BitLocker To Go: Verschlüsselung von USB-Laufwerken über Gruppenrichtlinien steuern

    USB-Laufwerk verschlüsseln mit BitLocker To GoWenn Unter­nehmen den unkon­trol­lierten Abfluss von Daten ver­hindern wollen, dann gilt ihre beson­dere Auf­merk­samkeit den Wechsel­daten­trägern. Bei Verlust von USB-Speichern schützt BitLocker To Go deren Inhalt vor unbe­fug­tem Zugriff. Das Feature lässt sich über Gruppen­richt­linien erzwingen und anpassen.

    In vielen Firmen ist es gängige Praxis, USB-Geräte pauschal zu blockieren oder zumindest bestimmte Device-Typen zu bannen. Wenn man dafür keine Tools von Dritt­anbietern einsetzen möchte, dann lässt sich dieses Ziel mit gewissen Einschränkungen auch über Gruppenrichtlinien erreichen.

    Wenn eine solche strikte Politik nicht umsetzbar ist, etwa weil externe Laufwerke für den Daten­austausch benötigt werden, dann kann man zumindest dafür sorgen, dass die darauf befindlichen Daten für Unbefugte nicht lesbar sind. Diese Aufgabe übernimmt seit Windows 7 die Funktion BitLocker To Go.

    Standardmäßig können Benutzer der Editionen Pro und Enterprise USB-Datenträger nach eigenem Gutdünken verschlüsseln, indem sie den entsprechenden Befehl aus dem Kontextmenü des Laufwerks ausführen oder den Vorgang in der Systemsteuerung unter System und Sicherheit => BitLocker-Laufwerkverschlüsselung starten.

    Benutzer können USB-Laufwerke in Eigenregie mit BitLocker verschlüsseln.

    Zentrale Konfiguration wichtiger Parameter

    In zentral verwalteten Umgebungen wird man es aber nicht den Endanwendern überlassen, ob sie Datenträger verschlüsseln.

    Hinzu kommt, dass sie dabei Entscheidungen treffen müssen, die einen reibungslosen und effizienten Einsatz des Features beein­trächtigen können. Das gilt etwa für die Art, wie Wieder­herstellungs­schlüssel gesichert werden sollen, oder die Ver­schlüsselungs­methode.

    Standardmäßig müssen sich die Benutzer selbst um die Aufbewahrung des Keys kümmern.

    Eine solche Auswahl kann der Administrator zentral über Gruppen­richtlinien treffen und so dafür sorgen, dass etwa die Recovery Keys nicht verloren gehen oder unsachgemäß aufbewahrt werden.

    Ähnliches gilt für die Alternative zwischen der Verschlüsselung des ganzen oder nur des benutzten Speicher­bereichs. Letztere spart zwar Zeit, aber zuvor vorhandene und mittlerweile gelöschte Daten wären ungeschützt.

    Ohne Anpassung über Gruppenrichtlinien entscheidet der User über die Verschlüsselungsmethode.

    Verschlüsselung durchsetzen

    Die Einstellungen für BitLocker To Go finden sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => BitLocker-Laufwerks­ver­schlüsselung => Wechsel­daten­träger. Um die Verschlüsselung von externen Laufwerken zu erzwingen, aktiviert man dort Schreibzugriff auf Wechsel­datenträger verweigern, die nicht durch BitLocker geschützt sind.

    Diese Option verhindert, dass Anwender Daten auf unverschlüsselte Wechseldatenträger speichern.

    Diese Einstellung bewirkt jedoch nicht, dass BitLocker auf USB-Sticks automatisch im Hintergrund eingeschaltet wird, sobald der Benutzer das USB-Gerät an den Rechner ansteckt. Vielmehr erhält er den Hinweis, dass Daten nur gespeichert werden können, nachdem BitLocker aktiviert wurde.

    Benutzer können aus dem Hinweis den Assistenten für BitLocker To Go starten.

    Der Dialog bietet an, das Laufwerk zu verschlüsseln. Diese Option startet den gleichen Assistenten wie der oben erwähnte Befehl aus dem Kontext­menü des Datenträgers. Durch weitere Gruppen­richtlinien kann man dort aber einige Schritte überspringen.

    Dialoge aus Assistenten ausblenden

    Dazu gehört die Einstellung Laufwerk­verschlüsselungs­typ auf Wechsel­daten­trägern erzwingen. Mit ihr legt man fest, ob der gesamte oder nur der benutzte Speicherbereich kodiert werden soll.

    Art der Verschlüsselung via GPO vorgeben

    Zusätzlich kann man bei den globalen BitLocker-Einstellungen den Algorithmus festlegen, und zwar mit Verschlüsselungs­methode und Verschlüsselungs­stärke für Laufwerk auswählen (Windows 10 [Version 1511] und höher) bzw. analogen Optionen für andere Windows-Versionen.

    Algorithmus für die Verschlüsselung per GPO festlegen

    Ein ganz wesentlicher Punkt betrifft die Frage, wie und wo die Wieder­herstellungs­schlüssel gesichert werden sollen. Ohne Vorgabe über die Gruppen­richtlinien kann der User zwischen dem Speichern in einer Datei und dem Ausdrucken wählen. Belässt man es dabei, dann muss man mit Anfragen an den Helpdesk wegen verlorener Keys oder mit Sicherheits­lücken rechnen.

    Wiederherstellungsschlüssel im AD speichern

    In verwalteten Umgebungen wird man stattdessen die Wieder­herstellungs­schlüssel im Active Directory hinterlegen. Zuständig ist dafür die Einstellung Festlegen, wie BitLocker-geschützte Wechsel­datenträger wieder­hergestellt werden können. Das Vorgehen erfolgt nach dem gleichen Muster wie bei Boot-Laufwerken, das wir hier beschrieben haben.

    Über diese Option kann man den Dialog zum Speichern der Recovery Keys ausblenden.

    Wenn man dort die Option Wieder­herstellungs­optionen aus BitLocker-Setup-Assistent unterdrücken aktiviert, dann wird der oben erwähnte Dialog für die Sicherung des Keys übersprungen. Die Benutzer können ihn somit nicht selbst speichern.

    Datenträger mit ID markieren

    Das Problem verlorener Wieder­herstellungs­schlüssel kann aber trotzdem auftreten, wenn ein Benutzer bereits früher einen USB-Stick mit BitLocker verschlüsselt und den Key selbst gesichert hat. Um auszuschließen, dass er auch nach der Konfiguration des GPO weiterhin Daten auf diesen speichert, kann man die Laufwerke mit einer Organisations-ID versehen.

    Zuständig dafür ist die Einstellung Eindeutige IDs für Ihre Organisation angeben. Sie versieht jedes Wechsel­laufwerk mit der betreffenden Kennung. Dabei darf es sich um einen beliebigen Wert mit bis zu 260 Zeichen handeln, wobei zwischen Groß- und Kleinschreibung unterschieden wird.

    Zusätzlich benötigt man dafür die Option Keinen Schreibzugriff auf Geräte zulassen, die in anderen Organisationen konfiguriert wurden (in der eingangs erwähnten Einstellung Schreibzugriff auf Wechsel­datenträger verweigern, die nicht durch BitLocker geschützt sind).

    Über die Organisations-ID kann man die zulässigen Geräte weiter einschränken.

    Neben der eigenen ID kann man weitere, durch Komma getrennte IDs unter BitLocker-Feld für zulässige IDs eingeben, um auch die damit gekenn­zeichneten Geräte zuzulassen.

    Passwort-Policy

    Schließlich lassen sich für BitLocker To Go eigene Regeln für Passwörter definieren, um beispiels­weise die Mindestlänge von standardmäßig acht Zeichen zu erhöhen.

    Zuständig dafür ist die Einstellung Kennwort­verwendung für Wechsel­datenträger konfigurieren. Die Komplexitäts­anforderung setzt voraus, dass eine Password Policy für die Domäne konfiguriert wurde.

    Optionen zur Durchsetzung starker Passwörter für BitLocker To Go.

    Eine weitere sinnvolle Absicherung von verschlüsselten USB-Laufwerken erhält man über Verwendung von BitLocker auf Wechseldatenträgern steuern. Dort sorgt man durch Deaktiveren der Option Benutzer dürfen BitLocker auf Wechseldatenträgern anhalten und entschlüsseln dafür, dass die Anwender BitLocker nicht entfernen können.

    BitLocker To Go gegen das Deaktivieren durch die Benutzer schützen

    Fazit

    BitLocker To Go ist das Bordmittel der Wahl, um USB-Datenträger zu verschlüsseln. Ohne zentrale Konfiguration bleibt es aber dem Belieben des Benutzers überlassen, ob und wann er dieses Feature einsetzt. Außerdem obliegt es dann ihm, für die Wiederherstellungs­schlüssel aufzubewahren oder die passende Methode zu wählen.

    Um einen verlässlichen Schutz der Daten zu gewährleisten, werden die meisten Unternehmen diese Aufgaben an den Admin delegieren, der entsprechende Vorgaben über die Gruppen­richtlinien durch­setzen kann.

    Eine völlig transparente und automatische Lösung wird BitLocker To Go aber dadurch nicht. Die zentrale Verwaltung hilft jedoch, die Verwendung des Features deutlich zu vereinfachen.

    Keine Kommentare