BitLocker einrichten und unternehmenswweit steuern

BitLocker: Festplatten sicher verschlüsseln

Über »Systemsteuerung/Sicherheit/BitLocker-Laufwerkverschlüsselung« verschlüsseln Sie zunächst die Systempartition, indem Sie »BitLocker aktivieren« wählen. Ein Assistent führt Sie Schritt für Schritt durch die Konfiguration, in deren Verlauf Sie – bei Verwendung eines USB-Sticks – den Speicherort des Startschlüssels bestimmen und das Wiederherstellungs- Kennwort speichern oder ausdrucken. Dieses Kennwort benötigen Sie, wenn Sie den USB-Stick verlieren oder das TPM den Startschlüssel nicht freigibt, weil etwa die Hardware- Konfiguration des Rechners geändert wurde. BitLocker fordert Sie in diesem Fall vor dem Start von Windows auf, das Wiederherstellungs- Kennwort einzugeben. Nach einem Neustart, bei dem BitLocker sicherstellt, dass das Wiederherstellungs- Kennwort gelesen werden kann, beginnt die Verschlüsslung der Festplatte. Anschließend können Sie weitere Partitionen auf gleiche Weise verschlüsseln.

Und unternehmensweit? Über den Gruppenrichtlinien- Objekt- Editor konfigurieren Administratoren die Laufwerks- Verschlüsselung für das gesamte Firmennetz einheitlich. Der Knoten »Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschlüsselung« bietet dazu sieben Richtlinien.

So bestimmen Sie etwa über »BitLocker-Sicherung in Active Directory-Domänendienst aktivieren«, dass das Wiederherstellungskennwort im Active Directory gespeichert wird. So sind alle Infos zentral gespeichert, um im Notfall – falls der Benutzer das Kennwort verlegt hat – die Festplatte wieder zu entschlüsseln. Admins brauchen dazu die Datei BitLockerTPMSchemaExtension.ldf. Eine Anleitung zum Thema finden Sie ebenfalls bei Microsoft.

Aktivieren Sie die Richtlinie »Verschlüsselungsmethode konfigurieren«, bestimmen Sie, mit welchem Algorithmus eine Partition verschlüsselt wird. Standard ist »AES 128 Bit mit Diffuser«, was in der Regel als sicher gilt. Für besonders vorsichtige Naturen bietet BitLocker noch eine 256-Bit-Verschlüsselung.

Mit der Richtlinie »System- Steuerungs- Setup: Wiederherstellungs- Optionen konfigurieren« legen Sie fest, ob das Wiederherstellungs- Kennwort manuell eingetippt werden muss oder als 256 Bit langer Schlüssel auf einem USB-Stick gespeichert wird. Wählen Sie die erste Option, können Sie das Kennwort ausdrucken oder als Textdatei speichern. Deaktivieren Sie beide Regeln, muss zumindest die Speicherung im Active Directory möglich sein.