Bitlocker ohne Trusted Platform Module (TPM)


    Tags:

    Trusted Platform Module auf einem Motherboard Asus P5Q premiumUm Bitlocker zu verwenden, setzt Windows 7 in der Voreinstellung einen TPM-Chip (Trusted Platform Module) voraus. Er sorgt nicht nur für die Schlüsselverwaltung, sondern auch für Prüfung der Integrität des Systems und verweigert den Zugriff auf den Festplatteninhalt auch bei ansonsten passendem Schlüssel, wenn wichtige Systemkomponenten verändert wurden. Vergleichen kann man den TPM etwa mit einer eingebauten Smartcard, die an den Computer gebunden ist statt an einen Benutzer. Auch ohne TPM kann man Bitlocker aber zumindest für den Zweck der Verschlüsselung verwenden, so dass ein Finder oder Dieb des Datenträgers mit dessen Inhalt nichts anfangen kann.

    Bitlocker ohne TPM: Freischalten per Gruppenrichtlinie

    Bitlocker für das Startlaufwerk auch ohne TPMNormalerweise weigert sich Windows 7 einfach, auf einem nicht mit TPM ausgestatteten Rechner das Laufwerk zu verschlüsseln und fordert den Benutzer auf, sich zwecks Behebung dieses Problems an seinen Administrator zu wenden. Dieser – oder an einem Einzelplatzrechner der Benutzer selbst – schaltet per Gruppenrichtlinie einen Modus für Bitlocker ein, bei dem er den Schlüssel von einem USB-Datenträger lädt, der bei jedem Systemstart anzustecken ist.

    Die Gruppenrichtlinie findet sich in gpedit.msc gut versteckt unter „Computerkonfiguration, Administrative Vorlagen, Windows-Komponenten, BitLocker-Laufwerksverschlüsselung, Betriebssystemlaufwerke, Zusätzliche Authentifizierung beim Start anfordern“, in einem englischsprachigen Windows unter „Computer Configuration, Administrative Templates, Windows Components, BitLocker Drive Encryption, Require additional authentication at startup“. Die Option, statt eines TPM den USB-Flashspeicher zu verwenden, befindet sich ganz oben in der Checkbox „BitLocker ohne kompatibles TPM zulassen“ beziehungsweise „Allow BitLocker without a compatible TPM“.

    Zusätzliche Hardware-Prüfung für den USB-Stick

    Ohne angesteckten USB-Stick startet der per Bitlocker geschützte PC nicht mehrRuft man nach Anwendung der Gruppenrichtlinie Bitlocker in der Systemsteuerung auf, steht die Option zur Verfügung, das Startlaufwerk mittels des USB-Keys zu verschlüsseln. Auch der USB-Stick beziehungsweise der PC und dessen BIOS müssen gewisse Anforderungen erfüllen, um die Verschlüsselung des Startlaufwerkes gewährleisten zu können, nämlich bereits vor dem Start des Betriebssystems davon lesen können. Windows testet diese Eigenschaft, bevor es wirklich an die Verschlüsselung des Laufwerkes geht.

    Danach hat der USB-Speicher eine zündschlüsselartige Funktion und muss im Moment des Systemstarts stets angesteckt sein. Geht der Stick verloren oder wird er zerstört, muss man mit Hilfe des 48stelligen Recovery-Keys starten, den Windows vor der Verschlüsselung automatisch erzeugt und der hoffentlich ausgedruckt oder als Datei an einem sicheren Ort verwahrt vorliegt. Sind beide Schlüssel verloren, dann gilt dies auch für den Festplatteninhalt.

    3 Kommentare

    Bild von corun
    corun sagt:
    5. August 2010 - 8:16

    Hallo,

    ich bin bin genau nach obiger Anleitung vorgegangen, nur leider erhalte ich, nachdem Windows überprüft hat ob eine Verschlüsselung auf der Systempartition möglich ist, nach anschließendem Klick auf weiter die Fehlermeldung "Falscher Parameter". Hierbei ist ein rotes X neben "Laufwerk C wird verkleinert". An meinen Rechten kann das doch nicht liegen, schließlich bin ich als Admin angemeldet...

    Hier das Bildschirmfoto zum Problem:
    http://home.arcor.de/circlefox4/stuff/falscherparameter.jpg

    Wäre super wenn mir hier jemand helfen könnte

    thx&bye

    Bild von Wolfgang Sommergut
    5. August 2010 - 9:13

    Hallo corun,

    kann es daran liegen, dass neben c: keine zusätzliche aktive Systempartition existiert?

    Siehe: http://support.microsoft.com/?scid=kb;en-us;2019926&x=12&y=9

    und

    http://www.windowspro.de/wolfgang-sommergut/windows-7-partitionierung-be... (letzter Abschnitt)

    Bild von corun
    corun sagt:
    5. August 2010 - 23:07

    Hallo,

    danke für den schnellen Hinweis, genau hier lag der Hund begraben. Leider habe ich jetzt ein viel größeres Problem:

    Nachdem ich meine Systempartition erfolgreich verschlüsselt hatte, habe ich den Wiederherstellungsschlüssel auf einem USB-Stick abgespeichert und anschließend einen Neustart vorgenommen. Wo jetzt normalerweise der Win7 Bootscreen erscheinen sollte, bleibt der Bildschirm komplett schwarz und meine HDD-LED an der Front meines Towers leuchtet ständig rot (ständiger Zugriff). Auch nach knapp einer viertel Stunde verändert sich dieser Zustand nicht. Auch mehrmaliges Neustarten brachte keine Besserung. Da scheint wirklich etwas richtig schief gelaufen zu sein.

    Vor der Verschlüsselung meiner Systempartition habe ich noch extra ein Abbild der Partition mit Drive Image XML gemacht. Leider nützt mir das jetzt nicht mehr viel, da BitLocker natürlich auch die Partitiontabellen verschlüsselt hat und die Boot-CD von Drive Image XML die Partitionen nicht mehr richrig erkennt.

    Mit der Windows7 Notfall-CD kann ich jetzt zwar temporär auf die verschlüsselte Systempartiton zugreifen, aber nicht auf die Partitionen (obwohl diese nicht verschlüsselt sind) auf denen meine Systemabbilder (mitsamt den korrekten Partitionstabellen) liegen.

    Momentan stehe ich echt auf dem Schlauch und weiss nicht wie ich das wieder in den Griff bekommen soll. Darf gar nicht dran denken was das für ein Datenverlust wäre.....