Bitlocker

aus WB Wiki; freien Wissensdatenbank rund ums Thema Computer
Wechseln zu: Navigation, Suche

Vorwort

Mit der Einführung von Windows Vista hat sich Microsoft ein Konzept für mehr Sicherheit auf die Fahne geschrieben. Unter anderem hat man sich Gedanken darüber gemacht, wie man brisante Daten für Dritte unzugänglich machen kann.

BitLocker ist eine von Microsoft entwickelte Laufwerksverschlüsselung, welche die Datensicherheit erhöhen soll. Dabei wird die komplette Betriebsystempartition verschlüsselt, welche anschließend nur noch mit einem USB-Stick, Speicherkarte oder externer Festplatte entschlüsselt und gestartet werden kann. In Kombination mit dem "TPM-Chip" (Trusted Platform Module), welches in manchen Mainboards und Notebooks verbaut sind, kann außerdem die Integrität des Systems sichergestellt werden.

Verschlüsselungsverfahren von BitLocker

BitLocker verwendet AES (Advanced Encryption Standard), mit einer Blocklänge von 128bit. Dabei ist die Schlüssellänge variabel. Sie kann 128,192 oder 256 Bit betragen.


Voraussetzung für den Einsatz von BitLocker

Aufgrund der Tatsache, dass bis zum heutigen Zeitpunkt beim Großteil der verbauten Hardware kein TPM verwendet wird, beschränkt sich dieser Artikel auf die Verwendung von BitLocker ohne TPM.


Um eine Installations-Partition mit Vista erfolgreich verschlüsseln zu können, benötigt man zwei NTFS formatierte Partitionen. Die erste Partition muß mindestens 1,5GB groß und als aktiv makiert sein. Auf ihr werden die Startdateien, sowie die WinPE-Umgebung gespeichert. Diese Partition bleibt unverschlüsselt. Die zweite Partition ist für die Vista-Installation vorgesehen und auch die Partition, welche verschlüsselt wird.

Microsoft stellt dazu ein Tool bereit, welches die Festplatte automatisiert vorbereitet, um sicherzustellen, dass BitLocker funktioniert. Folgende Schritte werden durch das Tool vorgenommen: 

   1. Es wird eine zweite Partition erstellt, wenn diese noch nicht vorhanden ist.
   2. Die Startdateien werden auf die neue Partition verschoben.
   3. Die Partition mit den Startdateien wird anschliessend als aktiv makiert.

Für das Herunterladen des Tools ist eine Gültigkeitsprüfung erforderlich.

BitLocker Laufwerksvorbereitungstool


Verwendet werden kann ein USB-Stick, eine Speicherkarte oder eine externe USB-Festplatte.

Des Weiteren muß sichergestellt sein, dass das verwendete Mainboard des PC´s, bzw. Notebook´s, in der Lage ist, von einem externen Datenträger (USB-Stick, Speicherkarte, USB-Festplatte) zu starten.

BitLocker kann nur mit Vista Ultimate, Enterprise, sowie Windows Server 2008 eingesetzt werden.


Bei der Verwendung von BitLocker werden grundsätzlich 4 verschiedene Verfahren der Schlüsselverwaltung und Authentisierung unterstützt. 

   1. PIN                     -> TPM ist erforderlich
   2. USB-Schlüssel               -> TPM ist erforderlich
   3. Wiederherstellungskennwort  -> TPM ist nicht erforderlich
   4. Wiederherstellungsschlüssel -> TPM ist nicht erforderlich

Wie man bei der Aufzählung erkennen kann, ist man beim Einsatz der BitLocker-Verschlüsselung ohne TPM auf die Verfahrensweise von Punkt 3 und 4 beschränkt. Das bedeutet, dass nach dem vollständigen Verschlüsseln der Systempartition, bei dem der Wiederherstellungsschlüssel auf einem USB-Stick gespeichert wird, dieser zum Starten von Vista unbedingt benötigt wird. Wenn dieser USB-Stick Schaden nimmt oder verloren geht, ist man nicht mehr in der Lage, Vista zu starten. Auch ein Zugriff auf alle Daten, welche auf dieser Partition gespeichert sind, ist nicht mehr möglich. Von daher ist es ratsam den Wiederherstellungsschlüssel auf mehrere USB-Sticks zu speichern.

Aktivierung von BitLocker ohne TPM

Um BitLocker auf Systemen ohne TPM verwenden zu können, muß man diese Funktion in den Gruppenrichtlinien aktivieren.

Dazu klicken wir auf Start und geben unten bei "Suche starten" den Befehl "gpedit.msc"ein.

Nun navigieren wir zu "Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerkverschlüsselung".

Hier öffnen wir "Systemsteuerungssetup: Erweiterte Startoptionen aktivieren" in der rechten Fensterhälfte per Doppelklick.

Jetzt wählen wir im oberen Fensterteil "aktiviert" und setzen darunter das Häkchen in "BitLocker ohne kompatibles TPM zulassen" - wir schließen alle Fenster mit ok.


Nun können wir die BitLocker-Laufwerksverschlüsselung unter "Systemsteuerung -> Sicherheit -> BitLocker-Laufwerksverschlüsselung" aufrufen.


Ablauf des Verschlüsselungsvorgangs

Die Verschlüsselung verläuft während des Betriebs unsichtbar im Hintergrund. Dabei kann ganz normal weiter gearbeitet werden.

Laut Microsoft wird die Systempartition mit 1 GB/Min verschlüsselt.

Nachdem das Systemlaufwerk komplett verschlüsselt ist, wird nach einem Neustart des Systems der USB-Stick mit dem darauf befindlichen Wiederherstellungsschlüssel benötigt.

Von „http://wiki.winboard.org/index.php?title=Bitlocker&oldid=16722