalb von „Computerkonfiguration“ zu „Administrative Vorlagen / Windows-Komponenten / BitLocker-Laufwerkverschlüsselung / Wechseldatenträger“. Rechts finden Sie die passende Richtlinie.
Windows 10 Pro, Version 1909
Öffnen Sie die Richtlinieneinstellung per Doppelklick und aktivieren Sie sie mithilfe des Options-Buttons. Über die Checkbox weiter unten lässt sich der Schreibschutz noch ausweiten.
Windows 10 Pro, Version 1909
Die geänderte Richtlinie gilt nach einem Neustart des Rechners. Testen Sie die Funktion, indem Sie versuchen, eine Datei von der verschlüsselten Festplatte auf einem nicht mit BitLocker verschlüsselten USB-Stick zu speichern.
Windows 10 Pro, Version 1909
Sofern alles funktioniert hat, meldet Windows ein schreibgeschütztes Speichermedium.
Nun startet ein Assistent, der Sie durch alle notwendigen Schritte führt. Sie können im Allgemeinen die Defaults bestätigen. Bei der Frage, wo Sie den Recovery-Schlüssel speichern wollen, sollten Sie sich aber für eine andere Möglichkeit als das Microsoft-Konto entscheiden. Nur so ist sichergestellt, dass Sie die alleinige Kontrolle darüber haben. Am Ende des Vorgangs finden Sie auf der BitLocker-Verwaltungsseite den Hinweis, dass die Verschlüsselung für Ihr Betriebssystem-Laufwerk aktiviert ist.
Gruppenrichtlinien-Editor öffnen
Im Folgenden legen Sie fest, dass Daten von Ihrem mit BitLocker geschützten Rechner nicht auf unverschlüsselten externen Datenträgern landen, etwa USB-Sticks. In früheren Versionen von Windows 10 ließ sich die Option über die Einstellungen unter Update und Sicherheit / Wechseldatenträger vornehmen. Diese Möglichkeit hat Microsoft offenbar zwischenzeitlich entfernt.
Stattdessen starten Sie nun den Gruppenrichtlinien-Editor über gpedit.msc im Ausführen-Dialog. Wechseln Sie zu Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / BitLocker-Laufwerkverschlüsselung / Wechseldatenträger.
Schreibzugriff auf Wechseldatenträger verweigern
Auf der rechten Seite öffnen Sie die Richtlinie Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind. Standardmäßig ist diese Einstellung nicht konfiguriert, sodass Windows alle auf dem Computer entfernbaren Laufwerke mit Lese- und Schreibzugriff bereitstellt. Klicken Sie auf den Options-Button Aktiviert, können Sie auf einen solchen Datenträger, der nicht mit BitLocker verschlüsselt ist, nicht mehr schreibend zugreifen.
Ein zusätzlicher Schutz ergibt sich, wenn Sie die Checkbox Schreibzugriff auf Geräte verweigern, die in einer anderen Organisation konfiguriert sind aktivieren. In dem Fall erhalten nur Laufwerke mit spezifischen IDs Schreibzugriff. Zuständig dafür ist die Richtlinie Eindeutige IDs für Ihre Organisation bereitstellen. Sie finden die Einstellung ebenfalls in der Computerkonfiguration unter Administrative Vorlagen / Windows-Komponenten / BitLocker-Laufwerkverschlüsselung. (ad)