Virtuelle Festplatten (VHD/VMDK) mit Bitlocker verschlüsseln

    Bitlocker verschlüsselt das StartlaufwerkNicht nur der Festplatteninhalt physischer Rechner ist schützenswert, die in einer virtuellen Maschine gespeicherten Daten sind es prinzipiell genauso. Per Bitlocker ist es zunächst jedoch nicht ohne weiteres möglich, das Systemlaufwerk einer VM zu verschlüsseln, da ihr der TPM fehlt – auch ein eventuell auf dem Host vorhandener TPM wird bis dato von keinem Produkt virtualisiert. Auch ein USB- oder Flash-Laufwerk lässt sich nicht so virtualisieren, dass es die Hardware-Prüfung durch Bitlocker übersteht. Mit den folgenden 3 Schritten funktioniert Bitlocker innerhalb einer VM.

    Bitlocker ohne TPM verwenden

    Zunächst konfiguriert man die gewählte VM so, dass sie keinen TPM für die Bitlocker-Verschlüsselung benötigt. Dies erreicht man per Gruppenrichtlinie.

    Floppy-Laufwerk hinzufügen

    Die Hardware-Konfiguration der zu verschlüsselnden VMs wird um ein Floppy-Laufwerk erweitert, sofern dies noch nicht vorhanden ist. Das Laufwerk wird als Image-Datei bereitgestellt. Das ist unter VMware Workstation, VMware Player und Hyper-V kein Problem und kann mit der GUI konfiguriert werden. Unter Virtual PC leistet ein Script von Ben Armstrong das Gewünschte.

    Start-Key auf Floppy statt auf USB-Laufwerk

    manage-bde.exe kann den Bitlocker-Schlüssel auf einer Floppy speichernEine VM unter Virtual PC verschlüsselt ihr StartlaufwerkStatt von einem USB-Stick wird die VM den Startup-Key vom virtuellen Floppy-Laufwerk lesen. Dies kann man nicht in der Bitlocker-GUI festlegen, sondern verwendet stattdessen das Kommandozeilentool manage-bde.exe. Dessen Parameter erlauben es, den Schlüssel auf A: zu speichern. Der Befehl dazu lautet (Dank an John Savill):

    manage-bde.exe -on C: -rp -sk A:

    Die VM muss danach neu gestartet werden und beginnt daraufhin mit der Verschlüsselung des Laufwerks C:.

    Praxistipp: Virtual PC ist nicht eben für seine hohe I/O-Performance mit virtuellen Datenträgern bekannt. Verwendet man diesen Virtualisierer, wird die Verschlüsselung eines Volumes signifikant länger dauern als etwa die einer vergleichbar großen physischen Partition auf dem Host. Abhilfe bringt es, die Verschlüsselung zu pausieren, die VM herunterzufahren und deren VHD im Hostsystem als Festplatte anzuhängen. Nach Eingabe des Recovery-Keys kann man deren Verschlüsselung fortsetzen, was sehr viel schneller vonstatten geht als innerhalb der VM. Nach der kompletten Verschlüsselung hängt man die VHD am Hostsystem wieder aus und verwendet sie mit der VM weiter.

    1 Kommentar

    Bild von Clm
    Clm sagt:
    11. Oktober 2014 - 20:30

    Ich blicke bei dieser einleitung nicht ganz durch...
    1* Also ich erstelle ein Floppy-Laufwerk durch die "Create"-Funktion von der VMware Workstation
    2* Verschlüssel danach C:/ ... Bei der Auswahl des Key-Mediums finde ich nun A:/ nicht... also gebe ich den Befehl: manage-bde.exe -on C: -rp -sk A: ein und erhalte eine erfolgsmeldung... Beim neustart wird jedoch kein Medium gefunden und ich kann auch kein Schlüssel eingeben =/