Dabei gibt es zwei grundlegende Ansätze, die verwendet werden können. Man kann Windows Vista mit einer Vorbereitung für die BitLocker-Laufwerksverschlüsselung über Werkzeuge für die automatische Betriebssysteminstallation vorbereiten. Oder man bereitet die Systeme manuell vor. Die Herausforderung ist in beiden Fällen, dass eine spezielle Partition für BitLocker benötigt wird. Diese lässt sich in der in diesem Artikel beschriebenen manuellen Konfiguration nicht einfach bei der Festplattenkonfiguration im normalen Installationsprozess einrichten, sondern muss über die Befehlszeile definiert werden.
Nach dem Start der Windows Vista-Installation und der Sprachauswahl muss vielmehr im nächsten Schritt auf die Reparaturoptionen für vorhandene Windows-Installationen gewechselt werden. Das gilt auch bei einem völlig „nackten“ System. Die Liste der vorhandenen Systeme ist leer. Mit Weiter kann aber zu dem Dialogfeld mit den Systemwiederherstellungsoptionen gesprungen werden. In diesem findet sich auch die Option Eingabeaufforderung.
An der Befehlszeile kann anschließend das Werkzeug diskpart gestartet werden, um die eigentliche Partitionierung durchzuführen.
Partitionierung und Formatierung
Folgende Befehle sind dabei bei einem neuen System ohne vorhandenes Betriebssystem erforderlich:
-
select disk 0 wählt die erste physische Festplatte im System aus.
-
clean löscht die vorhandene Partitionstabelle.
-
create partition primary erzeugt eine erste primäre Partition.
-
assign letter=c weist den Laufwerksbuchstaben C: zu.
-
shrink minimum=1500 verkleinert die Partition am Ende um 1,5 GB, die für die nächste Partition benötigt werden.
-
create partition primary erzeugt eine weitere Partition.
-
active aktiviert diese.
-
assign letter=s weist der Partition den Laufwerksbuchstaben S: zu. Es kann auch ein anderer Laufwerksbuchstabe verwendet werden.
-
exit beendet das Tool.
Im nächsten Schritt muss die Festplatte noch partitioniert werden. Dazu wird der Befehl format.exe genutzt. Die Formatierung kann mit
format c: /y /q /fs:NTFS
erfolgen (und dem analogen Befehl für Laufwerk s: ). Die Schnellformatierung wird unterstützt. Wichtig ist, dass die Formatierung mit dem NTFS-Dateisystem erfolgt.
Nachdem die Befehlszeile mit exit geschlossen wurde, muss das Fenster Systemwiederherstellungsoptionen noch mit ALT+F4 geschlossen werden. Es darf hier kein Neustart oder Systemabschluss erfolgen. Beim Schließen des Fensters wird zurück zur normalen Installationsprozedur gewechselt, die nun in gewohnter Weise genutzt werden kann – aber eben mit den vordefinierten Partitionen.
Vordefiniert: Windows Vista muss bei einer Bitlocker-Installation auf der (größeren) Systempartition eingerichtet werden.
BitLocker einrichten
Nach der Installation des Betriebssystems kann die weitere Konfiguration entweder über den Bereich BitLocker-Laufwerksverschlüsselung in der klassischen Ansicht der Systemsteuerung oder über den gleichnamigen Teilbereich des Bereichs Sicherheit in der neuen Ansicht der Systemsteuerung erfolgen.
Eingeschränkt: Ohne TPM-Modul kann keine vollständige Aktivierung der Windows Vista BitLocker Festplattenverschlüsselung erfolgen.
Die hier verfügbaren Optionen hängen davon ab, mit welcher Hardware das System ausgestattet ist. Die beste Lösung für die Verwendung von BitLocker ist ein System, das mit einem TPM-Chip ausgestattet ist. In diesem Fall werden die Schlüssel auf diesem Chip in sicherer Weise gespeichert. Falls der Rechner keine entsprechende Hardware-Unterstützung besitzt, kann BitLocker so konfiguriert werden, dass die Daten auf einem externen USB-Stick abgelegt werden. Das bietet nicht ganz die gleiche Sicherheit, ist aber eine gangbare Lösung. Abhängig von der Hardware unterscheidet sich auch die Anzeige für die Konfiguration der BitLocker-Laufwerksverschlüsselung.
Im ersten Schritt kann festgelegt werden, ob mit einem zusätzlichen Systemstartschlüssel oder einer PIN gearbeitet werden soll oder nicht. Falls ein solcher Schlüssel verwendet wird, ist ein USB-Laufwerk erforderlich, um diesen abzuspeichern.
Falls ohne TPM gearbeitet wird, wird nur dieser Ansatz unterstützt, also die Konfiguration von BitLocker mit einem Systemstartschlüssel, der auf einem USB-Laufwerk gespeichert wird. Dieses USB-Laufwerk muss beim Systemstart bereits eingesteckt sein. Außerdem muss das System so konfiguriert sein, dass es nicht von dem USB-Laufwerk, sondern von der aktiven Partition der Festplatte startet, aber auf das USB-Laufwerk zugreifen kann.
Nachdem die Sicherheitseinstellungen konfiguriert wurden, kann die Verschlüsselung des oder der Laufwerke erfolgen. Diese dauert eine gewisse Zeit, abhängig auch von der Prozessorgeschwindigkeit und Performance des Laufwerks. Ein Richtwert für aktuelle Hardware ist eine Minute pro GB – also rund 4 Stunden für eine typische 250 GB-Festplatte.
Die Steuerung über Gruppenrichtlinien
Die Steuerung von BitLocker sollte über die Gruppenrichtlinien erfolgen, um einheitliche Konfigurationsparameter für die verschiedenen Systeme im Netzwerk durchsetzen zu können. Die Einstellungen sollten im Idealfall schon vor der Einrichtung von BitLocker vorgenommen werden, weil auch die Systemsteuerung davon beeinflusst wird.
Zentral: Über die Gruppenrichtlinien kann das Management der BitLocker-Konfigurationseinstellungen zentral für alle Clients im Netzwerk durchgeführt werden.
Hier gibt es insgesamt sieben Parameter:
-
BitLocker-Sicherung in Active Directory-Domänendienste aktivieren: Damit kann gesteuert werden, dass die Wiederherstellungsinformationen für BitLocker im Active Directory gespeichert werden. Auf diesen Aspekt wird weiter unten noch näher eingegangen.
-
Systemsteuerungsetup: Wiederherstellungsordner konfigurieren: Gibt einen Standardpfad vor, in dem die Informationen für die Wiederherstellung abgelegt werden.
-
Systemsteuerungssetup: Wiederherstellungsoptionen konfigurieren: Damit können Sie festlegen, dass Wiederherstellungsinformationen nicht verfügbar werden. Damit können verschlüsselte Datenträger im Problemfall nicht wieder hergestellt werden. Das ist nur sinnvoll, wenn auf den Datenträgern keine kritischen Daten liegen, sondern nur Anwendungen.
-
Systemsteuerungssetup: Erweiterte Startoptionen aktivieren: Hier kann unter anderem festgelegt werden, dass die Verwendung von BitLocker auch ohne kompatibles TPM zugelassen ist. Diese Einstellung ist damit von zentraler Bedeutung. Sie muss in einem solchen Fall vor der Einrichtung von BitLocker gesetzt werden. Außerdem kann festgelegt werden, ob weitere Funktionen wie Startschlüssel und PINs erforderlich sein sollen.
-
Verschlüsselungsmethode konfigurieren: Hier kann die von BitLocker verwendete Verschlüsselungsmethode konfiguriert werden.
-
Überschreiben des Arbeitsspeichers beim Neustart verhindern: Verhindert eben, dass der Arbeitsspeicher beim Neustart überschrieben wird. Die Standardeinstellung kann beibehalten werden.
-
TPM-Plattformvalidierungsprofil konfigurieren: Erlaubt eine differenzierte Konfiguration des TPM-Validierungsprofils, also der Informationen, die für die Identifikation eines unveränderten Systems verwendet werden. Eine Anpassung ist in der Regel nicht erforderlich.
Wiederherstellung und das Active Directory
Eine Herausforderung bei jeder Form der Verschlüsselung ist die Wiederherstellung. Bei der BitLocker-Verschlüsselung wird ein Wiederherstellungsschlüssel verwendet. Dabei handelt es sich um einen Schlüssel aus 48 Ziffern. Dieses muss sicher aufbewahrt werden. Es kann aber auch auf einem USB-Laufwerk gespeichert werden.
Interessant ist auch die Option, das Kennwort im Active Directory abzulegen. Dazu wird der Windows Server 2003 mit Service Pack 1 und höher oder der Windows Server 2008 benötigt. Im Active Directory kann nach einer Schema-Erweiterung ein spezielles BitLocker-Objekt genutzt werden. Zu beachten ist, dass wichtige Informationen wie das Wiederherstellungskennwort im Active Directory nicht verschlüsselt gespeichert werden. Allerdings werden sie verschlüsselt zum Server übertragen. Der Schutz erfolgt nur über entsprechende Zugriffsberechtigungen im Active Directory.
Das setzt eine genaue Planung dieser Zugriffsberechtigungen voraus. Standardmäßig haben nur Administratoren und das System Zugriff. Der Zugriff für Administratoren kann unter Umständen durch Zugriffsberechtigungen für spezielle Wiederherstellungs-Operatoren ersetzt werden.