BitLocker ist Bestandteil von Windows Vista/7 Enterprise und Ultimate sowie wie von Windows Server 2008 R2. Die Funktion dient der Datenverschlüsselung von kompletten Festplatten.
Prinzipiell setzt BitLocker für den Idealfall voraus, dass in dem System, dessen Laufwerke verschlüsselt werden sollen, eine TPM-Lösung integriert ist. Dabei handelt es sich um einen Chip, der grundlegende Sicherheitsfunktionen zur Verfügung stellt. Darüber lassen sich beispielsweise Schlüssel an eine Plattform binden. Zur Aktivierung von BitLocker ist ein solcher TPM-Chip zwar optimal, aber nicht zwingend vorgeschrieben.
Wenn Sie nicht wissen, ob Ihr Computer über einen TPM-Chip verfügt, können Sie die TPM-Verwaltungskonsole über tpm.msc starten. Hier erhalten Sie eine entsprechende Meldung. Allerdings muss der TPM-Chip im BIOS aktiviert sein. Oftmals ist dies nicht der Fall, selbst wenn eine solche Lösung hardwareseitig vorhanden ist.
Auf dem Computer müssen mindestens zwei Partitionen angelegt sein. Eine Partition ist dem Betriebssystem vorbehalten und wird von BitLocker verschlüsselt, während die andere Partition die aktive Partition ist, die unverschlüsselt bleiben muss. Die Größe der aktiven Partition muss mindestens 100 MByte betragen. BitLocker lässt sich abhängig von der Ausstattung des Computers in fünf verschiedenen Varianten betreiben:
1. Computer ohne TPM-Chip - Wenn im Computer kein TPM-Chip integriert ist, speichert BitLocker Daten auf einem USB-Stick. Dieser muss mit dem Computer verbunden sein, damit BitLocker booten kann.
2. Computer mit TPM-Chip - Hier entschlüsselt BitLocker die Daten mit der im TPM gespeicherten Prüfsumme.
3. TPM und PIN - Zusätzlich müssen Anwender bei jedem Neustart des Computers eine PIN eingeben.
4. TPM und Startschlüssel - Statt der PIN verwendet der Computer einen Startschlüssel, der von einem USB-Stick bezogen wird.
5. Recovery-Schlüssel - Diese Funktion benötigen Sie, wenn sich die Hardware des Computers ändert oder Anwender ihre PIN nicht mehr kennen.
BitLocker konfigurieren
Die Konfiguration von BitLocker findet über Systemsteuerung/System und Sicherheit/BitLocker-Laufwerkverschlüsselung statt. Aktivieren Sie am besten direkt nach der Installation von Windows 7 in der Systemsteuerung BitLocker. Verfügt der Computer über einen TPM-Chip und haben Sie diesen im BIOS aktiviert, muss dieser nach der Installation zunächst initialisiert werden:
1. Öffnen Sie über tpm.msc die TPM-Verwaltungskonsole.
2. Klicken Sie bei Aktionen auf TPM initialisieren, um den TPM-Initialisierungs-Assistenten zu starten. Diese Option erscheint nur, wenn ein TPM-Chip im Computer verbaut ist.
3. Starten Sie nach der Initialisierung den Computer neu.
4. Nach dem Neustart erscheint eine Bestätigungsaufforderung, um sicherzustellen, dass keine bösartige Software versucht, das TPM einzuschalten.
5. Bevor das TPM zum Schutz des Computers eingesetzt werden kann, muss es einem Besitzer zugeordnet sein. Beim Festlegen des TPM-Besitzers wird ein Kennwort zugewiesen, sodass nur der autorisierte TPM-Besitzer auf das TPM zugreifen und es verwalten kann.
6. Klicken Sie auf Kennwort drucken, wenn Sie das Kennwort ausdrucken möchten.
7. Klicken Sie auf Initialisieren. Der Initialisierungsprozess kann einige Minuten dauern.
BitLocker-Laufwerkverschlüsselung ohne TPM-Chip aktivieren
BitLocker können Anwender auch dann nutzen, wenn kein TPM im System vorhanden ist. Dazu ist es notwendig, in die lokale Sicherheitsrichtlinie des Computers zu wechseln oder die Einstellungen über Gruppenrichtlinien festzulegen. Gehen Sie zur Konfiguration folgendermaßen vor:
1. Starten Sie über gpedit.msc den Editor für lokale Gruppenrichtlinien oder öffnen Sie eine Gruppenrichtlinie in Active Directory.
2. Wechseln Sie im Navigationsbereich zum Eintrag Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Betriebssystemlaufwerke.
3. Doppelklicken Sie im rechten Bereich des Fensters auf die Richtlinie Zusätzliche Authentifizierung beim Start anfordern. Für Windows-Vista-Clients oder Windows Server 2008 gibt es dazu eine eigene Richtlinie, die Sie aktivieren müssen.
4. Aktivieren Sie im Dialogfeld die Option Aktiviert.
5. Stellen Sie sicher, dass das Kontrollkästchen BitLocker ohne kompatibles TPM zulassen aktiviert ist.
6. Klicken Sie auf OK.
7. Die Richtlinie erhält darauf in der Statuszeile den Status Aktiviert.
8. Nachdem diese Aufgaben durchgeführt sind, können Sie BitLocker aktivieren. Starten Sie die Konfigurationsoberfläche von BitLocker über Start/Systemsteuerung/System und Sicherheit/BitLocker-Laufwerksverschlüsselung.
9. Wenn die Partitionierung nicht den Vorgaben entspricht, erhalten Sie eine entsprechende Meldung.
10. Klicken Sie auf BitLocker aktivieren. Diese Option ist nur aktiv, wenn die Partitionen vorhanden, das TPM aktiviert oder die Einstellung gesetzt ist, dass BitLocker auch ohne TPM nutzbar sein soll.
Das Wiederherstellungskennwort
Im nächsten Dialogfeld erhalten Sie verschiedene Optionen:
• Wiederherstellungsschlüssel auf einem USB-Laufwerk speichern
• Wiederherstellungsschlüssel in Datei speichern
• Wiederherstellungsschlüssel drucken
Das Kennwort für den Wiederherstellungsschlüssel ist erforderlich, um die verschlüsselten Daten des Datenträgers zu entsperren, wenn BitLocker in einen gesperrten Zustand wechselt.
Wählen Sie die gewünschten Optionen aus, um das Wiederherstellungskennwort aufzubewahren. Wichtig ist an dieser Stelle jedoch, dass dieser Stick keinesfalls in fremde Hände gelangen darf, da sonst der komplette Schutz des Computers ausgehebelt ist. Nach der Speicherung des Schlüssels auf dem Stick können Sie zusätzlich die Speicherung auf einem anderen Laufwerk oder das Ausdrucken aktivieren.
Nachdem das Kennwort gespeichert und gedruckt ist, können Sie BitLocker aktivieren. Nach der BitLocker-Aktivierung erreichen Sie das Fenster für die Verwaltung des Kennwortes jederzeit über die Systemsteuerung. So lässt sich der Schlüssel auch nachträglich ausdrucken oder speichern. Zur Aktivierung und zur Überprüfung der Konfiguration startet der Computer daraufhin neu. Beim nächsten Boot-Vorgang überprüft BitLocker, ob auf den Startschlüssel zugegriffen werden kann, und verschlüsselt die Festplatte nach dem Start von Windows. Nach dieser Einrichtung ist die Verschlüsselung aktiv.
Nach der Einrichtung von BitLocker können Sie noch weitere Festplatten auf dem Computer verschlüsseln. Auch wenn Sie nachträglich Festplatten einbauen, lässt sich über die BitLocker-Verwaltungsoberfläche die Verschlüsselung nachträglich für diese Laufwerke aktivieren. Verwenden Sie TPM zusammen mit einer PIN, muss der Anwender bei jedem Start des Computers eine PIN für den Start eingeben.
Probleme mit USB-Stick beheben und BitLocker in virtuellen Maschinen testen
In manchen Umgebungen kann BitLocker beim Booten nicht auf das USB-Laufwerk zugreifen und meldet beim Start des Rechners einen Fehler, zum Beispiel wenn Sie BitLocker in virtuellen Umgebungen testen wollen. In diesem Fall können Sie auch über eine virtuelle Diskette den Zugriff auf den Schlüssel ermöglichen. Verbinden Sie dazu eine virtuelle Diskette mit dem virtuellen Computer.
Auf diesem Weg können Sie zum Beispiel BitLocker auch unter VMware Workstation aktivieren und testen. Sie müssen danach eine Eingabeaufforderung mit Admin-Rechten starten. Geben Sie anschließend den Befehl:
cscript c:\Windows\System32\manage-bde.wsf -on C: -rp -sk A:
ein. Sie können ebenso das Tool manage-bde.exe verwenden. Auch hier ist die Syntax manage-
bde -on C: -rp -sk A
Anschließend bereitet Windows das virtuelle Laufwerk vor. Nach dem Neustart beginnt Windows mit der Verschlüsselung. Für den Systemstart benötigen Sie die erstellte Diskette. Achten Sie darauf, dass der Computer von der Festplatte bootet. Die virtuelle Diskette wird nicht zum Booten benötigt, sondern nur für den Zugriff auf die Dateien zur Verschlüsselung.
Funktioniert der Vorgang nicht, können Sie den Computer auch durch Eingabe des Wiederherstellungsschlüssels starten, den Sie bei der Verschlüsselung erhalten, gespeichert oder ausgedruckt haben.
Legen Sie ein solches Dokument in einen sicheren Bereich ab, damit es zugreifbar, aber auch sicher ist. Sobald Windows den Schlüssel nach dem Booten nicht mehr benötigt, erhalten Sie eine entsprechende Meldung, und Sie können den USB-Stick aus dem Rechner entfernen.
Haben Sie den Computer neu gestartet, können Sie BitLocker nachträglich mit verschiedenen Optionen verwalten. Dazu stehen folgende Möglichkeiten zur Verfügung:
• BitLocker deaktivieren - Diese Option entschlüsselt die Platte dauerhaft, sodass der USB-Stick zum Booten nicht mehr notwendig ist.
• Schutz anhalten - Hierbei stoppen Sie die Verschlüsselung im laufenden System, wenn Sie zum Beispiel den Computer aktualisieren müssen, also BIOS-Updates und Patch-Installationen durchführen.
• BitLocker verwalten - Über diesen Menüpunkt können Sie den BitLocker-Schlüssel nochmals speichern oder ausdrucken.
Verschlüsselte Festplatten zeigt der Explorer auch entsprechend an, sodass Sie auf einen Blick feststellen können, ob BitLocker installiert und eingerichtet ist. Über das Kontextmenü können Sie BitLocker ebenso verwalten wie über die Systemsteuerung.
Rettung per Wiederherstellung
Wenn Daten verschlüsselt werden, trägt der Administrator immer das Risiko, dass er selbst nicht mehr an die Daten kommt, wenn er die entsprechenden Schlüssel verliert. Es besteht auch die Gefahr, dass der TPM defekt ist, der Startschlüssel zerstört ist oder Anwender den PIN vergessen haben. Damit bei solchen Vorfällen, auch bei der Erweiterung des Computers, die Daten noch zugänglich sind, gibt es die BitLocker-Recovery-Konsole.
Wenn Sie BitLocker aktivieren, legen Sie sich auf jeden Fall ein Wiederherstellungskennwort an. Dieser generierte Code besteht aus sechs Blöcken mit je acht Ziffern. Sie können ihn ausdrucken oder als Textdatei auf einem USB-Stick speichern.
Ein gesperrter Computer kann nicht die normalen Zahlen einer Standardtastatur annehmen, deshalb müssen Sie das Kennwort für den Wiederherstellungsschlüssel mit den Funktionstasten eingeben. (F1) bis (F9) stellen die Ziffern 1 bis 9 dar, (F10) die Ziffer 0.
Wenn Sie BitLocker ausschalten, können Sie sich entscheiden, ob Sie BitLocker temporär deaktivieren oder das Laufwerk entschlüsseln möchten. Wenn Sie BitLocker deaktivieren, können Sie TPM-Änderungen und Betriebssystemaktualisierungen durchführen. Durch das Entschlüsseln des Laufwerks wird das Volume wieder lesbar, und Windows löscht den Wiederherstellungsschlüssel.
Wenn ein Volume entschlüsselt ist, müssen Sie einen neuen Wiederherstellungsschlüssel generieren, indem Sie den Verschlüsselungsvorgang erneut durchlaufen.
BitLocker und Active-Directory-Domänen
Das Wiederherstellungskennwort von BitLocker kann in einem Ordner oder auf einem oder mehreren USB-Geräten gespeichert oder einfach ausgedruckt werden. Ein Administrator kann außerdem eine Gruppenrichtlinie konfigurieren, um Wiederherstellungskennwörter automatisch zu generieren und diese in Active Directory zu sichern. Die BitLocker-Wiederherstellungsinformationen speichert Windows in einem untergeordneten Objekt eines Computerkontos in Active Directory.
Das bedeutet, das Computerobjekt ist der Container für das BitLocker-Wiederherstellungsobjekt. Der allgemeine Name (Common Name, CN) von Active Directory für das BitLocker-Wiederherstellungsobjekt lautet ms-FVE-RecoveryInformation und enthält Attribute wie ms-FVE-RecoveryPassword und ms-FVE-RecoveryGuid. Pro Computer ist immer nur ein TPM-Besitzerkennwort möglich.
Um Daten des TPM im Active Directory zu speichern, müssen Sie weitere Richtlinien setzen. Diese finden Sie über Computerkonfiguration\Administrative Vorlagen\System\Trusted Platform-Module-Dienste. Zusätzlich müssen Sie noch einige Rechte ändern und Anwendern auch das Recht geben, eigene Daten zu verwalten. Sie benötigen dazu ein VBS-Skript, das Microsoft aber zur Verfügung stellt. Die entsprechende Anleitung dazu finden Sie direkt in im TechNet.
USB-Stick mit BitLocker-To-Go verschlüsseln
Anwender, die Windows 7 Ultimate oder Enterprise einsetzen, oder Unternehmen mit Windows Server 2008 R2 können USB-Sticks mit Bordmitteln verschlüsseln. Dazu steht BitLocker-To-Go zur Verfügung:
1. Verbinden Sie den USB-Stick mit dem Rechner.
2. Wählen Sie über das Kontextmenü BitLocker aktivieren aus.
3. Wählen Sie für die Verschlüsselung die Kennwortmethode aus und geben Sie das Kennwort ein. Sie können statt eines Kennworts auch eine Smartcard verwenden.
4. Speichern Sie das Kennwort oder drucken Sie es aus.
5. Windows 7 oder Windows Server 2008 R2 verschlüsselt jetzt den USB-Stick und zeigt die Verschlüsselung mit einem Schloss an.
6. Über das Kontextmenü machen Sie die Eingaben wieder rückgängig, wenn Sie den USB-Stick erneut entschlüsseln wollen. Hier können Sie auch ein neues Kennwort eingeben oder das Kennwort abermals ausdrucken, wenn Sie über entsprechende Rechte verfügen.
Wollen Sie - auch von anderen Computern aus - auf den USB-Stick zugreifen, erscheint ein Fenster, über das Sie das hinterlegte Kennwort eingeben.
Für Computer, die BitLocker nicht beherrschen, bietet Microsoft das kostenlose BitLocker-Lese-Tool zum Download an. Damit lassen sich verschlüsselte USB-Sticks auch auf Computern mit Windows XP oder Windows Vista lesen. (mje)