Verschlüsselung mit BitLocker leicht gemacht

Betriebssystemlaufwerksverschlüsselung mit BitLocker

Zu Beginn ein paar grundlegende Informationen

Die Bitlocker-Verschlüsselung ist eine zuverlässige Lösung für die effektive Sicherheit Ihrer Daten. Die Verschlüsselung lässt sich einfach und schnell aktivieren. BitLocker schützt die Daten eines Rechners vor Softwareangriffstools und unautorisierten Zugriffen. Dies ist besonders bei einem Diebstahl oder bei Verlust eines Datenträgers äußerst wichtig. Wenn ein PC außer Betrieb genommen wird oder wiederverwendet werden soll, sorgt die Verschlüsselung mit BitLocker dafür, dass die Daten unzugänglich bleiben. Nur mithilfe des erstellten Schlüssels zur Wiederherstellung kann der Rechner gestartet oder aus dem Ruhezustand befördert werden. Das System wird vor dem Start einer Systemintegritätsprüfung unterzogen. Durch das kryptographische Verschlüsselungsverfahren (256-Bit Schlüssellänge) lässt BitLocker den Zugriff auf das Laufwerk nur dann zu, wenn sich das verschlüsselte Laufwerk in dem ursprünglichen PC befindet und nicht manipuliert wurde. Dies geschieht mithilfe der Start-Sektoren oder Rootkits (Rootkit = Verbergen von Schadprogrammen wie Malware vor Antiviren-Programmen und des Benutzers durch Tarnung). Grundsätzlich wird bei einer Verschlüsselung mit BitLocker die Kombination aus einem Trusted Platform Module (TPM, ein fest verbauter Chip auf dem Mainboard) und einem USB-Stick empfohlen. BitLocker muss zur Verwendung aktiviert werden.

Hinweis: Bitte beachten Sie, dass die BitLocker-Verschlüsselung ausschließlich mit den Windows 10-Editionen Pro, Enterprise und Education möglich ist. Die Windows 10 Home-Edition unterstützt diese Sicherheitsfunktion nicht.

Beim Betriebssystem Windows 10 wird dabei folgendermaßen vorgegangen:

Bitte den Anhang auf Seite 3 „Für Geräte mit Trusted Platform Module “ beachten.

Durch einen Rechtsklick auf das Laufwerk (mit administrativen Rechten) kann die Festplatten-Verschlüsselung aktiviert werden:

Bitlocker aktivieren
Bitlocker aktivieren

 

Falls das Mainboard des zu verschlüsselnden Rechners kein Trusted Platform Module (TPM) besitzt, wird eine entsprechende Fehlermeldung ausgegeben.

Kein TPM
Kein TPM

 

In diesem Fall muss über die lokale Gruppenrichtlinienverwaltung die Richtlinie „zusätzliche Authentifizierung beim Start anfordern“ aktiviert werden:

  • Öffnen der Gruppenrichtlinien
  • Computerkonfiguration
  • Administrative Vorlagen
  • Windows-Komponenten
  • BitLocker-Laufwerksverschlüsselung
  • Betriebssystemlaufwerke  
  • Option "Zusätzliche Authentifizierung beim Starten anfordern" aktivieren
  • Regel aktivieren
  • Kommentar: Ja
  • Checkbox aktivieren: BitLocker ohne kompatibles TPM zulassen
Group Policy Authentication
Group Policy Authentication

 

Die Regel wird übernommen und im Anschluss folgende Regel definiert:

  • eine Ebene zurück gehen
  • BitLocker-Laufwerkverschlüsselung
  • ab Windows 10 [Version 1511] und höher -> Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen
  • Verschlüsselungsmethode XTS-AES 256-Bit auswählen
Group Policy Bitlocker
Group Policy Bitlocker

Auswahl der Verschlüsselungs-Methode

VORISCHT: VOR dem Neustart des Rechners und der damit verbundenen Aktivierung der BitLocker-Verschlüsselung muss zuerst eine Methode zur Legitimierung ausgewählt werden. Daher muss hier unbedingt darauf geachtet werden, dass direkt nach Aktivierung der beiden Gruppenrichtlinien festgelegt wird, wie das Laufwerk entsperrt werden soll:

Bitlocker Konfigurations-Prüfung
Bitlocker Konfigurations-Prüfung

 

Nach einer kurzen Überprüfung des Betriebssystemlaufwerks folgt eine Aufforderung zur Auswahl des Verschlüsselungs-Verfahrens mit einem USB-Stick oder einem Kennwortschutz:

BitLocker-Verschlüsselungs-Verfahren
BitLocker-Verschlüsselungs-Verfahren

 

Sollte die Aktivierung von BitLocker nicht vor dem Neustart des PCs durchgeführt werden, lässt sich der PC nicht mehr starten.

Kennworteingabe Laufwerks-Verschlüsselung
Kennworteingabe Laufwerks-Verschlüsselung

 

Damit die verschlüsselte Festplatte auch beim Verlust des BitLocker-Kennwortes wieder entschlüsselt werden kann, wird jetzt ein Wiederherstellungsschlüssel erstellt. Es bieten sich verschiedene Möglichkeiten für die Sicherung des Wiederherstellungsschlüssels an. In diesem Beispiel wurde die Verschlüsselung ohne USB-Stick durchgeführt und der Schlüssel für den Fall einer Wiederherstellung in eine PDF-Datei gespeichert und zusätzlich ausgedruckt.

Wiederherstellungsschlüssel drucken
Wiederherstellungsschlüssel drucken

 

Hinweis:

Unter Beachtung des Bundesdatenschutzgesetzes wird ein sicherer Aufbewahrungsort für den Wiederherstellungsschlüssel empfohlen.

Empfohlen wird die gesamte Laufwerkverschlüsselung für höhere Datensicherheit:

Speicherplatz-Auswahl
Speicherplatz-Auswahl

 

Abhängig von der installierten Windows 10 Version die folgende Einstellung auswählen:

Verschlüsselungsmodus XTS-AES
Verschlüsselungsmodus XTS-AES

 

Die BitLocker-Systemüberprüfung wird vor der Verschlüsselung dringend empfohlen!

BitLocker-Systemüberprüfung
BitLocker-Systemüberprüfung

 

Nach der erfolgreichen BitLocker-Systemüberprüfung wird das System neu gestartet.

Neustart vor Kryptografie-Verschlüsselung
Neustart vor Kryptografie-Verschlüsselung

 

Der PC beginnt mit der Verschlüsselung. Dies kann bei großen Datenträgern sehr lange dauern. Daher muss bei hochverfügbaren Systemen darauf geachtet werden, dass die Verschlüsselung nicht bei einem hohen Aufkommen an Datenzugriffen auf das Medium ausgeführt wird. Der PC wird vor der Verschlüsselung neu gestartet. Danach beginnt die Verschlüsselung. Bei einer SSD-Festplatte mit einer Kapazität von 446 GB hat dies etwa 180 Minuten Zeit in Anspruch genommen. Es muss beachtet werden, dass die Auslastung der Festplatte aufgrund des Verschlüsselungs-Vorgangs nahe 100 % liegt.

Ausführung der Verschlüsselung
Ausführung der Verschlüsselung

 

Nach Abschluss der Verschlüsselung erscheint beim nächsten Reboot vor dem P.O.S.T. des PCs (erstes Programm, das nach dem Einschalten eines Rechners gestartet wird) die Oberfläche zur Eingabe des zuvor erstellten BitLocker-Passwortes. Falls dieses Kennwort abhandenkommt, kann es mithilfe des zuvor erstellten Wiederherstellungsschlüssels in Form eines Ausdrucks wiederhergestellt werden. Der Ausdruck des Schlüssels zur Notfall-Wiederherstellung muss sicher aufbewahrt werden. Hierbei müssen die Gesetze der Bundesdatenschutzverordnung befolgt werden. Nachdem die Verschlüsselung abgeschlossen ist, kann die Verschlüsselungsart mit administrativen Rechten über die Kommandozeile mit der Eingabe „manage-bde -status c:“ überprüft werden:

Hinweis: XTS-AES 256-Bit = höhere Sicherheit als XTS-AES 128-Bit

Vollständig verschlüsselt
Vollständig verschlüsselt

 


Für Geräte mit Trusted Platform Module (TPM):

Durch einen TPM-Chip wird ein Computer um wichtige Sicherheitsfunktionen erweitert. Der implementierte Chip des TPM ist dabei an die Hardware des lokalen Rechners gebunden. Einige Hersteller installieren bei neuen Systemen ein TPM mit. Die Version 1.2 bietet hierbei den größtmöglichen Schutz. TPM dient zur Absicherung gegen unbefugten Zugriff bei einem System, welches offline ist. Sollte kein TPM verwendet werden, ist ein USB-Gerät mit einem Systemstartschlüssel erforderlich. Die Option, den BitLocker-Schlüssel auf einem USB-Flashlaufwerk zu speichern ist nur dann verfügbar, wenn die BitLocker-Gruppenrichtlinieneinstellungen vom Systemadministrator so konfiguriert wurden, dass beim Fehlen eines TPM die Verwendung eines Systemstartschlüssels möglich ist. Bei der Verwendung von TPM muss der PC über eine Trusted Computing Group im BIOS verfügen. Das BIOS dient hierbei als Vertrauenskette für den Start des Betriebssystems. Besonders beim Datenschutz und dem Lizenzschutz spielt der Einsatz des TPM eine entscheidende Rolle.

Der Schutz wird gefährdet, wenn USB-Speicher im Rechner verbleiben oder die Kennwörter offen liegen gelassen werden. Besonders geeignet ist die TPM-Methode, wenn PCs unbeaufsichtigt starten müssen oder neu gestartet werden müssen. Bei hochsensiblen Daten eines Unternehmens sollte grundsätzlich eine mehrstufige Authentifizierung verwendet werden, um einen hohen Schutz zu gewährleisten. Mit der BitLocker-Netzwerkentsperrung können IT-Administratoren ein Push-Update ausführen, ohne dass auf einem Computer eine PIN-Eingabe erforderlich ist. Das TPM verfügt über verschiedene Gruppenrichtlinieneinstellungen, die in bestimmten Unternehmensszenarios äußerst nützlich sein können.

Zusatzinfo: Konfiguration der BitLocker-Verschlüsselung

Um eine Verschlüsselung über TPM realisieren zu können, benötigt man einen PC mit einem Trusted Platform Module (TPM). Über die Systemsteuerung kann man per Start-Suchfunktion den Suchbegriff „BitLocker" eingeben und den erscheinenden Menüpunkt "BitLocker verwalten" auswählen.im linken unteren Bereich des Bildschirms wird die TPM-Verwaltung aufgerufen. Dort sieht man auf einen Blick, ob ein TPM kompatibles System vorhanden ist oder nicht. In dem hier gezeigten Beispiel bot der Rechner keine TPM-Unterstützung.

Aktivieren der Netzwerkentsperrung

Bei einer Serverumgebung gibt es die Möglichkeit, die Entsperrung von BitLocker über das Netzwerk zu realisieren. In einer Domain besteht zudem die Möglichkeit, die BitLocker Verschlüsselung über das Netzwerk zu realisieren. Allerdings werden dann für sogenannte „Netzwerkentsperrungsclients“ Betriebssysteme mit UEFI DHCP-Treibern benötigt. Es wird zusätzlich ein Server mit der installierten Rolle „Windows-Bereitstellungsdienste“ (Windows Deployment Services, WDS) benötigt, auf welchem ein beliebiges Serverbetriebssystem ausgeführt werden kann. Dazu kann das optionale Feature „Bitlocker-Netzwerkentsperrung“ installiert werden. Es wird ein vom WDS-Server getrennter DHCP-Server eingesetzt und zusätzlich ein öffentlich-privates Schlüsselpaar benötigt. Es müssen zudem die Netzwerkentsperrungs-Gruppenrichtlinien korrekt konfiguriert werden. Ab Server 2012: Ein Vorteil bei dem Einsatz der Netzwerkentsperrung in Firmennetzwerken besteht darin, dass die Anzahl interner Aufrufe beim Helpdesk aufgrund verlorener PINs abnimmt. Über ein verkabeltes Netzwerk wird das Systemvolume auf den Clients dabei vom Server aus automatisch entsperrt.

Zusatz: BitLocker-Verschlüsselung auf dem Windows Server 2012R2

Für Die BitLocker-Verschlüsselung auf dem Windows Server 2012R2 wird ähnlich verfahren. Dem Server wird vor der Aktivierung der Betriebssystem-Laufwerksverschlüsselung durch BitLocker zuerst eine neue Rolle hinzugefügt:

Erfolgreiche Wiederherstellung

Der Server kann nach diesen Arbeitsausführungen ab jetzt aus der Ferne verwaltet werden. In der Teststellung wurde die Methode zur Speicherung des Wiederherstellungsschlüssels auf einem anderen Laufwerk ausgewählt. Der Schlüssel lässt sich aus Sicherheitsgründen nicht auf dem eigenen zu verschlüsselnden Laufwerk speichern. Beim Aktivieren des BitLockers wurde in der Auswahl zwischen „Nur verwendeten Speicherplatz verschlüsseln“ und der Option „gesamtes Laufwerk verschlüsseln“ keine Möglichkeit zur Auswahl des gewünschten Verschlüsselungs-Algorithmus angezeigt. Daher möchte ich an dieser Stelle noch einmal denn Hinweis darauf geben, dass die Verschlüsselungsart zwingend vor der Aktivierung von BitLocker ausgewählt werden muss. Nach der Aktivierung ist eine Änderung nicht mehr möglich. Die verschlüsselte VHD wurde in der Testumgebung auf einem anderen Rechner eingebunden und ließ sich dort mit dem zuvor erstellten BitLocker-Passwort problemlos wieder entschlüsseln.

 

Benötigen Sie Hilfe bei der Einrichtung?

Jetzt Termin vereinbaren!

Wir haben Ihre Lösung.

 

030 - 707 12 105

 

⇩ Für mehr Informationen scrollen Sie bitte weiter. ⇩

Unternehmen, die bereits von unseren Strategien profitieren konnten:

referenzen it service berlin 

 

Hier finden Sie weitere ausgewählte Referenzen. 

 

ProvenExpert Siegel
Ihre Suche ist jetzt zu Ende - weil wir Ihre Lösungen liefern!
Lehnen Sie sich zurück und schalten Sie Ihr Netzwerk auf Autopilot,
so dass Sie sich auf Ihr Kerngeschäft konzentrieren können!

 

030 - 707 12 105

JETZT anrufen!