BitLocker: Festplatten sicher verschlüsseln
Vistas Laufwerksverschlüsselung richtig einsetzen

BetriebssystemWorkspace

PC Professionell zeigt, wie Notebook-Besitzer und Administratoren die Laufwerksverschlüsselung von Vista Enterprise und Ultimate einsetzen.

Verschlüsselung in Vista

BitLocker: Festplatten sicher verschlüsseln

Notebooks machen mittlerweile den Großteil verkaufter Computer aus – besonders in Firmen. Und gerade dort ist es wichtig, dass sensible Dateien bei Diebstahl oder Verlust des Notebooks nicht in falsche Hände geraten. Hier kommt BitLocker zum Einsatz, das Microsoft kostenlos mitliefert – bei einigen, aber nicht allen Vista-Varianten. Wir zeigen ihnen, wie man es einsetzt.

Haben Sie schon Service Pack 1 für Windows Vista installiert, können Sie mit BitLocker nun endlich alle Partitionen der Festplatte verschlüsseln. Ohne SP1 funktioniert dies nur mit der Partition, auf der Windows installiert ist. In beiden Fällen ist die Vorgehensweise aber gleich: Voraussetzung für den Einsatz von BitLocker sind wenigstens zwei Partitionen, wovon eine mindestens 1,5 GByte groß und als aktiv gekennzeichnet sein muss. Auf dieser werden der Bootmanager von Vista und die Startdateien gespeichert, also jene Dateien, die zuerst gelesen und unter anderem für die Entschlüsslung der Datenträge gebraucht werden. Wichtig: Die Dateien auf dieser Startpartition werden nicht verschlüsselt. Auf der zweiten, größeren Partition wird Vista installiert. Diese und alle weiteren Partitionen können verschlüsselt werden.

Um den Datenträger entsprechend vorzubereiten, nutzen Sie entweder vor der Installation von Vista die Kommandozeile der Installations-DVD oder unter Windows das BitLocker-Laufwerks-Vorbereitungs-Tool, das Sie per Windows-Update erhalten.

Partitionierung vor der Installation von Vista

BitLocker: Festplatten sicher verschlüsseln

Booten Sie den Rechner von der Installations-DVD. Nachdem Sie die Sprache gewählt haben, klicken Sie auf »Computerreparaturoptionen« sowie »Weiter« und starten die Eingabeaufforderung. Dort starten Sie das Partitionierungs-Tool, indem Sie diskpart.exe eingeben. Nun müssen Sie folgende Befehle eingeben:

select disk 0 (wählt die erste Festplatte im System)
clean (löscht die Partitionstabelle)
create partition primary (erstellt eine primäre Partition auf der Festplatte)
assign letter=c (vergibt Laufwerksbuchstabe C:\ für diese Partition)
shrink minimum=1500 (verkleinert die Partition um 1.500 MByte)
create partition primary (erzeugt eine weitere primäre Partition)
active (aktiviert die zweite Partition)
assign letter=s (vergibt Laufwerk S:\ für diese Partition)

Anschließend ist die Festplatte korrekt partitioniert. Mit zweimal exit verlassen Sie die Eingabeaufforderung und setzen nun die Installation wie gewohnt fort. Achten Sie darauf, Windows auf der größeren Partition zu installieren.

Nachträgliche Partitionierung unter Vista

BitLocker: Festplatten sicher verschlüsseln

Haben Sie Vista bereits installiert und die Festplatte noch nicht aufgeteilt, besorgen Sie sich über die Update-Funktion von Windows das Tool »BitLocker Drive Preparation Tool«, das Sie später unter »Alle Programme/Zubehör/Systemprogramme/BitLocker/ BitLocker-Laufwerksvorbereitungstool« im Startmenü finden. Alle oben aufgeführten Befehle führt dieses Programm ohne Ihr Zutun aus. Nach einem Neustart ist das System bereit für BitLocker.

Standardmäßig unterstützt BitLocker nur Computer mit einem Trusted Platform Module (TPM). In diesem Chip auf der Hauptplatine speichert Vista den Schlüssel zum Entsperren der Festplatte. Anwender ohne TPM können stattdessen einen USB-Stick nutzen, der bei jedem Start von Windows eingesteckt werden muss. Öffnen Sie dazu den Gruppenrichtlinien-Objekt-Editor (gpedit.msc) und navigieren Sie zum Ordner »Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschlüsselung«. Unter »Systemsteuerungssetup: Erweiterte Startoptionen aktivieren« erlauben Sie BitLocker auch ohne TPM, die Festplatte zu verschlüsseln, indem Sie die Richtlinie aktivieren und einen Haken vor »BitLocker ohne kompatibles TPM zulassen« setzen. Über die beiden anderen Optionen legen Sie fest, dass zusätzlich zum einem TPM ein Startschlüssel auf USB-Stick oder eine PIN erforderlich ist, um den PC zu starten. Sie sollten diese Zusätzliche Schutzschicht unbedingt nutzen, damit Unbefugte den Rechner nicht starten können. Allerdings heißt es hier »entweder oder« – Startschlüssel und PIN gleichzeitig einzusetzen, ist nicht möglich.

BitLocker einrichten und unternehmenswweit steuern

BitLocker: Festplatten sicher verschlüsseln

Über »Systemsteuerung/Sicherheit/BitLocker-Laufwerkverschlüsselung« verschlüsseln Sie zunächst die Systempartition, indem Sie »BitLocker aktivieren« wählen. Ein Assistent führt Sie Schritt für Schritt durch die Konfiguration, in deren Verlauf Sie – bei Verwendung eines USB-Sticks – den Speicherort des Startschlüssels bestimmen und das Wiederherstellungs- Kennwort speichern oder ausdrucken. Dieses Kennwort benötigen Sie, wenn Sie den USB-Stick verlieren oder das TPM den Startschlüssel nicht freigibt, weil etwa die Hardware- Konfiguration des Rechners geändert wurde. BitLocker fordert Sie in diesem Fall vor dem Start von Windows auf, das Wiederherstellungs- Kennwort einzugeben. Nach einem Neustart, bei dem BitLocker sicherstellt, dass das Wiederherstellungs- Kennwort gelesen werden kann, beginnt die Verschlüsslung der Festplatte. Anschließend können Sie weitere Partitionen auf gleiche Weise verschlüsseln.

Und unternehmensweit? Über den Gruppenrichtlinien- Objekt- Editor konfigurieren Administratoren die Laufwerks- Verschlüsselung für das gesamte Firmennetz einheitlich. Der Knoten »Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschlüsselung« bietet dazu sieben Richtlinien.

So bestimmen Sie etwa über »BitLocker-Sicherung in Active Directory-Domänendienst aktivieren«, dass das Wiederherstellungskennwort im Active Directory gespeichert wird. So sind alle Infos zentral gespeichert, um im Notfall – falls der Benutzer das Kennwort verlegt hat – die Festplatte wieder zu entschlüsseln. Admins brauchen dazu die Datei BitLockerTPMSchemaExtension.ldf. Eine Anleitung zum Thema finden Sie ebenfalls bei Microsoft.

Aktivieren Sie die Richtlinie »Verschlüsselungsmethode konfigurieren«, bestimmen Sie, mit welchem Algorithmus eine Partition verschlüsselt wird. Standard ist »AES 128 Bit mit Diffuser«, was in der Regel als sicher gilt. Für besonders vorsichtige Naturen bietet BitLocker noch eine 256-Bit-Verschlüsselung.

Mit der Richtlinie »System- Steuerungs- Setup: Wiederherstellungs- Optionen konfigurieren« legen Sie fest, ob das Wiederherstellungs- Kennwort manuell eingetippt werden muss oder als 256 Bit langer Schlüssel auf einem USB-Stick gespeichert wird. Wählen Sie die erste Option, können Sie das Kennwort ausdrucken oder als Textdatei speichern. Deaktivieren Sie beide Regeln, muss zumindest die Speicherung im Active Directory möglich sein.

TrueCrypt als Alternative

BitLocker: Festplatten sicher verschlüsseln

BitLocker steht nur Benutzern von Vista Ultimate und Enterprise zur Verfügung. Selbst Vista Business-
User müssen auf das nützliche Tool verzichten.

Als Alternative für alle Windows-Versionen ohne integrierte Laufwerks- Verschlüsselung bietet sich seit kurzer Zeit TrueCrypt an.

Mit der aktuellen Version 5 unterstützt das Programm auch die Verschlüsselung von Systempartitionen, so dass Sie zum Booten ein Passwort brauchen. Bisher verschlüsselte TrueCrypt nur Datenpartitionen und Containerdateien. Einen ausführlichen Test des Tools finden Sie in Kürze ebenfalls auf pc-professionell.de. Einziger Nachteil: TrueCrypt lässt sich nicht so ohne weiteres über das Firmennetz mit Hilfe von Gruppen- Richtlinien konfigurieren.