BitLocker ist die Verschlüsselungsmöglichkeit auf Basis von Windows Betriebssystem einzelne Laufwerke oder das Betriebssystemlaufwerk zu verschlüsseln. Doch oftmals scheitert der erste Verschlüsselungsanlauf daran, daß der vorhandene PC über kein TPM verfügt. Doch es geht auch ohne TPM (Trusted Platform Module).
Für gewöhnlich führt der Weg direkt in die Systemeinstellungen. Dort kann BitLocker für das gewünschte Laufwerk aktiviert werden, sofern der PC über ein TPM Modul verfügt. Andernfalls hagelt es eine Fehlermeldung.
Anpassung via Gruppenrichtlinie
Damit das System nicht ohne Verschlüsselungsschutz bleibt, konfigurieren wir die Authentifizierung via Kennwort. Alternativ könnte auch ein USB Gerät zur Benutzerauthentifizierung bzw. Entschlüsselung benutzt werden. Im weiteren Verlauf wird ein Kennwort verwendet.
Folgende Schritte sind nötig:
Rechtsklick auf Start -> Ausführen
Wir öffnen „gpedit.msc“
Im Editor für lokale Gruppenrichtlinien navigieren wir nach: Computerkonfiguration -> Administrative-Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke
Anschließend ein Doppelklick auf „Zusätzliche Authentifizierung beim Start anfordern“
Wir aktivieren diese Richtlinie und aktivieren „BitLocker ohne kompatibles TPM zulassen“.
Die halbe Miete haben wir damit schon eingefahren.
Festplattenverschlüsselung mit BitLocker
Nun geht es in die Systemeinstellungen -> BitLocker-Laufwerkverschlüsselung
Im Beispiel wird das gesamte interne Betriebssystemlaufwerk verschlüsselt. Prinzipiell könnten auch externe Laufwerke oder eine Kombination aus beiden vollverschlüsselt werden.
Zum Verschlüsseln von Laufwerk C -> BitLocker aktivieren
Kennwort eingeben
Es muß eine Auswahl getroffen werden. Ich habe „Wiederherstellungsschlüssel drucken“ gewählt und diesen als PDF weggesichert.
Das PDF mit dem Wiederherstellungsschlüssel solltet Ihr gut aufheben.
Im weiteren Verlauf habe ich „Neuer Verschlüsselungsmodus“ genutzt um von XTS-AES* zu profitieren.
*Mehr zum Thema: BSI TR-02102-1
Damit alles hinterher auch konsistent bleibt, habe ich die Systemüberprüfung ausführen lassen.
Anschließend erhalten wir die Info, daß die Verschlüsselung nach dem Neustart beginnt. Also sollten wir den Computer einmal durchstarten.
Wir müssen anschließend im Rahmen des Boot-Vorgangs das vorhin festgelegte Kennwort eingeben.
Danach fährt Windows hoch. Ein erneuter Blick in die Systemeinstellungen -> BitLocker zeigt, daß die Platte verschlüsselt ist.
Ab sofort ist die Festplatte verschlüsselt und zum Entschlüsseln ist zwingend das Kennwort oder zur Wiederherstellung der zvuor als PDF weggesicherte Wiederherstellungsschlüssel nötig.
0 Comments