Bitlocker: Unterschied zwischen den Versionen
(→Ablauf des Verschlüsselungsvorgangs) |
K |
||
| Zeile 1: | Zeile 1: | ||
== Vorwort == | == Vorwort == | ||
| − | Mit der Einführung von Windows Vista hat sich Microsoft ein Konzept für mehr Sicherheit auf die Fahne geschrieben. | + | Mit der Einführung von [[Windows]] [[Vista]] hat sich Microsoft ein Konzept für mehr Sicherheit auf die Fahne geschrieben. |
| − | Unter Anderem hat man sich Gedanken darüber gemacht, wie man brisante Daten auf mobilen | + | Unter Anderem hat man sich Gedanken darüber gemacht, wie man brisante Daten auf mobilen [[Computer]]n bei Verlust durch Diebstahl, |
oder eigenem Verschulden, vor Dritten unzugänglich machen kann. | oder eigenem Verschulden, vor Dritten unzugänglich machen kann. | ||
| − | '''BitLocker''' ist eine von Microsoft entwickelte Laufwerksverschlüsselung, welche die Datensicherheit erhöhen soll. | + | '''BitLocker''' ist eine von [[Microsoft]] entwickelte [[Laufwerksverschlüsselung]], welche die Datensicherheit erhöhen soll. |
| − | Dabei wird die komplette Betriebsystempartition verschlüsselt, welche anschließend nur noch mit einem USB-Stick, Speicherkarte | + | Dabei wird die komplette Betriebsystempartition verschlüsselt, welche anschließend nur noch mit einem [[USB]]-Stick, Speicherkarte |
| − | oder externer Festplatte entschlüsselt und gestartet werden kann. | + | oder externer [[Festplatte]] entschlüsselt und gestartet werden kann. |
| − | In Kombination mit dem "TPM-Chip" (Trusted Platform Module), welches in manchen | + | In Kombination mit dem "TPM-Chip" (Trusted Platform Module), welches in manchen [[Mainboard]]s und [[Notebook]]s verbaut sind, |
kann außerdem die Integrität des Systems sichergestellt werden. | kann außerdem die Integrität des Systems sichergestellt werden. | ||
| − | |||
== Verschlüsselungsverfahren von BitLocker == | == Verschlüsselungsverfahren von BitLocker == | ||
| − | BitLocker verwendet AES (Advanced Encryption Standard), mit einer Blocklänge von 128bit. Dabei ist die Schlüssellänge variabel. Sie kann 128,192 oder 256 Bit betragen. | + | BitLocker verwendet [[AES]] ([[Advanced Encryption Standard]]), mit einer Blocklänge von 128bit. Dabei ist die Schlüssellänge variabel. Sie kann 128,192 oder 256 Bit betragen. |
== Voraussetzung für den Einsatz von BitLocker == | == Voraussetzung für den Einsatz von BitLocker == | ||
| − | '''Aufgrund der Tatsache, dass bis zum heutigen Zeitpunkt beim Großteil der verbauten Hardware kein TPM verwendet wird, beschränkt sich dieser Artikel auf die Verwendung von BitLocker ohne TPM.''' | + | '''Aufgrund der Tatsache, dass bis zum heutigen Zeitpunkt beim Großteil der verbauten [[Hardware]] kein TPM verwendet wird, beschränkt sich dieser Artikel auf die Verwendung von BitLocker ohne TPM.''' |
| − | Um eine Installations-Partition mit Vista erfolgreich verschlüsseln zu können, benötigt man zwei NTFS formatierte | + | Um eine Installations-Partition mit Vista erfolgreich verschlüsseln zu können, benötigt man zwei [[NTFS]] formatierte [[Partition]]en. |
| − | Die erste Partition muß mindestens 1,5GB groß und als aktiv makiert sein. Auf ihr werden die Startdateien, sowie die WinPE-Umgebung gespeichert. | + | Die erste Partition muß mindestens 1,5GB groß und als aktiv makiert sein. Auf ihr werden die Startdateien, sowie die [[WinPE]]-Umgebung gespeichert. |
Diese Partition bleibt unverschlüsselt. Die zweite Partition ist für die Vista-Installation vorgesehen und auch die Partition, welche verschlüsselt wird. | Diese Partition bleibt unverschlüsselt. Die zweite Partition ist für die Vista-Installation vorgesehen und auch die Partition, welche verschlüsselt wird. | ||
| − | Verwendet werden kann ein USB-Stick, eine Speicherkarte oder eine externe USB-Festplatte. | + | Verwendet werden kann ein USB-Stick, eine [[Speicherkarte]] oder eine externe USB-[[Festplatte]]. |
| − | Des Weiteren muß sichergestellt sein, dass das verwendete Mainboard des | + | Des Weiteren muß sichergestellt sein, dass das verwendete [[Mainboard]] des [[PC]]´s, bzw. [[Notebook]]´s, in der Lage ist von einem externen [[Datenträger]] (USB-Stick, Speicherkarte, USB-Festplatte) zu starten. |
| − | BitLocker kann nur mit Vista Ultimate, Enterprise, sowie Windows Server 2008 eingesetzt werden. | + | BitLocker kann nur mit Vista Ultimate, Enterprise, sowie [[Windows Server 2008]] eingesetzt werden. |
| − | Bei der Verwendung von BitLocker werden grundsätzlich 4 verschiedene Verfahren der Schlüsselverwaltung und Authentisierung unterstützt. | + | Bei der Verwendung von BitLocker werden grundsätzlich 4 verschiedene Verfahren der Schlüsselverwaltung und [[Authentisierung]] unterstützt. |
| − | 1. PIN -> TPM ist erforderlich | + | 1. [[PIN]] -> TPM ist erforderlich |
2. USB-Schlüssel -> TPM ist erforderlich | 2. USB-Schlüssel -> TPM ist erforderlich | ||
3. Wiederherstellungskennwort -> TPM ist nicht erforderlich | 3. Wiederherstellungskennwort -> TPM ist nicht erforderlich | ||
4. Wiederherstellungsschlüssel -> TPM ist nicht erforderlich | 4. Wiederherstellungsschlüssel -> TPM ist nicht erforderlich | ||
| − | Wie man bei der Aufzählung erkennen kann, ist man beim Einsatz der BitLocker - Verschlüsselung ohne TPM auf die Verfahrensweise von Punkt 3 und 4 beschränkt. Das bedeutet, dass nach dem vollständigen Verschlüsseln der Systempartition, bei dem der Wiederherstellungsschlüssel auf einem USB-Stick gespeichert wird, dieser zum Starten von Vista unbedingt benötigt wird. | + | Wie man bei der Aufzählung erkennen kann, ist man beim Einsatz der BitLocker-Verschlüsselung ohne TPM auf die Verfahrensweise von Punkt 3 und 4 beschränkt. Das bedeutet, dass nach dem vollständigen Verschlüsseln der Systempartition, bei dem der Wiederherstellungsschlüssel auf einem USB-Stick gespeichert wird, dieser zum Starten von Vista unbedingt benötigt wird. |
Wenn dieser USB-Stick Schaden nimmt oder verloren geht, ist man nicht mehr in der Lage Vista zu starten. Auch ein Zugriff auf alle Daten, welche auf dieser Partition gespeichert sind, ist nicht mehr möglich. | Wenn dieser USB-Stick Schaden nimmt oder verloren geht, ist man nicht mehr in der Lage Vista zu starten. Auch ein Zugriff auf alle Daten, welche auf dieser Partition gespeichert sind, ist nicht mehr möglich. | ||
| − | Von daher ist es ratsam den Wiederherstellungsschlüssel auf mehrere USB-Sticks zu speichern. | + | ''Von daher ist es ratsam den Wiederherstellungsschlüssel auf mehrere USB-Sticks zu speichern. |
| − | + | '' | |
| − | + | ||
== Aktivierung von BitLocker ohne TPM == | == Aktivierung von BitLocker ohne TPM == | ||
| Zeile 51: | Zeile 49: | ||
Um BitLocker auf Systemen ohne TPM verwenden zu können, muß man diese Funktion in den Gruppenrichtlinien aktivieren. | Um BitLocker auf Systemen ohne TPM verwenden zu können, muß man diese Funktion in den Gruppenrichtlinien aktivieren. | ||
| − | Dazu | + | Dazu klicken wir auf Start und geben unten bei "Suche starten" den Befehl "'''gpedit.msc'''"ein. |
Nun navigieren wir zu "'''Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerkverschlüsselung'''". | Nun navigieren wir zu "'''Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerkverschlüsselung'''". | ||
| − | Hier öffnen wir "'''Systemsteuerungssetup: Erweiterte Startoptionen aktivieren'''" in der rechten Fensterhälfte per Doppelklick. | + | Hier öffnen wir "'''Systemsteuerungssetup: Erweiterte Startoptionen aktivieren'''" in der rechten Fensterhälfte per [[Doppelklick]]. |
Jetzt wählen wir im oberen Fensterteil "'''aktiviert'''" und setzen darunter das Häkchen in "'''BitLocker ohne kompatibles TPM zulassen'''" - wir schließen alle Fenster mit ok. | Jetzt wählen wir im oberen Fensterteil "'''aktiviert'''" und setzen darunter das Häkchen in "'''BitLocker ohne kompatibles TPM zulassen'''" - wir schließen alle Fenster mit ok. | ||
| − | Nun können wir die BitLocker-Laufwerksverschlüsselung unter "'''Systemsteuerung -> Sicherheit -> BitLocker-Laufwerksverschlüsselung"''' aufrufen. | + | Nun können wir die BitLocker-Laufwerksverschlüsselung unter "'''[[Systemsteuerung]] -> Sicherheit -> BitLocker-Laufwerksverschlüsselung"''' aufrufen. |
| − | + | ||
| Zeile 68: | Zeile 65: | ||
Die Verschlüsselung verläuft während des Betriebs unsichtbar im Hintergrund. Dabei kann ganz normal weiter gearbeitet werden. | Die Verschlüsselung verläuft während des Betriebs unsichtbar im Hintergrund. Dabei kann ganz normal weiter gearbeitet werden. | ||
| − | Laut Microsoft wird die Systempartition mit | + | Laut Microsoft wird die Systempartition mit 1 GB/Min verschlüsselt. |
| − | Nachdem das Systemlaufwerk komplett verschlüsselt ist, wird nach einem Neustart des Systems der USB-Stick mit den darauf befindlichen Wiederherstellungsschlüssel benötigt. | + | Nachdem das Systemlaufwerk komplett verschlüsselt ist, wird nach einem [[Neustart]] des Systems der USB-Stick mit den darauf befindlichen Wiederherstellungsschlüssel benötigt. |
Version vom 22. Februar 2009, 16:28 Uhr
Inhaltsverzeichnis
Vorwort
Mit der Einführung von Windows Vista hat sich Microsoft ein Konzept für mehr Sicherheit auf die Fahne geschrieben. Unter Anderem hat man sich Gedanken darüber gemacht, wie man brisante Daten auf mobilen Computern bei Verlust durch Diebstahl, oder eigenem Verschulden, vor Dritten unzugänglich machen kann.
BitLocker ist eine von Microsoft entwickelte Laufwerksverschlüsselung, welche die Datensicherheit erhöhen soll. Dabei wird die komplette Betriebsystempartition verschlüsselt, welche anschließend nur noch mit einem USB-Stick, Speicherkarte oder externer Festplatte entschlüsselt und gestartet werden kann. In Kombination mit dem "TPM-Chip" (Trusted Platform Module), welches in manchen Mainboards und Notebooks verbaut sind, kann außerdem die Integrität des Systems sichergestellt werden.
Verschlüsselungsverfahren von BitLocker
BitLocker verwendet AES (Advanced Encryption Standard), mit einer Blocklänge von 128bit. Dabei ist die Schlüssellänge variabel. Sie kann 128,192 oder 256 Bit betragen.
Voraussetzung für den Einsatz von BitLocker
Aufgrund der Tatsache, dass bis zum heutigen Zeitpunkt beim Großteil der verbauten Hardware kein TPM verwendet wird, beschränkt sich dieser Artikel auf die Verwendung von BitLocker ohne TPM.
Um eine Installations-Partition mit Vista erfolgreich verschlüsseln zu können, benötigt man zwei NTFS formatierte Partitionen.
Die erste Partition muß mindestens 1,5GB groß und als aktiv makiert sein. Auf ihr werden die Startdateien, sowie die WinPE-Umgebung gespeichert.
Diese Partition bleibt unverschlüsselt. Die zweite Partition ist für die Vista-Installation vorgesehen und auch die Partition, welche verschlüsselt wird.
Verwendet werden kann ein USB-Stick, eine Speicherkarte oder eine externe USB-Festplatte.
Des Weiteren muß sichergestellt sein, dass das verwendete Mainboard des PC´s, bzw. Notebook´s, in der Lage ist von einem externen Datenträger (USB-Stick, Speicherkarte, USB-Festplatte) zu starten.
BitLocker kann nur mit Vista Ultimate, Enterprise, sowie Windows Server 2008 eingesetzt werden.
Bei der Verwendung von BitLocker werden grundsätzlich 4 verschiedene Verfahren der Schlüsselverwaltung und Authentisierung unterstützt.
1. PIN -> TPM ist erforderlich 2. USB-Schlüssel -> TPM ist erforderlich 3. Wiederherstellungskennwort -> TPM ist nicht erforderlich 4. Wiederherstellungsschlüssel -> TPM ist nicht erforderlich
Wie man bei der Aufzählung erkennen kann, ist man beim Einsatz der BitLocker-Verschlüsselung ohne TPM auf die Verfahrensweise von Punkt 3 und 4 beschränkt. Das bedeutet, dass nach dem vollständigen Verschlüsseln der Systempartition, bei dem der Wiederherstellungsschlüssel auf einem USB-Stick gespeichert wird, dieser zum Starten von Vista unbedingt benötigt wird. Wenn dieser USB-Stick Schaden nimmt oder verloren geht, ist man nicht mehr in der Lage Vista zu starten. Auch ein Zugriff auf alle Daten, welche auf dieser Partition gespeichert sind, ist nicht mehr möglich. Von daher ist es ratsam den Wiederherstellungsschlüssel auf mehrere USB-Sticks zu speichern.
Aktivierung von BitLocker ohne TPM
Um BitLocker auf Systemen ohne TPM verwenden zu können, muß man diese Funktion in den Gruppenrichtlinien aktivieren.
Dazu klicken wir auf Start und geben unten bei "Suche starten" den Befehl "gpedit.msc"ein.
Nun navigieren wir zu "Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerkverschlüsselung".
Hier öffnen wir "Systemsteuerungssetup: Erweiterte Startoptionen aktivieren" in der rechten Fensterhälfte per Doppelklick.
Jetzt wählen wir im oberen Fensterteil "aktiviert" und setzen darunter das Häkchen in "BitLocker ohne kompatibles TPM zulassen" - wir schließen alle Fenster mit ok.
Nun können wir die BitLocker-Laufwerksverschlüsselung unter "Systemsteuerung -> Sicherheit -> BitLocker-Laufwerksverschlüsselung" aufrufen.
Ablauf des Verschlüsselungsvorgangs
Die Verschlüsselung verläuft während des Betriebs unsichtbar im Hintergrund. Dabei kann ganz normal weiter gearbeitet werden.
Laut Microsoft wird die Systempartition mit 1 GB/Min verschlüsselt.
Nachdem das Systemlaufwerk komplett verschlüsselt ist, wird nach einem Neustart des Systems der USB-Stick mit den darauf befindlichen Wiederherstellungsschlüssel benötigt.
