Tags: Windows 7
Um Bitlocker zu verwenden, setzt Windows 7 in der Voreinstellung einen TPM-Chip (Trusted Platform Module) voraus. Er sorgt nicht nur für die Schlüsselverwaltung, sondern auch für Prüfung der Integrität des Systems und verweigert den Zugriff auf den Festplatteninhalt auch bei ansonsten passendem Schlüssel, wenn wichtige Systemkomponenten verändert wurden.
Vergleichen kann man den TPM etwa mit einer eingebauten Smartcard, die an den Computer gebunden ist statt an einen Benutzer. Auch ohne TPM kann man Bitlocker aber zumindest für den Zweck der Verschlüsselung verwenden, so dass ein Finder oder Dieb des Datenträgers mit dessen Inhalt nichts anfangen kann.
Bitlocker ohne TPM: Freischalten per Gruppenrichtlinie
Normalerweise weigert sich Windows 7 einfach, auf einem nicht mit TPM ausgestatteten Rechner das Laufwerk zu verschlüsseln und fordert den Benutzer auf, sich zwecks Behebung dieses Problems an seinen Administrator zu wenden. Dieser – oder an einem Einzelplatzrechner der Benutzer selbst – schaltet per Gruppenrichtlinie einen Modus für Bitlocker ein, bei dem er den Schlüssel von einem USB-Datenträger lädt, der bei jedem Systemstart anzustecken ist.
Die Gruppenrichtlinie findet sich in gpedit.msc gut versteckt unter „Computerkonfiguration, Administrative Vorlagen, Windows-Komponenten, BitLocker-Laufwerksverschlüsselung, Betriebssystemlaufwerke, Zusätzliche Authentifizierung beim Start anfordern“, in einem englischsprachigen Windows unter „Computer Configuration, Administrative Templates, Windows Components, BitLocker Drive Encryption, Require additional authentication at startup“.
Die Option, statt eines TPM den USB-Flashspeicher zu verwenden, befindet sich ganz oben in der Checkbox „BitLocker ohne kompatibles TPM zulassen“ beziehungsweise „Allow BitLocker without a compatible TPM“.
Zusätzliche Hardware-Prüfung für den USB-Stick
Ruft man nach Anwendung der Gruppenrichtlinie Bitlocker in der Systemsteuerung auf, steht die Option zur Verfügung, das Startlaufwerk mittels des USB-Keys zu verschlüsseln. Auch der USB-Stick beziehungsweise der PC und dessen BIOS müssen gewisse Anforderungen erfüllen, um die Verschlüsselung des Startlaufwerkes gewährleisten zu können, nämlich bereits vor dem Start des Betriebssystems davon lesen können. Windows testet diese Eigenschaft, bevor es wirklich an die Verschlüsselung des Laufwerkes geht.
Danach hat der USB-Speicher eine zündschlüsselartige Funktion und muss im Moment des Systemstarts stets angesteckt sein. Geht der Stick verloren oder wird er zerstört, muss man mit Hilfe des 48stelligen Recovery-Keys starten, den Windows vor der Verschlüsselung automatisch erzeugt und der hoffentlich ausgedruckt oder als Datei an einem sicheren Ort verwahrt vorliegt. Sind beide Schlüssel verloren, dann gilt dies auch für den Festplatteninhalt.
Täglich Know-how für IT-Pros mit unserem Newsletter
Andreas Kroschel ist Buchautor und Verfasser von Fachartikeln zu Hardware, Windows und Linux sowie IT-Sicherheit. Er arbeitete als Redakteur unter anderem für BYTE Deutschland und die PC-Welt.
Ähnliche Beiträge
- Microsoft öffnet verlängerten Support für Windows 7 auch für kleinere Firmen
- Microsoft gibt Windows Virtual Desktop als Public Preview frei
- Microsoft bringt SHA-2-Patch für Windows 7 und WSUS 3.0 SP2, Installation erforderlich
- Erweiterter Support für Windows 7 bis 2023: Kosten pro Gerät verdoppeln sich jährlich
- Praxis: Die Schadsoftware WannaCry erkennen und abwehren
3 Kommentare
Hallo,
ich bin bin genau nach obiger Anleitung vorgegangen, nur leider erhalte ich, nachdem Windows überprüft hat ob eine Verschlüsselung auf der Systempartition möglich ist, nach anschließendem Klick auf weiter die Fehlermeldung "Falscher Parameter". Hierbei ist ein rotes X neben "Laufwerk C wird verkleinert". An meinen Rechten kann das doch nicht liegen, schließlich bin ich als Admin angemeldet...
Hier das Bildschirmfoto zum Problem:
http://home.arcor.de/circlefox4/stuff/falscherparameter.jpg
Wäre super wenn mir hier jemand helfen könnte
thx&bye
Hallo corun,
kann es daran liegen, dass neben c: keine zusätzliche aktive Systempartition existiert?
Siehe: http://support.microsoft.com/?scid=kb;en-us;2019926&x=12&y=9
und
http://www.windowspro.de/wolfgang-sommergut/windows-7-partitionierung-be... (letzter Abschnitt)
Hallo,
danke für den schnellen Hinweis, genau hier lag der Hund begraben. Leider habe ich jetzt ein viel größeres Problem:
Nachdem ich meine Systempartition erfolgreich verschlüsselt hatte, habe ich den Wiederherstellungsschlüssel auf einem USB-Stick abgespeichert und anschließend einen Neustart vorgenommen. Wo jetzt normalerweise der Win7 Bootscreen erscheinen sollte, bleibt der Bildschirm komplett schwarz und meine HDD-LED an der Front meines Towers leuchtet ständig rot (ständiger Zugriff). Auch nach knapp einer viertel Stunde verändert sich dieser Zustand nicht. Auch mehrmaliges Neustarten brachte keine Besserung. Da scheint wirklich etwas richtig schief gelaufen zu sein.
Vor der Verschlüsselung meiner Systempartition habe ich noch extra ein Abbild der Partition mit Drive Image XML gemacht. Leider nützt mir das jetzt nicht mehr viel, da BitLocker natürlich auch die Partitiontabellen verschlüsselt hat und die Boot-CD von Drive Image XML die Partitionen nicht mehr richrig erkennt.
Mit der Windows7 Notfall-CD kann ich jetzt zwar temporär auf die verschlüsselte Systempartiton zugreifen, aber nicht auf die Partitionen (obwohl diese nicht verschlüsselt sind) auf denen meine Systemabbilder (mitsamt den korrekten Partitionstabellen) liegen.
Momentan stehe ich echt auf dem Schlauch und weiss nicht wie ich das wieder in den Griff bekommen soll. Darf gar nicht dran denken was das für ein Datenverlust wäre.....