Bitlocker ohne Trusted Platform Module (TPM)

Von Andreas Kroschel, 05.03.2010
Tags: ,

Trusted Platform Module auf einem Motherboard Asus P5Q premiumUm Bitlocker zu verwenden, setzt Windows 7 in der Voreinstellung einen TPM-Chip (Trusted Platform Module) voraus. Er sorgt nicht nur für die Schlüsselverwaltung, sondern auch für Prüfung der Integrität des Systems und verweigert den Zugriff auf den Festplatteninhalt auch bei ansonsten passendem Schlüssel, wenn wichtige Systemkomponenten verändert wurden. Vergleichen kann man den TPM etwa mit einer eingebauten Smartcard, die an den Computer gebunden ist statt an einen Benutzer. Auch ohne TPM kann man Bitlocker aber zumindest für den Zweck der Verschlüsselung verwenden, so dass ein Finder oder Dieb des Datenträgers mit dessen Inhalt nichts anfangen kann.

Bitlocker ohne TPM: Freischalten per Gruppenrichtlinie

Bitlocker für das Startlaufwerk auch ohne TPMNormalerweise weigert sich Windows 7 einfach, auf einem nicht mit TPM ausgestatteten Rechner das Laufwerk zu verschlüsseln und fordert den Benutzer auf, sich zwecks Behebung dieses Problems an seinen Administrator zu wenden. Dieser – oder an einem Einzelplatzrechner der Benutzer selbst – schaltet per Gruppenrichtlinie einen Modus für Bitlocker ein, bei dem er den Schlüssel von einem USB-Datenträger lädt, der bei jedem Systemstart anzustecken ist.

Die Gruppenrichtlinie findet sich in gpedit.msc gut versteckt unter „Computerkonfiguration, Administrative Vorlagen, Windows-Komponenten, BitLocker-Laufwerksverschlüsselung, Betriebssystemlaufwerke, Zusätzliche Authentifizierung beim Start anfordern“, in einem englischsprachigen Windows unter „Computer Configuration, Administrative Templates, Windows Components, BitLocker Drive Encryption, Require additional authentication at startup“. Die Option, statt eines TPM den USB-Flashspeicher zu verwenden, befindet sich ganz oben in der Checkbox „BitLocker ohne kompatibles TPM zulassen“ beziehungsweise „Allow BitLocker without a compatible TPM“.

Zusätzliche Hardware-Prüfung für den USB-Stick

Ohne angesteckten USB-Stick startet der per Bitlocker geschützte PC nicht mehrRuft man nach Anwendung der Gruppenrichtlinie Bitlocker in der Systemsteuerung auf, steht die Option zur Verfügung, das Startlaufwerk mittels des USB-Keys zu verschlüsseln. Auch der USB-Stick beziehungsweise der PC und dessen BIOS müssen gewisse Anforderungen erfüllen, um die Verschlüsselung des Startlaufwerkes gewährleisten zu können, nämlich bereits vor dem Start des Betriebssystems davon lesen können. Windows testet diese Eigenschaft, bevor es wirklich an die Verschlüsselung des Laufwerkes geht.

Danach hat der USB-Speicher eine zündschlüsselartige Funktion und muss im Moment des Systemstarts stets angesteckt sein. Geht der Stick verloren oder wird er zerstört, muss man mit Hilfe des 48stelligen Recovery-Keys starten, den Windows vor der Verschlüsselung automatisch erzeugt und der hoffentlich ausgedruckt oder als Datei an einem sicheren Ort verwahrt vorliegt. Sind beide Schlüssel verloren, dann gilt dies auch für den Festplatteninhalt.

Keine Kommentare

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht öffentlich zugänglich angezeigt. Wenn Sie ein Gravatar-Konto haben, wird dieses verwendet, um Ihr Benutzerbild darzustellen.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Zeilen und Absätze werden automatisch erzeugt.

Weitere Informationen über Formatierungsoptionen