Bitlocker in Windows 10 aktivieren – Mehr Sicherheit durch das Verschlüsseln des Systems oder einzelner Festplatten

In wenigen Schritten zum verschlüsseltem Windows System

Grundlagen

Wie kann man in Windows 10 das bordeigene Verschlüsselungstool Bitlocker verwenden, wenn man keinen TPM (Trusted Plattform Modul) Chip auf seiner Hardware hat! Dies funktioniert durch die Konfiguration einer bestimmten Gruppenrichtlinie. Bitlocker ist leider nicht in allen Versionen verfügbar, sondern nur in den Versionen Windows 10 ProEducation und Enterprise. Wobei die beiden zu letzt genannten Versionen an bestimmte Bedingungen geknüpft sind. Falls man Bitlocker nicht verwenden kann, so gibt es allerdings auch ganz gute Alternativen. Eine hiervon wäre VeraCrypt. Hiermit lässt sich in wenigen Schritten ein Datenträger verschlüsseln.  Für Wechseldatenträger wie Festplatten* oder USB-Sticks gibt es auch noch zusätzlich Bitlocker To Go. Generell kann man mit Bitlocker die komplette Systempartition verschlüsseln, so dass beim Hochfahren des PCs erst der Verschlüsselungscode abgefragt werden muss. Die Abfrage des Codes kann auf zwei Arten erfolgen.

  1. Der PC besitzt einen TPM (Trusted Plattform Modul) Chip: Neuere PCs haben einen TPM Chip 1.2 oder höher. Die Verschlüsselung kann somit auf diesen Chip gespeichert werden. D.h. die Verschlüsselungsinformationen werden auf der Hardware gespeichert.
  1. Der PC besitzt kein TPM (Trusted Plattform Modul) Chip: Hier können die Informationen auf einen USB-Stick gespeichert werden, oder man kann einen Kennwortschutz einrichten. Diese Variante ist natürlich nicht ganz so sicher.

Bitlocker bietet also Schutz, wenn die Festplatte z.B. ausgebaut wird und in einen anderen Rechner eingebaut wird. Weiterhin bietet diese Methode auch davor Schutz, wenn die Startdateien verändert wurden.

Windows mit Bitlocker verschlüsseln

Gruppenrichtlinie konfigurieren

Als erstes müssen wir die Gruppenrichtlinien mit administrativen Rechten aufrufen. Hierfür dient der Befehl: gpedit.msc. Nun wechseln wir in das folgende Verzeichnis um die Einstellungen vornehmen zu können.

Computerkonfiguration ->Administrative Vorlagen -> Windows-Komponenten -> Bitlocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke

Bitlocker ohne TPM in Windows 10 aktivieren - Gruppenrichtlinie ändern
Bitlocker ohne TPM in Windows 10 aktivieren – Gruppenrichtlinie ändern

Jetzt müssen wir die Einstellung: Zusätzliche Authentifizierung beim Start anfordern konfigurieren. Diese Richtlinie muss aktiviert werden, so dass das Häkchen bei der Option: Bitlocker ohne kompatibles TPM zulassen an ist.  Diese Richtlinie ermöglicht es nun, dass Bitlocker ohne TPM verwendet werden kann.

Bitlocker ohne TPM in Windows 10 aktivieren - Gruppenrichtlinie ändern
Bitlocker ohne TPM in Windows 10 aktivieren – Gruppenrichtlinie ändern

Bitlocker für das Systemlaufwerk konfigurieren

Nachdem die Gruppenrichtlinie konfiguriert ist, kann man zum Modul für die Laufwerksverschlüsselung wechseln und diese dann für das Systemlaufwerk konfigurieren. Das Bitlocker Konfigurationsfenster erreicht man über die Systemsteuerung und anschließend Bitlocker-Laufwerksverschlüsselung.

Nachdem Klick auf Bitlocker aktivieren, hat man nun zwei Möglichkeiten, wie die Systemfestplatte entsperrt werden soll.

Bitlocker ohne TPM in Windows 10 aktivieren
Bitlocker ohne TPM in Windows 10 aktivieren
Bitlocker ohne TPM in Windows 10 aktivieren - Zwei Möglichkeiten für das Entsperren
Bitlocker ohne TPM in Windows 10 aktivieren – Zwei Möglichkeiten für das Entsperren
Bitlocker ohne TPM in Windows 10 aktivieren - Speicherung des Wiederherstellungsschlüssels
Bitlocker ohne TPM in Windows 10 aktivieren – Speicherung des Wiederherstellungsschlüssels
Bitlocker ohne TPM in Windows 10 aktivieren
Bitlocker ohne TPM in Windows 10 aktivieren
Bitlocker ohne TPM in Windows 10 aktivieren - Kompatibler Modus oder neuer Modus
Bitlocker ohne TPM in Windows 10 aktivieren – Kompatibler Modus oder neuer Modus

In unserem Fall wählen wir die Option, dass das Laufwerk durch Eingabe eines Kennworts entsperrt wird. Natürlich sollte man ein gutes aber auch leicht zu merkendes Passwort verwenden. Wie man so eines erstellt könnt ihr im Artikel: Wie erstellt man ein sicheres Passwort, nachlesen. Der nächste Schritt ist ein sehr wichtiger. Hier kann man jetzt festlegen, wie der Wiederherstellungsschlüssel gespeichert werden soll. Dies ist eine sehr wichtige Konfiguration, falls man sein Passwort vergisst, hat man ohne diesen Schlüssel keine Chance mehr auf sein System zuzugreifen. Also ich persönlich würde den Schlüssel in eine Datei speichern und ihn anschließend auch ausdrucken.

So nun hat man es fast geschafft. Jetzt stellt sich noch die Frage, ob man nur den verwendeten Speicherplatz verschlüsseln möchte oder gleich das gesamte Laufwerk bzw. die gesamte Festplatte*. Die Frage was man verwenden sollte, würde ich dahingehend beantworten, ob der PC komplett neu installiert wurde oder bereits seit einiger Zeit verwendet wird. Im ersten Fall – der PC wurde neu installiert – würde ich nur den verwendeten Speicherplatz verschlüsseln. Im zweiten Fall dann natürlich das gesamte Laufwerk. Dies hat den Hintergedanken, dass dann auch bereits gelöschte Daten verschlüsselt werden.

Bitlocker ohne TPM in Windows 10 aktivieren - Systemprüfung durchführen
Bitlocker ohne TPM in Windows 10 aktivieren – Systemprüfung durchführen

Vor der eigentlichen Verschlüsselung kann man noch eine Systemprüfung durchführen lassen. Falls der PC nicht in einer Testumgebung wie z.B. VMware Workstation  betrieben wird, dann würde ich diese auf jeden Fall durchführen lassen. In der VMware Workstation 12 Pro habe ich die Erfahrung gemacht, dass die Verschlüsselung mit der Systemprüfung nicht funktioniert. Nach einem Neustart des Computers wird man nun nach dem passendem Passwort für das entschlüsseln der Systempartition gefragt. Erst nach korrekter Eingabe wird das System komplett gestartet.

Bitlocker-Kennwort Eingabe
Bitlocker-Kennwort Eingabe

Fazit

Gerade für mobile Geräte ist diese Verschlüsselungsmethode doch sehr sinnvoll. Da bei einem Diebstahl die Daten trotzdem relativ sicher sind. Sofern man die Möglichkeit hat Bitlocker zu verwenden, würde ich das auf Grund der Sicherheit auf jeden Fall konfigurieren. Verwendet Ihr Bitlocker oder jeher ein Drittanbieter Tool?

Interessantes

Dieser Artikel beinhaltet Partner-Links. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhält IT-Learner eine kleine Provision. Der Preis ändert sich für euch nicht. Danke für eure Unterstützung! Letzte Aktualisierung am 9.08.2022

15 Kommentare

    • Hallo,
      sofern du ein Version wie Pro oder Enterprise hast, dann kann man Bitlocker in der Systemsteuerung unter: System und Sicherheit -> Bitlocker Laufwerksverschlüsselung aktivieren.

  1. Hallo,

    kann ich die Gruppenrichtlinie so konfigurieren (Win10 / Server 2012r2), dass der Bitlocker nur durch Admins aktiviert wird und auch nur von admins wieder deaktiviert werden kann.

    Grüße
    Sysadmin

    • Hallo, meinst du jetzt, dass er ein Bitlocker Verschlüsseltes Laufwerk nicht entschlüsseln darf oder dass er z.B. einen USB-Stick mit Bitlocker verschlüsselt. Also sprich ob er einen schon verschlüsselten Datenträger bereitstellen kann oder eben erst einen Datenträger verschlüsseln möchte?
      Gruß Markus

  2. Hallo,

    ich meine das der User die Laufwerke nicht entschlüsseln darf. Und selber auch nicht Verschlüsseln kann.

    Grüße

    Kreczmer

    • Guten Morgen,
      also die Systemfestplatte kann standardmäßig nur der Administrator verschlüsseln. Für einzelne Laufwerk bzw. Wechseldatenträger gibt es die folgende Richtlinien: Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Bitlocker-Laufwerksverschlüsselung -> “Verwendung von Bitlocker auf Wechseldatenträger steuern”. Diese Richtlinie auf deaktivert. Wenn jetzt ein Domänenbenutzer eine Laufwerk verschlüsseln möchte erhält er die folgende Meldung: Bitlocker per GPO deaktivieren

      Hast du danach gesucht?

    • Hallo Roberto, was meinst du genau mit Bitlocker und Netzwerkentsperrung? Kannst das etwas näher beschreiben! Ein gutes neues Jahr! Gruß Markus

  3. Hallo Markus,
    man sollte vielleicht erwähnen, dass sich BitLocker bei SSDs auf die Hardware-Verschlüsselung verlässt, sofern vorhanden. Das stellt je nach Gerät eine Sicherheitslücke dar, weil die entsprechenden Implementierungen in ihrer Qualität sehr variieren.
    VG

  4. Hallo Markus, vielen Dank für die Antwort.
    Ich meine mit Bitlocker und Netzwerkensperrung das der Bitlocker im Unternehmen eingesetzt werden kann. In diesem Fall braucht der Client beim anmelden an der Domäne kein Pin eingeben wie er es machen muss wenn er nicht am Domänennetzwerk angestöpselt ist. Dies läuft über Zertifikate die am NB in einem TPM-Modul gespeichert werden und am Server im WDS. Nur habe ich in diesem Fall ein kleines Problem mit der Entsperrung des Clients wenn er sich am Domänennetztwerk anmelden möchte. Hier kommt immer wieder die Abfrage des Pin’s.
    Viele Grüße
    Roberto

  5. Hallo Markus,

    danke für die Info. Die Seite kenne ich schon und habe dies auch so umgesetzt, aber wie gesagt bei der Entsperrung hängt es. Kein Problem werde halt weiter forschen wo der “Hund” begraben ist ;-).
    Viele Grüße
    Roberto

    • Ok, wenn ich mal etwas mehr Zeit habe, werde ich mir das etwas näher ansehen. Leider fehlt mir diese aber im Moment. Weiterhin viel Erfolg bei der Suche nach der Lösung. Viele Grüße Markus

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*