Bitlocker: Unterschied zwischen den Versionen

aus WB Wiki; freien Wissensdatenbank rund ums Thema Computer
Wechseln zu: Navigation, Suche
K
K
 
(3 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 2: Zeile 2:
  
 
Mit der Einführung von [[Windows]] [[Vista]] hat sich Microsoft ein Konzept für mehr Sicherheit auf die Fahne geschrieben.
 
Mit der Einführung von [[Windows]] [[Vista]] hat sich Microsoft ein Konzept für mehr Sicherheit auf die Fahne geschrieben.
Unter nderem hat man sich Gedanken darüber gemacht, wie man brisante Daten auf mobilen [[Computer]]n bei Verlust durch Diebstahl,
+
Unter anderem hat man sich Gedanken darüber gemacht, wie man brisante Daten für Dritte unzugänglich machen kann.
oder eigenem Verschulden, vor Dritten unzugänglich machen kann.
+
  
 
'''BitLocker''' ist eine von [[Microsoft]] entwickelte [[Laufwerksverschlüsselung]], welche die Datensicherheit erhöhen soll.
 
'''BitLocker''' ist eine von [[Microsoft]] entwickelte [[Laufwerksverschlüsselung]], welche die Datensicherheit erhöhen soll.
 
Dabei wird die komplette Betriebsystempartition verschlüsselt, welche anschließend nur noch mit einem [[USB]]-Stick, Speicherkarte
 
Dabei wird die komplette Betriebsystempartition verschlüsselt, welche anschließend nur noch mit einem [[USB]]-Stick, Speicherkarte
 
oder externer [[Festplatte]] entschlüsselt und gestartet werden kann.
 
oder externer [[Festplatte]] entschlüsselt und gestartet werden kann.
In Kombination mit dem "TPM-Chip" (Trusted Platform Module), welches in manchen [[Mainboard]]s und [[Notebook]]s verbaut sind,
+
In Kombination mit dem "[[TPM]]-Chip" (Trusted Platform Module), welches in manchen [[Mainboard]]s und [[Notebook]]s verbaut sind,
kann außerdem die Integrität des Systems sichergestellt werden.  
+
kann außerdem die Integrität des Systems sichergestellt werden.
 
+
  
 
== Verschlüsselungsverfahren von BitLocker ==
 
== Verschlüsselungsverfahren von BitLocker ==
Zeile 25: Zeile 23:
 
Die erste Partition muß mindestens 1,5GB groß und als aktiv makiert sein. Auf ihr werden die Startdateien, sowie die [[WinPE]]-Umgebung gespeichert.
 
Die erste Partition muß mindestens 1,5GB groß und als aktiv makiert sein. Auf ihr werden die Startdateien, sowie die [[WinPE]]-Umgebung gespeichert.
 
Diese Partition bleibt unverschlüsselt. Die zweite Partition ist für die Vista-Installation vorgesehen und auch die Partition, welche verschlüsselt wird.
 
Diese Partition bleibt unverschlüsselt. Die zweite Partition ist für die Vista-Installation vorgesehen und auch die Partition, welche verschlüsselt wird.
 +
 +
Microsoft stellt dazu ein Tool bereit, welches die Festplatte automatisiert vorbereitet, um sicherzustellen, dass BitLocker funktioniert.
 +
Folgende Schritte werden durch das Tool vorgenommen:
 +
 +
    1. Es wird eine zweite Partition erstellt, wenn diese noch nicht vorhanden ist.
 +
    2. Die Startdateien werden auf die neue Partition verschoben.
 +
    3. Die Partition mit den Startdateien wird anschliessend als aktiv makiert.
 +
 +
Für das Herunterladen des Tools ist eine Gültigkeitsprüfung erforderlich.
 +
 +
[http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=320b9aa9-47e8-44f9-b8d0-4d7d6a75add0 BitLocker Laufwerksvorbereitungstool]
 +
  
 
Verwendet werden kann ein USB-Stick, eine [[Speicherkarte]] oder eine externe USB-[[Festplatte]].
 
Verwendet werden kann ein USB-Stick, eine [[Speicherkarte]] oder eine externe USB-[[Festplatte]].
  
Des Weiteren muß sichergestellt sein, dass das verwendete [[Mainboard]] des [[PC]]´s, bzw. [[Notebook]]´s, in der Lage ist von einem externen [[Datenträger]] (USB-Stick, Speicherkarte, USB-Festplatte) zu starten.
+
Des Weiteren muß sichergestellt sein, dass das verwendete [[Mainboard]] des [[PC]]´s, bzw. [[Notebook]]´s, in der Lage ist, von einem externen [[Datenträger]] (USB-Stick, Speicherkarte, USB-Festplatte) zu starten.
  
 
BitLocker kann nur mit Vista Ultimate, Enterprise, sowie [[Windows Server 2008]] eingesetzt werden.
 
BitLocker kann nur mit Vista Ultimate, Enterprise, sowie [[Windows Server 2008]] eingesetzt werden.
Zeile 35: Zeile 45:
 
Bei der Verwendung von BitLocker werden grundsätzlich 4 verschiedene Verfahren der Schlüsselverwaltung und [[Authentisierung]] unterstützt.
 
Bei der Verwendung von BitLocker werden grundsätzlich 4 verschiedene Verfahren der Schlüsselverwaltung und [[Authentisierung]] unterstützt.
  
     1. [[PIN]]                         -> TPM ist erforderlich
+
     1. [[PIN]]                     -> TPM ist erforderlich
 
     2. USB-Schlüssel              -> TPM ist erforderlich
 
     2. USB-Schlüssel              -> TPM ist erforderlich
 
     3. Wiederherstellungskennwort  -> TPM ist nicht erforderlich
 
     3. Wiederherstellungskennwort  -> TPM ist nicht erforderlich
Zeile 41: Zeile 51:
  
 
Wie man bei der Aufzählung erkennen kann, ist man beim Einsatz der BitLocker-Verschlüsselung ohne TPM auf die Verfahrensweise von Punkt 3 und 4 beschränkt. Das bedeutet, dass nach dem vollständigen Verschlüsseln der Systempartition, bei dem der Wiederherstellungsschlüssel auf einem USB-Stick gespeichert wird, dieser zum Starten von Vista unbedingt benötigt wird.
 
Wie man bei der Aufzählung erkennen kann, ist man beim Einsatz der BitLocker-Verschlüsselung ohne TPM auf die Verfahrensweise von Punkt 3 und 4 beschränkt. Das bedeutet, dass nach dem vollständigen Verschlüsseln der Systempartition, bei dem der Wiederherstellungsschlüssel auf einem USB-Stick gespeichert wird, dieser zum Starten von Vista unbedingt benötigt wird.
Wenn dieser USB-Stick Schaden nimmt oder verloren geht, ist man nicht mehr in der Lage Vista zu starten. Auch ein Zugriff auf alle Daten, welche auf dieser Partition gespeichert sind, ist nicht mehr möglich.  
+
Wenn dieser USB-Stick Schaden nimmt oder verloren geht, ist man nicht mehr in der Lage, Vista zu starten. Auch ein Zugriff auf alle Daten, welche auf dieser Partition gespeichert sind, ist nicht mehr möglich.  
 
''Von daher ist es ratsam den Wiederherstellungsschlüssel auf mehrere USB-Sticks zu speichern.
 
''Von daher ist es ratsam den Wiederherstellungsschlüssel auf mehrere USB-Sticks zu speichern.
 
''
 
''
Zeile 67: Zeile 77:
 
Laut Microsoft wird die Systempartition mit 1 GB/Min verschlüsselt.
 
Laut Microsoft wird die Systempartition mit 1 GB/Min verschlüsselt.
  
Nachdem das Systemlaufwerk komplett verschlüsselt ist, wird nach einem [[Neustart]] des Systems der USB-Stick mit deM darauf befindlichen Wiederherstellungsschlüssel benötigt.
+
Nachdem das Systemlaufwerk komplett verschlüsselt ist, wird nach einem [[Neustart]] des Systems der USB-Stick mit dem darauf befindlichen Wiederherstellungsschlüssel benötigt.

Aktuelle Version vom 3. März 2009, 08:54 Uhr

Vorwort

Mit der Einführung von Windows Vista hat sich Microsoft ein Konzept für mehr Sicherheit auf die Fahne geschrieben. Unter anderem hat man sich Gedanken darüber gemacht, wie man brisante Daten für Dritte unzugänglich machen kann.

BitLocker ist eine von Microsoft entwickelte Laufwerksverschlüsselung, welche die Datensicherheit erhöhen soll. Dabei wird die komplette Betriebsystempartition verschlüsselt, welche anschließend nur noch mit einem USB-Stick, Speicherkarte oder externer Festplatte entschlüsselt und gestartet werden kann. In Kombination mit dem "TPM-Chip" (Trusted Platform Module), welches in manchen Mainboards und Notebooks verbaut sind, kann außerdem die Integrität des Systems sichergestellt werden.

Verschlüsselungsverfahren von BitLocker

BitLocker verwendet AES (Advanced Encryption Standard), mit einer Blocklänge von 128bit. Dabei ist die Schlüssellänge variabel. Sie kann 128,192 oder 256 Bit betragen.


Voraussetzung für den Einsatz von BitLocker

Aufgrund der Tatsache, dass bis zum heutigen Zeitpunkt beim Großteil der verbauten Hardware kein TPM verwendet wird, beschränkt sich dieser Artikel auf die Verwendung von BitLocker ohne TPM.


Um eine Installations-Partition mit Vista erfolgreich verschlüsseln zu können, benötigt man zwei NTFS formatierte Partitionen. Die erste Partition muß mindestens 1,5GB groß und als aktiv makiert sein. Auf ihr werden die Startdateien, sowie die WinPE-Umgebung gespeichert. Diese Partition bleibt unverschlüsselt. Die zweite Partition ist für die Vista-Installation vorgesehen und auch die Partition, welche verschlüsselt wird.

Microsoft stellt dazu ein Tool bereit, welches die Festplatte automatisiert vorbereitet, um sicherzustellen, dass BitLocker funktioniert. Folgende Schritte werden durch das Tool vorgenommen:

   1. Es wird eine zweite Partition erstellt, wenn diese noch nicht vorhanden ist.
   2. Die Startdateien werden auf die neue Partition verschoben.
   3. Die Partition mit den Startdateien wird anschliessend als aktiv makiert.

Für das Herunterladen des Tools ist eine Gültigkeitsprüfung erforderlich.

BitLocker Laufwerksvorbereitungstool


Verwendet werden kann ein USB-Stick, eine Speicherkarte oder eine externe USB-Festplatte.

Des Weiteren muß sichergestellt sein, dass das verwendete Mainboard des PC´s, bzw. Notebook´s, in der Lage ist, von einem externen Datenträger (USB-Stick, Speicherkarte, USB-Festplatte) zu starten.

BitLocker kann nur mit Vista Ultimate, Enterprise, sowie Windows Server 2008 eingesetzt werden.


Bei der Verwendung von BitLocker werden grundsätzlich 4 verschiedene Verfahren der Schlüsselverwaltung und Authentisierung unterstützt.

   1. PIN                     -> TPM ist erforderlich
   2. USB-Schlüssel               -> TPM ist erforderlich
   3. Wiederherstellungskennwort  -> TPM ist nicht erforderlich
   4. Wiederherstellungsschlüssel -> TPM ist nicht erforderlich

Wie man bei der Aufzählung erkennen kann, ist man beim Einsatz der BitLocker-Verschlüsselung ohne TPM auf die Verfahrensweise von Punkt 3 und 4 beschränkt. Das bedeutet, dass nach dem vollständigen Verschlüsseln der Systempartition, bei dem der Wiederherstellungsschlüssel auf einem USB-Stick gespeichert wird, dieser zum Starten von Vista unbedingt benötigt wird. Wenn dieser USB-Stick Schaden nimmt oder verloren geht, ist man nicht mehr in der Lage, Vista zu starten. Auch ein Zugriff auf alle Daten, welche auf dieser Partition gespeichert sind, ist nicht mehr möglich. Von daher ist es ratsam den Wiederherstellungsschlüssel auf mehrere USB-Sticks zu speichern.

Aktivierung von BitLocker ohne TPM

Um BitLocker auf Systemen ohne TPM verwenden zu können, muß man diese Funktion in den Gruppenrichtlinien aktivieren.

Dazu klicken wir auf Start und geben unten bei "Suche starten" den Befehl "gpedit.msc"ein.

Nun navigieren wir zu "Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerkverschlüsselung".

Hier öffnen wir "Systemsteuerungssetup: Erweiterte Startoptionen aktivieren" in der rechten Fensterhälfte per Doppelklick.

Jetzt wählen wir im oberen Fensterteil "aktiviert" und setzen darunter das Häkchen in "BitLocker ohne kompatibles TPM zulassen" - wir schließen alle Fenster mit ok.


Nun können wir die BitLocker-Laufwerksverschlüsselung unter "Systemsteuerung -> Sicherheit -> BitLocker-Laufwerksverschlüsselung" aufrufen.


Ablauf des Verschlüsselungsvorgangs

Die Verschlüsselung verläuft während des Betriebs unsichtbar im Hintergrund. Dabei kann ganz normal weiter gearbeitet werden.

Laut Microsoft wird die Systempartition mit 1 GB/Min verschlüsselt.

Nachdem das Systemlaufwerk komplett verschlüsselt ist, wird nach einem Neustart des Systems der USB-Stick mit dem darauf befindlichen Wiederherstellungsschlüssel benötigt.