So richten Sie BitLocker unter Windows 10 ein
Die BitLocker-Laufwerkverschlüsselung, die allgemein einfach als BitLocker bezeichnet wird, ermöglicht es Windows-Benutzern, Festplatten zu verschlüsseln, um die Datensicherheit zu gewährleisten. BitLocker ist seit vielen Jahren Bestandteil des Windows-Betriebssystems, aber Microsoft hat BitLocker in Windows 10 Version 1511 stark verbessert, indem neue Verschlüsselungsalgorithmen eingeführt wurden und es möglich ist, Gruppenrichtlinieneinstellungen separat für feste Datenlaufwerke, Wechseldatenträger und Betriebssystemlaufwerke zu konfigurieren.
BitLocker kann optional das TPM des Computers verwenden, aber in den meisten Fällen muss das TPM im Voraus vorbereitet werden. Nachdem Sie das TPM auf der Firmware-Ebene aktiviert haben (falls erforderlich), starten Sie den Computer unter Windows und melden Sie sich dann an. Klicken Sie nun mit der rechten Maustaste auf die Windows-Schaltfläche "Start" und wählen den Menü-Eintrag "Eingabeaufforderung (Administrator)" aus. Bestätigen Sie den sich öffnenden Dialog mit "Ja" und geben Sie dann in dem CMD-Fenster den Befehl "control" ein. Dadurch wird die alte Systemsteuerung geöffnet. Geben Sie TPM in das Suchfeld der Systemsteuerung ein. Wenn diese Konsole geöffnet wird, sehen Sie im Abschnitt Status nach, ob das TPM bereits vorbereitet wurde. Falls nicht, dann klicken Sie auf den Link TPM vorbereiten und folgen Sie den Aufforderungen, um das TPM einsatzbereit zu machen. Die Verwendung des TPMs ist optional.
Das Aktivieren der BitLocker-Verschlüsselung für eine Festplatte auf einem Windows 10-Computer ist ein relativ einfacher Vorgang. Um eine Festplatte zu verschlüsseln, klicken Sie mit Windows-Explorer mit der rechten Maustaste auf die zu verschlüsselnde Festplatte, z. B. Windows (C:) und wählen dann die Option "BitLocker aktivieren" aus dem Kontextmenü. Daraufhin öffnet Windows das Dialogfeld BitLocker-Laufwerkverschlüsselung.
Nachdem Sie eine Authentifizierungsmethode gewählt haben werden Sie aufgefordert, Ihren Wiederherstellungsschlüssel zu sichern. Der Wiederherstellungsschlüssel ist ein Mechanismus zur Wiedererlangung des Zugriffs auf das BitLocker-verschlüsselte Laufwerk für den Fall, dass das Kennwort vergessen wird oder die Smartcard verloren geht oder beschädigt wird. Sie können den Wiederherstellungsschlüssel in einer Datei, auf einem USB-Flash-Laufwerk (die Option USB-Flash-Laufwerk wird nicht angezeigt, wenn Sie das Systemlaufwerk verschlüsseln) oder in Ihrem Microsoft-Konto speichern. Sie haben auch die Möglichkeit, den Wiederherstellungsschlüssel auszudrucken. Sie haben mehrere Methoden zum Schutz des Wiederherstellungsschlüssels die Sie verwenden können. Es steht Ihnen frei, weiterhin Wiederherstellungsmethoden auszuwählen, bis Sie auf "Weiter" klicken.
Auf dem nächsten Bildschirm werden Sie aufgefordert, zu wählen, ob Sie den gesamten Datenträger oder nur den bereits belegten Speicherplatz verschlüsseln möchten. Die Verschlüsselung des gesamten Datenträgers neigt dazu, ein langsamer Prozess zu sein, selbst wenn ein Festkörperspeicher verwendet wird. Dennoch empfiehlt Microsoft, die Verschlüsselungsmethode für den gesamten Datenträger zu wählen, wenn der Datenträger bereits Daten enthält. Die Verschlüsselung nur des verbrauchten Speicherplatzes ist tendenziell ein schnellerer Prozess, aber Microsoft empfiehlt die Wahl dieser Option nur, wenn Sie einen brandneuen Datenträger verschlüsseln.
Wenn Sie Windows 10 Version 1511 oder höher verwenden, gelangen Sie durch Klicken auf "Weiter" zu einem Bildschirm, in dem Sie gefragt werden, ob Sie einen neuen Verschlüsselungsmodus namens XTS-AES verwenden möchten. Sie sollten diesen neuen Verschlüsselungsmodus wählen, wenn es sich bei dem zu verschlüsselnden Datenträger um einen internen Datenträger des PCs handelt oder wenn es sich um einen Wechseldatenträger handelt, der nur auf Rechnern mit neueren Windows-Versionen verwendet wird. Andernfalls ist es am besten, den Kompatibilitätsmodus zu verwenden.
Klicken Sie auf "Weiter", und Windows fragt Sie, ob Sie bereit sind, das Laufwerk zu verschlüsseln. Klicken Sie auf die Schaltfläche "Verschlüsselung starten", um den Verschlüsselungsvorgang zu beginnen. Wenn der Prozess abgeschlossen ist, sehen Sie eine Meldung die anzeigt, dass das Laufwerk verschlüsselt wurde.
BitLocker-Wiederherstellungsmodus
Es gibt eine beliebige Anzahl von Umständen, die dazu führen können, dass ein Benutzer von einem mit BitLocker verschlüsselten Laufwerk ausgesperrt wird. Einige dieser Auslöser können einfache Dinge sein, wie das Vergessen der PIN oder der PIN wurde oft falsch eingegeben. Es kann aber auch Änderungen an den Platform Configuration Registers (PCRs) der Auslöser sein.
Die PCRs weisen den CPU-Chip der Maschine an, die Integrität des Systems während des Boot-Prozesses zu überprüfen, um sicherzustellen, dass das System nicht manipuliert wurde. Wenn diese Integritätsprüfungen erfolgreich sind, gibt der TPM-Chip die BitLocker-Schlüssel frei und das System bootet normal. Das Problem dabei ist, dass Low-Level-Aktionen, wie z. B. die Wahl, von einer anderen Festplatte zu booten, dazu führen können, dass das System glaubt, dass eine Manipulation stattgefunden hat, und das System sich weigert, die BitLocker-Schlüssel freizugeben.
Da es so viele Auslöser für die Sperrung gibt, die dazu führen können, dass ein System in den BitLocker-Wiederherstellungsmodus wechselt, ist es für Organisationen wichtig, über eine Lösung zur Wiederherstellung von Verschlüsselungsschlüsseln zu verfügen, mit der Benutzer ihre Geräte entsperren können, ohne sich an den Helpdesk wenden zu müssen. Angesichts der hochsensiblen Natur von BitLocker-Schlüsseln ist es entscheidend, dass eine solche Lösung einen Multi-Faktor-Authentifizierungsmechanismus enthält, der vom Benutzer mehr abverlangt, als nur die Beantwortung einer Frage. Auf Frage und Antworten basierende Authentifizierungssysteme lassen sich leicht täuschen und können für die Organisation zu einem Schwachpunkt werden.
