BitLocker: Laufwerkverschlüsselung unter Windows 8 aktivieren (auch ohne TPM-Chip)

20. November 2012 Kategorie: Backup & Security, Windows, geschrieben von: caschy

Und weiter geht es im Security-Bereich, nachdem ich ja eben schon eine Anleitung schrieb, wie ihr eure Systempartition von Windows 8 mit TrueCrypt verschlüsselt. Es wurden Stimmen laut, die meinten, dass sie lieber BitLocker nutzen, da dieses ja integraler Bestandteil von Windows 8 Pro ist, welches ja sicherlich viele durch ein günstiges Update geschossen haben. Im Gegensatz zum verschlüsselnden Dateisystem (Encrypting File System, EFS), mit dem einzelne Dateien verschlüsselt werden können, dient BitLocker zum Verschlüsseln des gesamten Laufwerks.

Werden einem mit BitLocker verschlüsselten Laufwerk frische Dateien hinzugefügt, werden diese automatisiert von BitLocker verschlüsselt, wie bei TrueCrypt also. Die Dateien bleiben verschlüsselt, so lange sie auf dem verschlüsselten Laufwerk gespeichert sind. Dateien, die auf ein anderes Laufwerk oder auf einen anderen Computer kopiert werden, werden automatisch entschlüsselt.

Die Nutzung von BitLocker ist allerdings standardmäßig nur möglich, wenn euer Mainboard einen TPM-Chip hat. (Wikipedia: BitLocker  startet vor dem Betriebssystem und greift standardmäßig auf ein Trusted Platform Module zu, um zu prüfen ob die Hardware unverändert und somit vertrauenswürdig ist.) Viele moderne Rechner verfügen über dieses Trusted Platform Module, allerdings gibt es auch viele Rechner da draußen, die eben jenes Modul nicht haben. Was also tun, wenn man BitLocker dennoch nutzen will?

Im obigen Screenshot die Fehlermeldung, die ihr seht, wenn euer PC keinen TPM-Chip intus hat: Auf diesem Gerät kann kein TPM verwendet werden. Der Administrator muss die Richtlinie “Zusätzliche Authentifizierung beim Start anfordern” für Betriebssystemvolumes die Option “BitLocker ohne kompatibles TPM zulassen” festlegen.

Aha. Da wir der Administrator sind, müssen wir die Richtlinie festlegen. Nur wo? Ab in eure neue UI, im Suchfeld Richtlinie eingeben und losrocken:

Im nun auftauchenden Fenster navigieren wie uns zum Punkt Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke und suchen den Punkt “Zusätzliche Authentifizierung beim Starten anfordern”.

Ein Doppelklick schickt uns direkt in die Konfiguration, wo wir deaktivieren, dass ein TPM-Chip Pflicht ist. Schnell einen Haken bei “Aktiviert” setzen und Bitlocker ohne kompatibles TMP-Modul zulassen.

Danach klickt ihr flott auf “Übernehmen” und startet wieder Bitlocker. Windows 8 überprüft daraufhin die Kompatibilität des PCs.

Im Anschluss muss der Rechner neu gestartet werden und fragt ab, ob er in Zukunft per Sicherheits-Stick oder Passwort entsperrt werden soll.

Der von euch eingegebene Schlüssel zur Wiederherstellung kann nun nicht nur separat auf einem Stick oder in einer Datei gespeichert werden, sondern auch in eurem Microsoft-Konto:

Im nächsten Schritt dann die entscheidende Frage, ob man den verwendeten Speicherplatz verschlüsseln will, oder das komplette Laufwerk. Ersteres ist für frische Installationen ganz nützlich, alle anderen sollten zur Vollverschlüsselung greifen, da dabei auch die gelöschten Altdaten noch einmal verschlüsselt werden.

Danach kann am PC normal weiter gearbeitet werden, allerdings wird er während der erstmaligen Verschlüsselung etwas langsamer.

Nach Abschluss der Aktivierung von BitLocker ist die Festplatte komplett verschlüsselt und das System bootet nur, wenn ihr das korrekte Passwort eingebt.

In diesem Sinne: Viel Spaß beim Verschlüsseln. Thema Speed und SSD: Ja, man hat messbaren Performanceverlust. Müsst ihr mal ausprobieren, ob euch die Sicherheit die verlorene Performance wert ist. Ich selber spüre auf meinem Notebook davon nichts.

»

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube.

Carsten hat bereits 15452 Artikel geschrieben.


32 Kommentare

Alex 20. November 2012 um 14:19 Uhr

Wow!!!
Schnell!!

ralle 20. November 2012 um 14:32 Uhr

Hab das Gleiche vor kurzem bei meinem Win7 64 Ultimate versucht. Leider bekommt man aber nur die Option über ein Keyfile auf dem Stick zu entschlüsseln. Die Möglichkeit per PIN zu entsperren ist leider ausgegraut. Macht für mich von daher keinen Sinn weil ich den Stick sicher dauernd im PC lassen würde. Hat jemand nee Möglichkeit wie ich das PIN-System aktivieren kann?

eXeler0n (@eXeler0n) 20. November 2012 um 14:45 Uhr

Kann ich die Verschlüsselung rückgängig machen, wenn es mir zu langsam wäre?

N-Rico 20. November 2012 um 14:47 Uhr

Wie funzt das eigentlich mit Backups? Ich habe eine BootCD und mache darüber regelmäßig Backups der gesamten Platte als Image. Wenn Bitlocker mit diesem speziellen Chip vor dem Booten startet, sollten ja die Daten wieder entschlüsselt vorliegen, wenn auch die BootCD gestartet ist, oder?

Aber wie ist das dann mit der 2. Option, wenn das nur über die Richtlinien geht und ich erst Win8 booten muss? Würde dann nicht die BootCD nur verschlüsseltes Zeug erkennen?

Denis 20. November 2012 um 14:57 Uhr

Gibt es irgendwelche Vor- oder Nachteile gegenüber Truecrypt?

Denis 20. November 2012 um 15:12 Uhr

Also ich meine nur im Punkt Sicherheit. Nicht Handhabung oder was welches Programm mehr kann.

dENiS (@denis_pr) 20. November 2012 um 15:15 Uhr

BitLocker im Vergleich zu TrueCrypt – Backdoor oder sicher genug? man weiß ja nie und bei TrueCrypt weiß ich wenigstens, dass es OpenSource vertrieben wird und der Aufschrei wäre schon längst da, wenns ein Backdoor geben würde. Jemand konstruktive Informationen zu dem Thema? Vielen Dank.

Lego 20. November 2012 um 15:28 Uhr

Tolle Sache! Aber der Geschwindigkeitsverlust ist meine grosse Sorge. Hat einer eine SSD drin und kann was berichten?

Stoggy 20. November 2012 um 16:03 Uhr

@eXeler0n Ja, kannst du. Dauert halt nur eine Weile, bis alle Daten wieder entschlüsselt wurden.

@N-Rico Wenn du Backups via Boot CD anfertigen willst, sieht deine Software nur die verschlüsselte Platte (so mein letzter Kenntnisstand. evtl. gibt’s schon Tools die damit umgehen können. Stichwort: Wiederherstellungsschlüssel). Ich nutze für Backups Acronis TrueImage welches ich vom laufenden OS aus starte. Damit bekommt man eine unverschlüsselte Version der Platte.

@Lego Nutze bereits seit einigen Monaten Bitlocker (mit TPM) auf einer SSD und einer normalen HDD (SATA 3Gb/s, 7200). Die Geschwindigkeitseinbußen sind m.E. marginal / nicht spürbar.

utapap 20. November 2012 um 17:03 Uhr

interessanter Beitrag

TomTom77 20. November 2012 um 17:46 Uhr

Bei Windows7 ist die ist Vorgehensweise mit der Gruppenrichtlinie genauso.
Allerdings konnte man ohne TPM nur mit einem USB-Stick freischalten.
Ist das bei Windows8 jetzt anders? Geht auch ein Passwort oder benötigt man hier noch weitere Voraussetzungen?
Muss ich gleich mal testen …

Patrick Krawczyk (@Patrick89bvb) 20. November 2012 um 17:54 Uhr

@Stoggy & N-Rico: Ihr könnt Bitlocker anhalten und einen Backup oder Clon erstellen. Beim Wiederherstellen der Daten, erkennt die Partition, ob der Bitlocker läuft aber nicht aktiviert ist. Da empfehle ich persönlich, im nicht aktivierte Zustand den Rechner neuzustarten und dann wieder Bitlocker zu aktivieren. Dann klappts, ggf. die BEK Datei im USB-Stick oder den 8*8 Key bereit halten.

@Lego: SSD mit Bitlocker ist eine minimale Leistungverlust von ungefähr 20%. Das Schöne an der SSD ist, Botlocker verschlüsselt die Platte nach 30€ (256GB, 80GB belegt). Beim HDD dauerts deutlich länger (250GB, 80GB belegt)

@denis_pr: Backdoors sind nicht bekannt und gilt als sicher! Sonst wird dir diesen Link helfen: http://windows.microsoft.com/en-US/windows7/products/features/bitlocker

Mamasöhnchen 20. November 2012 um 18:00 Uhr

Wie erfahre ich ob meine CPU TPS unterstützt, wo kann man das nachschauen?

Hans 20. November 2012 um 18:11 Uhr

@Mamasöhnchen:
[Win]+R und tpm.msc

Stoggy 20. November 2012 um 18:17 Uhr

@Patrick89bvb Die Möglichkeit Bitlocker temp. zu deaktivieren ist mir bekannt. Allerdings finde ich diesen Ansatz etwas aufwendig, wenn ich jede Woche ein Image von der Platte ziehe. Im laufenden Betrieb klappt das mit TrueImage einwandfrei, ich kann nebenher weiterarbeiten und der Vorgang startet im Hintergrund automatisch.

Mamasöhnchen 20. November 2012 um 18:26 Uhr

@Hans: Danke schön …*schnief meine CPU hat kein TPM

Patrick Krawczyk (@Patrick89bvb) 20. November 2012 um 21:22 Uhr

@Stoggy: Warum verwendest du nicht die interne Backupsystem von Win7/8? Dieser ist sogar besser als TrueImage wenn es um Backup geht. TrueImage nutzen ich lieber zum Clonen. :)

Stoggy 20. November 2012 um 21:50 Uhr

@Patrick89bvb Weil ich bei TrueImage u.a. “Universal Restore” (Erweiterung) oder Verschlüsselung des Backups habe, was mir bei der Win eigenen Lösung fehlt. Prinzipiell bewältigen beide Tools ihren Job gut. Letztendlich unterscheiden sie sich nur anhand der Features. Warum findest du die integrierte Lösung besser?

qupfer 20. November 2012 um 22:56 Uhr

kleiner Hinweis der mich einiges an Nerven gekostet hat. Die Bitlocker-Keyabfrage beim Booten arbeitet mit amerikanischen Layout. Wer ein sicheres Passwort mit Sonderzeichen verwendet, wird daher gerne mal mit “Falsches Kennwort” überrascht ;)

qupfer 20. November 2012 um 23:01 Uhr

okay, laut google hängt es wohl von BIOS etc. ab, aber wer halt Probleme mit dem Kennwort hat, kann ja mal “Einfg” drücken und schauen ob die gedrückten Sondertasten mit den erkannten übereinstimmen

Patrick Krawczyk (@Patrick89bvb) 21. November 2012 um 19:48 Uhr

@Stoggy Okay zusätzlichen Verschlüsselung des Backup ist ein Vorteil wofür man zahlen kann. Aber alles andere benötigst du TrueImage immer. Egal ob Installiert unter Windows (eine weitere Dienst) oder muss gebootet werden.
Beim Backup vom Windows musst du nur dein Backup rauskramen und man erhält eine 1:1 Sicherung, vorallem alle Dateimanagement unter Windows wieder sauber eingetragen.

Aber beide Produkte haben Vor und Nachteile! :)

Kenner 27. November 2012 um 15:57 Uhr

Und was passiert, wenn man das TPM ausschaltet? Also welchen Nachteil hab ich davon? Oder ist das unnötig für die Verschlüsslung? Über Antworten wäre ich erfreut.

Wolfert 7. März 2013 um 18:19 Uhr

hoffe das das hier noch jemand liest, da es der erste beitrag ist der mein problem aufgreift, sonst war google bislang nutzlos…

“Nach Abschluss der Aktivierung von BitLocker ist die Festplatte komplett verschlüsselt und [...]”

Ist wirklich die gesamte FESTPLATTE verschlüsselt?
Oder sind doch weitere Partitionen immernoch unverschlüsselt falls ich die Festplatte an einen anderen Rechner hänge und dort einhänge?

Flo 16. März 2013 um 19:35 Uhr

Man kann für jede Partion einzeln den BitLocker aktivieren und deaktivieren und somit und selber bestimmen ob alle Partionen verschlüsselt werden oder nicht.

Micha 28. Mai 2013 um 00:13 Uhr

hi, also bei mir funktioniert es trotzdem nicht… bekomme beim neustart vor der verschlüsselung (dieser sicherheitscheck vorher, ob alles funktionieren würde) die eine fehlermeldung in bezug auf das TPM, siehe screenshot.

http://imageshack.us/photo/my-images/824/capture2nf.png/

die einstellungen sind genau so gemacht wie von dir beschrieben.

zum testen habe ich auch mal den tpm chip im bios aktiviert (hab den sogar…) gab aber trotzdem dieselbe fehlermeldung.

googeln hilft auch nix, weil die lösungsvorschläge alle deckungsgleich sind mit dem vorgehen was von dir bereits hier beschrieben wurde….

jemand rat? vg, micha

Stoggy 28. Mai 2013 um 00:54 Uhr

@Micha Was sagt denn das Snap-In “TPM-Verwaltung” in der MMC? Dort sollte der Status auf “einsatzbereit” stehen.
Evtl. unterstützt aber deine BIOS die Funktionen auch nicht vollständig. Schau doch mal auf der Hersteller Website ob ein Update oder weitere Infos verfügbar sind.

Micha 28. Mai 2013 um 09:58 Uhr

moin stoggy, thx für die schnelle antwort.

also bios ist aktuell und in der tpm.msc/MMC steht bei mir “the TPM is ready for use”.
die fehlermeldung in meinem vorherigen screenshot sagt ja auch, dass u.U. ownership nicht übernommen wurde. dies ist hier wohl der fall, da die statusmeldung sonst anders ausfallen würde.

hierfür ist es laut TechNet notwendig den tpm zu initialisieren, dich genau dieser knopf der laut der Anleitung gedrückt werden soll ist bei mir nicht vorhanden …

quelle: http://technet.microsoft.com/en-us/library/cc754215.aspx

strange alles, da hat man schon tpm und es funktioniert immer noch nicht…der Artikel hier beschreibt ja quasi einen Workaround für den fall dass man KEIN tpm hat… und selbst dass funktioniert bei mir nicht…

i3erry 3. Dezember 2013 um 23:01 Uhr

Hallo,
ich habe ein Sony Vaio Multiflip ohne TPM mit Win 8 pro. Leider gibt es bei mir nicht die Auswahl zwischen USB Stick und Kennwort, sondern ich werde direkt aufgefordert einen Stick anzustecken. Sollte dass nicht jetzt auch nur mit Kennwort gehen? Hat einer eine Idee woran es liegen kann? Truecrypt geht leider nicht, weil meine SSD irgendwie nicht richtig unterstützt wird.

Rudi 16. Januar 2014 um 22:59 Uhr

So! jetzt habe ich meine Daten(Festplatte) mit BitLocker verschlüsselt. Um mit diesen Daten arbeiten zu können, muss ich also das Laufwerk entschlüsseln.
Alles gut soweit. Jetzt möchte ich die Festplatte wieder schließen (also wieder verschlüsseln) muss ich jedesmal meinen PC herunterfahren und ausschalten um das Laufwerk wieder zu verschlüsseln bzw. diese wieder zu schließen.
Gibt es da eine einfachere Möglichkeit dieses Procedere zu umgehen. Kann man diese Laufwerke sicher wieder verschlüsseln, wenn man mit der Arbeit fertig ist?


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.