UAC, BitLocker, AppLocker

Die Sicherheitsfunktionen von Windows 7 nutzen

BitLocker Festplatten-Verschlüsselung

Das größte Manko von Vistas Festplattenverschlüsselung "BitLocker" besteht darin, dass die nachträgliche Installation großen Aufwand verursacht. Ist das Betriebssystem schon installiert, muss die bereits vorhandene Systempartition zunächst verkleinert werden, um für die BitLocker-Partition Platz zu schaffen. Microsoft hatte deshalb das "BitLocker Drive Preparation Tool" nachgereicht, das bei einer späteren Einrichtung der Verschlüsselungsfunktion behilflich ist. Allerdings ist die Prozedur für die Umstellung einer größeren Zahl von Rechnern zu umständlich.

Vereinfacht: Der Einsatz von BitLocker fällt unter Windows 7 leichter als unter Vista.
Vereinfacht: Der Einsatz von BitLocker fällt unter Windows 7 leichter als unter Vista.

Bei Windows 7 umgeht Microsoft die nachträgliche Installation elegant: Die BitLocker-Partition wird standardmäßig bereits bei der Installation des Betriebssystems eingerichtet. Sie benötigt etwa 200 MByte Speicherplatz. Wird das "Windows Recovery Environment" (Windows RE) zusätzlich installiert, sind 400 MByte fällig. Der Administrator kann dann in der Systemsteuerung die Verschlüsselung des Systemlaufwerks anstoßen.

Gegenüber anderen alternativen Lösungen, wie etwa dem kostlosen "TrueCrypt", hat BitLocker auch noch unter Windows 7 den Nachteil, dass die Handhabung bei PCs ohne Trusted Platform Module (TPM) umständlich ist. Zwar gibt es inzwischen einige Business-Laptops mit TPM-Chip. In die günstigeren Consumer-Notebooks und insbesondere in die derzeit populären Netbooks wird er jedoch in der Regel nicht eingebaut. Anwender müssen dann einen USB-Stick mit sich führen, von dem BitLocker beim Hochfahren des Systems den Startup Key lädt.

Der entscheidende Vorteil von BitLocker ist, dass sich die Wiederherstellungsschlüssel der Benutzer im Active Directory speichern lassen. Sollte ein Anwender den USB-Stick verlieren oder sein Passwort vergessen haben, dann kann der Administrator den Zugriff auf die mit BitLocker verschlüsselten Daten freischalten.

Bei Windows 7 ist es jetzt außerdem möglich, einen Data Recovery Agent (Wiederherstellungsagent) zu bestimmen. Das Verfahren zur Widerherstellung verschlüsselter Daten ist ähnlich wie beim Encrypting File System (EFS). Über einen Generalschlüssel kann ein Administrator alle mit BitLocker codierten Daten im Unternehmen wiederherstellen. Das spart Speicherplatz im Active Directory und vereinfacht die Entschlüsselung der Daten. Allerdings birgt diese Methode auch das Risiko, dass der Generalschlüssel in die falschen Hände geraten kann.

Ein weiterer Vorteil von BitLocker ist, dass es sich zentral über Gruppenrichtlinien konfigurieren lässt. Unter Windows 7 kann der Systemverwalter verbindliche Richtlinien für die Festplattenschlüsselung und den Datenzugriff vorgeben. So kann er jetzt die Passwortkomplexität festzulegen oder das Speichern auf Festplatten verbieten, wenn sie nicht mit BitLocker verschlüsselt wurden. Neu ist auch die Unterstützung von Smartcards für die Authentifizierung.

Stärken und Schwächen von Windows 7 BitLocker

Plus

Einfachere nachträgliche Verschlüsselung des Systemlaufwerks

Generalschlüssel für den Wiederherstellungsagenten

Zentrale Konfiguration über Gruppenrichtlinien

Minus

Nur für die Ultimate- und Enterprise-Version verfügbar

Umständliche Handhabung auf Computern ohne TPM

Verschwendung von 200 MByte Speicherplatz auf PCs, die BitLocker nicht nutzen