UAC, BitLocker, AppLocker

Die Sicherheitsfunktionen von Windows 7 nutzen

BitLocker to Go für portable Speicher

BitLocker to Go ist eine Neuerung in Windows 7, die es Anwendern erlaubt, portable Speichermedien wie etwa USB-Sticks zu verschlüsseln. Über das Kontextmenü im Windows Explorer lässt sich der BitLocker-Assistent starten. Nach der Auswahl eines Passworts oder einer Smartcard muss der Anwender noch den Wiederherstellungsschlüssel auf einem anderen Medium, also zum Beispiel auf der Festplatte, ablegen. Dieser wird benötigt, falls das Passwort oder die Smartcard verloren gehen. Administratoren können alternativ die Speicherung des Wiederherstellungsschlüssels im Active Directory erzwingen. Wie bei der Verschlüsselung von Festplatten kann bei BitLocker to Go ein Wiederherstellungsagent eingerichtet werden.

Im Gegensatz zur Festplattenverschlüsselung benötigen Anwender für BitLocker to Go keine Administrationsrechte. Umso wichtiger ist es, dass die IT-Abteilung auf die die ersten Anwender vorbereitet ist, die ihr Passwort zum Entschlüsseln des Speichermediums vergessen haben. Denn anders als beim Encrypting File System (EFS) handelt es sich nicht um das Kennwort für die Windows-Anmeldung und kann daher nicht einfach zurückgesetzt werden.

Administratoren können die Nutzung von BitLocker to Go über Gruppenrichtlinien auch gänzlich unterbinden. Umgekehrt kann der Systemverwalter das Speichern von Daten auf unverschlüsselten portablen Medien verbieten. Dabei ist Windows 7 in der Lage, zwischen Medien zu unterscheiden, die in der eigenen Windows-Domäne oder in einem fremden Netz verschlüsselt wurden.

Umständlich: Bei älteren Windows-Versionen müssen die Daten vor dem Lesen erst auf die lokale Festplatte kopiert werden.
Umständlich: Bei älteren Windows-Versionen müssen die Daten vor dem Lesen erst auf die lokale Festplatte kopiert werden.

Mit BitLocker to Go verschlüsselte Medien können auch unter Vista und XP gelesen werden. Die älteren Windows-Varianten können darauf allerdings keine Daten schreiben. Zudem ist es nicht möglich, eine Datei direkt vom USB-Stick zu öffnen. Nach Eingabe des Passworts wird der Anwender aufgefordert, die Dateien zu wählen, die er auf die Festplatte kopieren möchte. Diese Prozedur ist nicht nur umständlich, sondern verringert auch die Sicherheit, da die Dateien dann unverschlüsselt auf der Festplatte liegen. Für Anwender, die ihre Daten regelmäßig auch auf Windows-Versionen ohne vollständige BitLocker-Unterstützung nutzen wollen, dürfte BitLocker to Go daher kaum interessant sein. TrueCrypt ist hier komfortabler.

Stärken und Schwächen von Windows 7 BitLocker to Go

Plus

In Windows Explorer integriert

Zentrale Konfiguration über Gruppenrichtlinien

Speicherung von Wiederherstellungsschlüsselinformationen im Active Directory

Minus

Schreibzugriff nur unter Windows 7 Enterprise und Ultimate

Umständliche Handhabung unter Windows Vista und XP

Gesamter USB-Stick muss verschlüsselt werden