Festplatte mit BitLocker verschlüsseln

Microsoft bietet seit Windows Vista mit BitLocker eine eigene Lösung, um Festplatten zu verschlüsseln. Mit „BitLocker to Go“ ist es auch möglich, USB Sticks zu verschlüsseln. Dies funktioniert natürlich nur in einem entsprechenden Windows Umfeld. Wer eine plattformunabhängige Lösung zum Verschlüsseln von Datenträgern sucht, könnte bei VeraCrypt fündig werden. Zu VeraCrypt habe ich bereits einige Beiträge geschrieben: Klick
Damit BitLocker sauber funktioniert, ist einiges zu beachten. Um eine ordentliche Verschlüsselung zu erreichen, müssen erstmal einige Gruppenrichtlinien bearbeitet werden. Dies geschieht über das MMC Snap-in „Gruppenrichtlinienobjekt-Editor“.


Gestartet wird das Snap-in über „Win + R“. Im „Ausführen“ Fenster wird „gpedit.msc“ eingegeben. In einer Active Directory Domäne sollten die Gruppenrichtlinien natürlich global gesetzt werden. Die allgemeinen BitLocker Gruppenrichtlinien finden sich unter „Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung“.

BitLocker Laufwerk verschlüsseln

Um den Verschlüsselungsschutz zu erhöhen, wird der zu verwendende Algorithmus von „AES-128 Bit“ auf „AES-256 Bit“ geändert.

BitLocker Laufwerk verschlüsseln

Als weitere Sicherheitsoption wird das Überschreiben des Arbeitsspeichers aktiviert, damit die Schlüssel nicht nachträglich ausgelesen werden können.

BitLocker Laufwerk verschlüsseln

Alle weiteren relevanten Gruppenrichtlinien für Systemlaufwerke kommen unter „Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke“. Da ein Windows Kennwort ohne Domänenmitgliedschaft recht schnell gehackt ist, sollte auf jeden Fall eine „Pre-Boot Authentifizierung“ aktiviert werden. Dadurch wird bevor das Betriebssystem gestartet wird ein PIN oder Passwort verlangt. Ohne diese Startup PIN ist ein Start des Betriebssystems nicht möglich.

BitLocker Laufwerk verschlüsseln

Damit für die Startup PIN auch alphanumerische Zeichen möglich sind, muss diese Option noch aktiviert werden.

BitLocker Laufwerk verschlüsseln

Bei Bedarf lässt sich optional noch eine Mindestlänge an zu verwendenden Zeichen festlegen.

BitLocker Laufwerk verschlüsseln

Die Grundeinstellungen sind hiermit abgeschlossen. Jetzt kann das Laufwerk über die Systemsteuerung verschlüsselt werden.

BitLocker Laufwerk verschlüsseln

Zum Entschlüsseln empfiehlt sich wie erwähnt, eine PIN bzw. Passphrase einzugeben. Das Passwort sollte natürlich möglichst stark sein.

BitLocker Laufwerk verschlüsseln

Der Wiederherstellungsschlüssel kann temporär in einer Datei auf einem USB Stick abgespeichert werden. Es empfiehlt sich, den Schlüssel in einem Passwortsafe einzutragen.

BitLocker Laufwerk verschlüsseln

Damit auch bereits vorhandene Daten berücksichtigt werden, muss der komplette Datenträger verschlüsselt werden.

BitLocker Laufwerk verschlüsseln

Bevor die tatsächliche Verschlüsselung startet, ist es ratsam, den Systemtest durchführen zu lassen.

BitLocker Laufwerk verschlüsseln

Beim darauffolgenden Neustart wird auch schon die Startup PIN abgefragt. Wenn das Laufwerk erfolgreich startet, beginnt auch automatisch der Verschlüsselungsvorgang.

BitLocker Laufwerk verschlüsseln

Über eine Kommandozeile kann der Vorgang auch überwacht werden. Zusätzlich werden hier weitere Informationen über die Verschlüsselung angezeigt.

manage-bde.exe -status

BitLocker Laufwerk verschlüsseln

Während des Vorgangs kann das Gerät problemlos neu gestartet werden. Je nach Größe des Datenträgers kann die Verschlüsselung einige Zeit dauern. Das verschlüsselte Laufwerk wird jetzt auch im Explorer anders dargestellt.

BitLocker Laufwerk verschlüsseln

Wie man sieht, ist doch ein wenig Handarbeit möglich, um das Laufwerk komplett zu verschlüsseln. Gerade die Konfiguration des stärkeren Algorithmus sowie die Startup Pin sind wichtige Punkte.
Bei Fragen oder Anregungen kann gerne das Kontaktformular genutzt werden.

Ähnliche Beiträge:

Kommentare sind geschlossen.