Bitlocker: Unterschied zwischen den Versionen

aus WB Wiki; freien Wissensdatenbank rund ums Thema Computer
Wechseln zu: Navigation, Suche
(Die Seite wurde neu angelegt)
 
K
 
(7 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
 
== Vorwort ==
 
== Vorwort ==
  
Mit der Einführung von Windows Vista hat sich Microsoft ein Konzept für mehr Sicherheit auf die Fahne geschrieben.
+
Mit der Einführung von [[Windows]] [[Vista]] hat sich Microsoft ein Konzept für mehr Sicherheit auf die Fahne geschrieben.
Unter Anderem hat man sich Gedanken darüber gemacht, wie man brisante Daten auf mobilen Computern bei Verlust durch Diebstahl,
+
Unter anderem hat man sich Gedanken darüber gemacht, wie man brisante Daten für Dritte unzugänglich machen kann.
oder eigenem Verschulden, vor Dritten unzugänglich machen kann.
+
 
+
'''BitLocker''' ist eine von Microsoft entwickelte Laufwerksverschlüsselung, welche die Datensicherheit erhöhen soll.
+
Dabei wird die komplette Betriebsystempartition verschlüsselt, welche anschließend nur noch mit einem USB-Stick, Speicherkarte
+
oder externer Festplatte entschlüsselt und gestartet werden kann.
+
In Kombination mit dem "TPM-Chip" (Trusted Platform Module), welches in manchen Mainboards und Notebooks verbaut sind,
+
kann außerdem die Integrität des Systems sichergestellt werden.
+
 
+
  
 +
'''BitLocker''' ist eine von [[Microsoft]] entwickelte [[Laufwerksverschlüsselung]], welche die Datensicherheit erhöhen soll.
 +
Dabei wird die komplette Betriebsystempartition verschlüsselt, welche anschließend nur noch mit einem [[USB]]-Stick, Speicherkarte
 +
oder externer [[Festplatte]] entschlüsselt und gestartet werden kann.
 +
In Kombination mit dem "[[TPM]]-Chip" (Trusted Platform Module), welches in manchen [[Mainboard]]s und [[Notebook]]s verbaut sind,
 +
kann außerdem die Integrität des Systems sichergestellt werden.
  
 
== Verschlüsselungsverfahren von BitLocker ==
 
== Verschlüsselungsverfahren von BitLocker ==
  
BitLocker verwendet AES (Advanced Encryption Standard), mit einer Blocklänge von 128bit. Dabei ist die Schlüssellänge variabel. Sie kann 128,192 oder 256 Bit betragen.
+
BitLocker verwendet [[AES]] ([[Advanced Encryption Standard]]), mit einer Blocklänge von 128bit. Dabei ist die Schlüssellänge variabel. Sie kann 128,192 oder 256 Bit betragen.
  
  
 
== Voraussetzung für den Einsatz von BitLocker ==
 
== Voraussetzung für den Einsatz von BitLocker ==
  
'''Aufgrund der Tatsache, dass bis zum heutigen Zeitpunkt beim Großteil der verbauten Hardware kein TPM verwendet wird, beschränkt sich dieser Artikel auf die Verwendung von BitLocker ohne TPM.'''  
+
'''Aufgrund der Tatsache, dass bis zum heutigen Zeitpunkt beim Großteil der verbauten [[Hardware]] kein TPM verwendet wird, beschränkt sich dieser Artikel auf die Verwendung von BitLocker ohne TPM.'''  
  
  
Um eine Installations-Partition mit Vista erfolgreich verschlüsseln zu können, benötigt man zwei NTFS formatierte Partitionen.
+
Um eine Installations-Partition mit Vista erfolgreich verschlüsseln zu können, benötigt man zwei [[NTFS]] formatierte [[Partition]]en.
Die erste Partition muß mindestens 1,5GB groß und als aktiv makiert sein. Auf ihr werden die Startdateien, sowie die WinPE-Umgebung gespeichert.
+
Die erste Partition muß mindestens 1,5GB groß und als aktiv makiert sein. Auf ihr werden die Startdateien, sowie die [[WinPE]]-Umgebung gespeichert.
 
Diese Partition bleibt unverschlüsselt. Die zweite Partition ist für die Vista-Installation vorgesehen und auch die Partition, welche verschlüsselt wird.
 
Diese Partition bleibt unverschlüsselt. Die zweite Partition ist für die Vista-Installation vorgesehen und auch die Partition, welche verschlüsselt wird.
  
Verwendet werden kann ein USB-Stick, eine Speicherkarte oder eine externe USB-Festplatte.
+
Microsoft stellt dazu ein Tool bereit, welches die Festplatte automatisiert vorbereitet, um sicherzustellen, dass BitLocker funktioniert.
 +
Folgende Schritte werden durch das Tool vorgenommen:
  
Des Weiteren muß sichergestellt sein, dass das verwendete Mainboard des PC´s, bzw. Notebook´s, in der Lage ist von einem externen Datenträger, (USB-Stick, Speicherkarte, USB-Festplatte), zu starten.
+
    1. Es wird eine zweite Partition erstellt, wenn diese noch nicht vorhanden ist.
 +
    2. Die Startdateien werden auf die neue Partition verschoben.
 +
    3. Die Partition mit den Startdateien wird anschliessend als aktiv makiert.
  
BitLocker kann nur mit Vista Ultimate, Enterprise, sowie Windows Server 2008 eingesetzt werden.
+
Für das Herunterladen des Tools ist eine Gültigkeitsprüfung erforderlich.
  
 +
[http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=320b9aa9-47e8-44f9-b8d0-4d7d6a75add0 BitLocker Laufwerksvorbereitungstool]
  
Bei der Verwendung von BitLocker werden grundsätzlich 4 verschiedene Verfahren der Schlüsselverwaltung und Authentisierung unterstützt.
 
  
     1. PIN                         -> TPM ist erforderlich
+
Verwendet werden kann ein USB-Stick, eine [[Speicherkarte]] oder eine externe USB-[[Festplatte]].
 +
 
 +
Des Weiteren muß sichergestellt sein, dass das verwendete [[Mainboard]] des [[PC]]´s, bzw. [[Notebook]]´s, in der Lage ist, von einem externen [[Datenträger]] (USB-Stick, Speicherkarte, USB-Festplatte) zu starten.
 +
 
 +
BitLocker kann nur mit Vista Ultimate, Enterprise, sowie [[Windows Server 2008]] eingesetzt werden.
 +
 
 +
 
 +
Bei der Verwendung von BitLocker werden grundsätzlich 4 verschiedene Verfahren der Schlüsselverwaltung und [[Authentisierung]] unterstützt.
 +
 
 +
     1. [[PIN]]                    -> TPM ist erforderlich
 
     2. USB-Schlüssel              -> TPM ist erforderlich
 
     2. USB-Schlüssel              -> TPM ist erforderlich
 
     3. Wiederherstellungskennwort  -> TPM ist nicht erforderlich
 
     3. Wiederherstellungskennwort  -> TPM ist nicht erforderlich
 
     4. Wiederherstellungsschlüssel -> TPM ist nicht erforderlich
 
     4. Wiederherstellungsschlüssel -> TPM ist nicht erforderlich
  
Wie man bei der Aufzählung erkennen kann, ist man beim Einsatz der BitLocker - Verschlüsselung ohne TPM auf die Verfahrensweise von Punkt 3 und 4 beschränkt. Das bedeutet, dass nach dem vollständigen Verschlüsseln der Systempartition, bei dem der Wiederherstellungsschlüssel auf einem USB-Stick gespeichert wird, dieser zum Starten von Vista unbedingt benötigt wird.
+
Wie man bei der Aufzählung erkennen kann, ist man beim Einsatz der BitLocker-Verschlüsselung ohne TPM auf die Verfahrensweise von Punkt 3 und 4 beschränkt. Das bedeutet, dass nach dem vollständigen Verschlüsseln der Systempartition, bei dem der Wiederherstellungsschlüssel auf einem USB-Stick gespeichert wird, dieser zum Starten von Vista unbedingt benötigt wird.
Wenn dieser USB-Stick Schaden nimmt oder verloren geht, ist man nicht mehr in der Lage Vista zu starten. Auch ein Zugriff auf alle Daten, welche auf dieser Partition gespeichert sind, ist nicht mehr möglich.  
+
Wenn dieser USB-Stick Schaden nimmt oder verloren geht, ist man nicht mehr in der Lage, Vista zu starten. Auch ein Zugriff auf alle Daten, welche auf dieser Partition gespeichert sind, ist nicht mehr möglich.  
Von daher ist es ratsam den Wiederherstellungsschlüssel auf mehrere USB-Sticks zu speichern.
+
''Von daher ist es ratsam den Wiederherstellungsschlüssel auf mehrere USB-Sticks zu speichern.
 
+
''
 
+
  
 
== Aktivierung von BitLocker ohne TPM ==
 
== Aktivierung von BitLocker ohne TPM ==
Zeile 51: Zeile 59:
 
Um BitLocker auf Systemen ohne TPM verwenden zu können, muß man diese Funktion in den Gruppenrichtlinien aktivieren.
 
Um BitLocker auf Systemen ohne TPM verwenden zu können, muß man diese Funktion in den Gruppenrichtlinien aktivieren.
  
Dazu klickeb wir auf Start und geben unten bei "Suche starten" den Befehl "'''gpedit.msc'''"ein.
+
Dazu klicken wir auf Start und geben unten bei "Suche starten" den Befehl "'''gpedit.msc'''"ein.
  
 
Nun navigieren wir zu "'''Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerkverschlüsselung'''".
 
Nun navigieren wir zu "'''Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerkverschlüsselung'''".
  
Hier öffnen wir "'''Systemsteuerungssetup: Erweiterte Startoptionen aktivieren'''" in der rechten Fensterhälfte per Doppelklick.
+
Hier öffnen wir "'''Systemsteuerungssetup: Erweiterte Startoptionen aktivieren'''" in der rechten Fensterhälfte per [[Doppelklick]].
  
 
Jetzt wählen wir im oberen Fensterteil "'''aktiviert'''" und setzen darunter das Häkchen in "'''BitLocker ohne kompatibles TPM zulassen'''" - wir schließen alle Fenster mit ok.
 
Jetzt wählen wir im oberen Fensterteil "'''aktiviert'''" und setzen darunter das Häkchen in "'''BitLocker ohne kompatibles TPM zulassen'''" - wir schließen alle Fenster mit ok.
 +
 +
 +
Nun können wir die BitLocker-Laufwerksverschlüsselung unter "'''[[Systemsteuerung]] -> Sicherheit -> BitLocker-Laufwerksverschlüsselung"''' aufrufen.
 +
 +
 +
== Ablauf des Verschlüsselungsvorgangs ==
 +
 +
Die Verschlüsselung verläuft während des Betriebs unsichtbar im Hintergrund. Dabei kann ganz normal weiter gearbeitet werden.
 +
 +
Laut Microsoft wird die Systempartition mit 1 GB/Min verschlüsselt.
 +
 +
Nachdem das Systemlaufwerk komplett verschlüsselt ist, wird nach einem [[Neustart]] des Systems der USB-Stick mit dem darauf befindlichen Wiederherstellungsschlüssel benötigt.

Aktuelle Version vom 3. März 2009, 08:54 Uhr

Vorwort

Mit der Einführung von Windows Vista hat sich Microsoft ein Konzept für mehr Sicherheit auf die Fahne geschrieben. Unter anderem hat man sich Gedanken darüber gemacht, wie man brisante Daten für Dritte unzugänglich machen kann.

BitLocker ist eine von Microsoft entwickelte Laufwerksverschlüsselung, welche die Datensicherheit erhöhen soll. Dabei wird die komplette Betriebsystempartition verschlüsselt, welche anschließend nur noch mit einem USB-Stick, Speicherkarte oder externer Festplatte entschlüsselt und gestartet werden kann. In Kombination mit dem "TPM-Chip" (Trusted Platform Module), welches in manchen Mainboards und Notebooks verbaut sind, kann außerdem die Integrität des Systems sichergestellt werden.

Verschlüsselungsverfahren von BitLocker

BitLocker verwendet AES (Advanced Encryption Standard), mit einer Blocklänge von 128bit. Dabei ist die Schlüssellänge variabel. Sie kann 128,192 oder 256 Bit betragen.


Voraussetzung für den Einsatz von BitLocker

Aufgrund der Tatsache, dass bis zum heutigen Zeitpunkt beim Großteil der verbauten Hardware kein TPM verwendet wird, beschränkt sich dieser Artikel auf die Verwendung von BitLocker ohne TPM.


Um eine Installations-Partition mit Vista erfolgreich verschlüsseln zu können, benötigt man zwei NTFS formatierte Partitionen. Die erste Partition muß mindestens 1,5GB groß und als aktiv makiert sein. Auf ihr werden die Startdateien, sowie die WinPE-Umgebung gespeichert. Diese Partition bleibt unverschlüsselt. Die zweite Partition ist für die Vista-Installation vorgesehen und auch die Partition, welche verschlüsselt wird.

Microsoft stellt dazu ein Tool bereit, welches die Festplatte automatisiert vorbereitet, um sicherzustellen, dass BitLocker funktioniert. Folgende Schritte werden durch das Tool vorgenommen:

   1. Es wird eine zweite Partition erstellt, wenn diese noch nicht vorhanden ist.
   2. Die Startdateien werden auf die neue Partition verschoben.
   3. Die Partition mit den Startdateien wird anschliessend als aktiv makiert.

Für das Herunterladen des Tools ist eine Gültigkeitsprüfung erforderlich.

BitLocker Laufwerksvorbereitungstool


Verwendet werden kann ein USB-Stick, eine Speicherkarte oder eine externe USB-Festplatte.

Des Weiteren muß sichergestellt sein, dass das verwendete Mainboard des PC´s, bzw. Notebook´s, in der Lage ist, von einem externen Datenträger (USB-Stick, Speicherkarte, USB-Festplatte) zu starten.

BitLocker kann nur mit Vista Ultimate, Enterprise, sowie Windows Server 2008 eingesetzt werden.


Bei der Verwendung von BitLocker werden grundsätzlich 4 verschiedene Verfahren der Schlüsselverwaltung und Authentisierung unterstützt.

   1. PIN                     -> TPM ist erforderlich
   2. USB-Schlüssel               -> TPM ist erforderlich
   3. Wiederherstellungskennwort  -> TPM ist nicht erforderlich
   4. Wiederherstellungsschlüssel -> TPM ist nicht erforderlich

Wie man bei der Aufzählung erkennen kann, ist man beim Einsatz der BitLocker-Verschlüsselung ohne TPM auf die Verfahrensweise von Punkt 3 und 4 beschränkt. Das bedeutet, dass nach dem vollständigen Verschlüsseln der Systempartition, bei dem der Wiederherstellungsschlüssel auf einem USB-Stick gespeichert wird, dieser zum Starten von Vista unbedingt benötigt wird. Wenn dieser USB-Stick Schaden nimmt oder verloren geht, ist man nicht mehr in der Lage, Vista zu starten. Auch ein Zugriff auf alle Daten, welche auf dieser Partition gespeichert sind, ist nicht mehr möglich. Von daher ist es ratsam den Wiederherstellungsschlüssel auf mehrere USB-Sticks zu speichern.

Aktivierung von BitLocker ohne TPM

Um BitLocker auf Systemen ohne TPM verwenden zu können, muß man diese Funktion in den Gruppenrichtlinien aktivieren.

Dazu klicken wir auf Start und geben unten bei "Suche starten" den Befehl "gpedit.msc"ein.

Nun navigieren wir zu "Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerkverschlüsselung".

Hier öffnen wir "Systemsteuerungssetup: Erweiterte Startoptionen aktivieren" in der rechten Fensterhälfte per Doppelklick.

Jetzt wählen wir im oberen Fensterteil "aktiviert" und setzen darunter das Häkchen in "BitLocker ohne kompatibles TPM zulassen" - wir schließen alle Fenster mit ok.


Nun können wir die BitLocker-Laufwerksverschlüsselung unter "Systemsteuerung -> Sicherheit -> BitLocker-Laufwerksverschlüsselung" aufrufen.


Ablauf des Verschlüsselungsvorgangs

Die Verschlüsselung verläuft während des Betriebs unsichtbar im Hintergrund. Dabei kann ganz normal weiter gearbeitet werden.

Laut Microsoft wird die Systempartition mit 1 GB/Min verschlüsselt.

Nachdem das Systemlaufwerk komplett verschlüsselt ist, wird nach einem Neustart des Systems der USB-Stick mit dem darauf befindlichen Wiederherstellungsschlüssel benötigt.