Mit Hilfe der Gruppenrichtlinien kann man für BitLocker zwar verschiedene Einstellungen vorgeben, aber die Verschlüsselung startet man damit nicht. Ebenso wenig erstellt man damit Protectors, ohne die BitLocker nicht aktiviert werden kann. Für diese Aufgabe bieten sich manage-bde, PowerShell oder die WMI-Klasse Win32_EncryptableVolume an.
Die Laufwerksverschlüsselung mit BitLocker gehört zu den unverzichtbaren Maßnahmen, um Firmen-Notebooks zu schützen. Das Feature lässt sich nicht nur über Bordmittel wie Gruppenrichtlinien oder PowerShell verwalten, sondern auch mit Intune via Cloud. Damit kann man zudem die Wiederherstellungsschlüssel im Azure AD hinterlegen.
Progress Software bietet eine kostenlose Version seines bekannten Load-Balancers an. Die Free Edition von LoadMaster verfügt über zahlreiche Features des Vollprodukts. Dazu zählen neben der Lastverteilung für verschiedene Anwendungen die Funktion als Reverse Proxy, eine Web Application Firewall oder die Prä-Authentifizierung der User.
Wenn Unternehmen die Laufwerke ihrer PCs verschlüsseln, dann erwarten sie eine zentrale Konsole für das BitLocker-Management. Das Admin-Tool sollte zudem die Einstellungen flexibel an die Clients zuweisen können und stets den aktuellen Status der Laufwerksverschlüsselung liefern. ACMP verfügt über ein derartiges Modul.
BitLocker nutzt symmetrische Verfahren zur Verschlüsselung von Laufwerken. Der dafür eingesetzte Key ist durch zwei Verschlüsselungsebenen geschützt. Auf der obersten Schicht gewähren Protectors über verschiedene Mechanismen den Zugang zu den Datenträgern. Nicht alle sind jedoch gleich sicher oder eignen sich für sämtliche Laufwerke.
Auf modernen Rechnern ist BitLocker standardmäßig so konfiguriert, dass das TPM alleine den Volume Master Key (VMK) freigibt. Fällt ein Notebook jedoch in die falschen Hände, dann ist der VMK damit nicht ausreichend geschützt. Daher empfiehlt Microsoft eine Zwei-Faktor-Authentifizierung durch eine zusätzliche PIN oder einen Startup-Key.
Die Verschlüsselung von Laufwerken ist besonders bei Notebooks ein wesentlicher Sicherheitsfaktor. Wenn man BitLocker über die Bordmittel aktiviert, dann liefern diese keinen Report über den Verschlüsselungsstatus der ganzen Umgebung. Inaktiven BitLocker-Schutz kann man mit dem Dienstprogramm manage-bcd und PowerShell erkennen.
BitLocker stellt im Zusammenspiel mit einem Trusted Platform Module (TPM) sicher, dass die Konfiguration eines PCs seit dem Start der Verschlüsselung nicht verändert wurde. Für diesen Zweck speichert es mehrere Systemparameter in den PCR des TPM. Diese Konfiguration ist ausschlaggebend dafür, wie leicht BitLocker den Recovery Mode auslöst.
Eine Schwachstelle erlaubt Angreifern, über das Windows Recovery Environment (WinRE) Zugang zu den Daten der verschlüsselten Systempartition zu erlangen. Microsoft stellte für CVE-2022-41099 bereits vor einiger Zeit einen Patch zur Verfügung. Das nun vorgestellte Script automatisiert das Aktualisieren von WinRE.
AppTec360 Enterprise Mobility Management (EMM) eignet sich nicht nur zur Verwaltung von mobilen Geräten, sondern mittlerweile auch für PCs. Der Schweizer Hersteller folgt dabei Microsofts Konzept des "Modern Management" via MDM-Schnittstellen. Das BitLocker-Modul erlaubt eine unbeaufsichtigte Verschlüsselung und bietet ein Key-Management.
Microsoft bietet bei der Aktivierung von BitLocker mehrere Optionen für das Speichern des Wiederherstellungsschlüssels. Traditionell konnte man ihn ausdrucken oder in einer Datei ablegen, und seit einiger Zeit steht dafür auch das Microsoft-Konto zur Verfügung. Von dort lässt er sich auf fast jedem Gerät von überall auslesen.