Grundlagen
Wie kann man in Windows 10 das bordeigene Verschlüsselungstool BitLocker verwenden, wenn man keinen TPM (Trusted Plattform Modul) Chip auf seiner Hardware hat! BitLocker aktivieren in Windows 10 funktioniert auch durch die Konfiguration einer bestimmten Gruppenrichtlinie.
BitLocker ist leider nicht in allen Versionen verfügbar, sondern nur in den Versionen Windows 10 Pro, Education und Enterprise.
Hinweis: In Windows 11 ist BitLocker zur Installation nötig
Wobei die beiden zu letztgenannten Versionen an bestimmte Bedingungen geknüpft sind. Falls man BitLocker nicht verwenden kann, so gibt es allerdings auch hervorragende Alternativen.
Eine hiervon wäre VeraCrypt. Hiermit lässt sich in wenigen Schritten ein Datenträger verschlüsseln.
Für Wechseldatenträger wie Festplatten* oder USB-Sticks gibt es auch noch zusätzlich Bitlocker To Go. Generell kann man mit BitLocker die komplette Systempartition verschlüsseln, sodass beim Hochfahren des PCs erst der Verschlüsselungscode abgefragt werden muss. Die Abfrage des Codes kann auf zwei Arten erfolgen.
- Der PC besitzt einen TPM (Trusted Plattform Modul) Chip: Neuere PCs haben einen TPM Chip 1.2 oder höher. Die Verschlüsselung kann somit auf diesen Chip gespeichert werden. D. h. die Verschlüsselungsinformationen werden auf der Hardware gespeichert.
- Der PC besitzt kein TPM (Trusted Plattform Modul) Chip: Hier können die Informationen auf einen USB-Stick gespeichert werden, oder man kann einen Kennwortschutz einrichten. Diese Variante ist natürlich nicht ganz so sicher.
BitLocker bietet also Schutz, wenn die Festplatte z. B. ausgebaut und in einen anderen Rechner eingebaut wird. Weiterhin bietet diese Methode auch davor Schutz, wenn die Startdateien verändert wurden.
Gruppenrichtlinie konfigurieren
Als Erstes müssen wir die Gruppenrichtlinien mit administrativen Rechten aufrufen. Hierfür dient der Befehl: gpedit.msc. Nun wechseln wir in das folgende Verzeichnis, um die Einstellungen vornehmen zu können.
Computerkonfiguration ->Administrative Vorlagen -> Windows-Komponenten -> Bitlocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke
Jetzt müssen wir die Einstellung: Zusätzliche Authentifizierung beim Start anfordern, konfigurieren. Diese Richtlinie muss aktiviert werden, sodass das Häkchen bei der Option: BitLocker ohne kompatibles TPM zulassen an ist.
Diese Richtlinie ermöglicht es jetzt, dass BitLocker ohne TPM verwendet werden kann.
BitLocker aktivieren Windows 10 für das Systemlaufwerk
Nachdem die Gruppenrichtlinie konfiguriert ist, kann man zum Modul für die Laufwerksverschlüsselung wechseln und diese dann für das Systemlaufwerk konfigurieren.
Das BitLocker Konfigurationsfenster erreicht man über die Systemsteuerung und anschließend BitLocker-Laufwerksverschlüsselung.
Nachdem Klick auf BitLocker aktivieren, hat man jetzt zwei Möglichkeiten, wie die Systemfestplatte entsperrt werden soll.
In unserem Fall wählen wir die Option, dass das Laufwerk durch Eingabe eines Kennworts entsperrt wird. Natürlich sollte man ein gutes, aber auch leicht zu merkendes Passwort verwenden.
Sichere und leicht zu merkende Passwörter erstellen!
Der nächste Schritt ist ein notwendiger. Hier kann man jetzt festlegen, wie der Wiederherstellungsschlüssel gespeichert werden soll. Dies ist eine essenzielle Konfiguration, falls man sein Passwort vergisst, hat man ohne diesen Schlüssel keine Chance mehr auf sein System zuzugreifen. Also ich würde den Schlüssel in eine Datei speichern und ihn anschließend auch ausdrucken.
So, nun hat man es fast geschafft. Jetzt stellt sich noch die Frage, ob man nur den verwendeten Speicherplatz verschlüsseln möchte oder gleich das gesamte Laufwerk und die gesamte Festplatte*.
Die Frage, was man verwenden sollte, würde ich dahin gehend beantworten, ob der PC komplett neu installiert wurde oder bereits seit einiger Zeit verwendet wird.
Im ersten Fall – der PC wurde neu installiert – würde ich nur den verwendeten Speicherplatz verschlüsseln. Im zweiten Fall dann natürlich das gesamte Laufwerk. Dies hat den Hintergedanken, dass dann auch bereits gelöschte Daten verschlüsselt werden.
Vor der eigentlichen Verschlüsselung kann man noch eine Systemprüfung durchführen lassen. Falls der PC nicht in einer Testumgebung wie VMware Workstation betrieben wird, dann würde ich diese auf jeden Fall durchführen lassen.
In der VMware Workstation 12 Pro habe ich die Erfahrung gemacht, dass die Verschlüsselung mit der Systemprüfung nicht funktioniert. Nach einem Neustart des Computers wird man nun nach dem passendem Passwort für das Entschlüsseln der Systempartition gefragt. Erst nach korrekter Eingabe wird das System komplett gestartet.
Fazit
Gerade für mobile Geräte ist diese Verschlüsselungsmethode doch sehr sinnvoll. Da bei einem Diebstahl die Daten trotzdem relativ sicher sind. Sofern man die Möglichkeit hat BitLocker zu verwenden, würde ich das aufgrund der Sicherheit auf jeden Fall konfigurieren. Verwendet Ihr BitLocker oder jeher ein Drittanbieter Tool?
Interessantes
Dieser Artikel beinhaltet Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhält IT-Learner eine kleine Provision. Der Preis ändert sich für euch nicht. Danke für eure Unterstützung! Letzte Aktualisierung am 6.09.2023
Das könnte ich auch interessieren
- So installiert man in Windows 11 BitLocker
- BitLocker verschlüsselte Festplatte in MacOS öffnen
- Den Status von Bitlocker mit der PowerShell abfragen
- So kann man Windows 11 zurücksetzen
- Terminal in Windows – 5 Methoden
Steigere dein Wissen
Kostenlose Befehlsreferenzen und E-Books herunterladen
wie kann ich den Bitlocker unter Windows 10 aktiveren
Hallo,
sofern du ein Version wie Pro oder Enterprise hast, dann kann man Bitlocker in der Systemsteuerung unter: System und Sicherheit -> Bitlocker Laufwerksverschlüsselung aktivieren.
Hallo,
kann ich die Gruppenrichtlinie so konfigurieren (Win10 / Server 2012r2), dass der Bitlocker nur durch Admins aktiviert wird und auch nur von admins wieder deaktiviert werden kann.
Grüße
Sysadmin
Hallo, meinst du jetzt, dass er ein Bitlocker Verschlüsseltes Laufwerk nicht entschlüsseln darf oder dass er z.B. einen USB-Stick mit Bitlocker verschlüsselt. Also sprich ob er einen schon verschlüsselten Datenträger bereitstellen kann oder eben erst einen Datenträger verschlüsseln möchte?
Gruß Markus
Hallo,
ich meine das der User die Laufwerke nicht entschlüsseln darf. Und selber auch nicht Verschlüsseln kann.
Grüße
Kreczmer
Guten Morgen,
also die Systemfestplatte kann standardmäßig nur der Administrator verschlüsseln. Für einzelne Laufwerk bzw. Wechseldatenträger gibt es die folgende Richtlinien: Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Bitlocker-Laufwerksverschlüsselung -> „Verwendung von Bitlocker auf Wechseldatenträger steuern“. Diese Richtlinie auf deaktivert. Wenn jetzt ein Domänenbenutzer eine Laufwerk verschlüsseln möchte erhält er die folgende Meldung: Bitlocker per GPO deaktivieren
Hast du danach gesucht?
zur sicherheit
Hallo Markus,
hast du auch Erfahrung mit Bitlovker Netzwerkentsperrung und deren Zertifikate?
Vielen Dank und guten Rutsch ins 2019 🙂
Hallo Roberto, was meinst du genau mit Bitlocker und Netzwerkentsperrung? Kannst das etwas näher beschreiben! Ein gutes neues Jahr! Gruß Markus
Hallo Markus,
man sollte vielleicht erwähnen, dass sich BitLocker bei SSDs auf die Hardware-Verschlüsselung verlässt, sofern vorhanden. Das stellt je nach Gerät eine Sicherheitslücke dar, weil die entsprechenden Implementierungen in ihrer Qualität sehr variieren.
VG
Danke für den Tipp.
Hallo Markus, vielen Dank für die Antwort.
Ich meine mit Bitlocker und Netzwerkensperrung das der Bitlocker im Unternehmen eingesetzt werden kann. In diesem Fall braucht der Client beim anmelden an der Domäne kein Pin eingeben wie er es machen muss wenn er nicht am Domänennetzwerk angestöpselt ist. Dies läuft über Zertifikate die am NB in einem TPM-Modul gespeichert werden und am Server im WDS. Nur habe ich in diesem Fall ein kleines Problem mit der Entsperrung des Clients wenn er sich am Domänennetztwerk anmelden möchte. Hier kommt immer wieder die Abfrage des Pin’s.
Viele Grüße
Roberto
Hallo, jetzt verstehte ich was du meinst. Ich selber habe das allerdings noch nicht getestet. Aber evtl. könnte dir die folgende Microsoft Seite weiterhelfen.BitLocker: How to enable Network Unlock.
Gruß Markus
Hallo Markus,
danke für die Info. Die Seite kenne ich schon und habe dies auch so umgesetzt, aber wie gesagt bei der Entsperrung hängt es. Kein Problem werde halt weiter forschen wo der „Hund“ begraben ist ;-).
Viele Grüße
Roberto
Ok, wenn ich mal etwas mehr Zeit habe, werde ich mir das etwas näher ansehen. Leider fehlt mir diese aber im Moment. Weiterhin viel Erfolg bei der Suche nach der Lösung. Viele Grüße Markus