Anzeige

BitLocker: Laufwerkverschlüsselung unter Windows 8 aktivieren (auch ohne TPM-Chip)

Und weiter geht es im Security-Bereich, nachdem ich ja eben schon eine Anleitung schrieb, wie ihr eure Systempartition von Windows 8 mit TrueCrypt verschlüsselt. Es wurden Stimmen laut, die meinten, dass sie lieber BitLocker nutzen, da dieses ja integraler Bestandteil von Windows 8 Pro ist, welches ja sicherlich viele durch ein günstiges Update geschossen haben. Im Gegensatz zum verschlüsselnden Dateisystem (Encrypting File System, EFS), mit dem einzelne Dateien verschlüsselt werden können, dient BitLocker zum Verschlüsseln des gesamten Laufwerks.

Werden einem mit BitLocker verschlüsselten Laufwerk frische Dateien hinzugefügt, werden diese automatisiert von BitLocker verschlüsselt, wie bei TrueCrypt also. Die Dateien bleiben verschlüsselt, so lange sie auf dem verschlüsselten Laufwerk gespeichert sind. Dateien, die auf ein anderes Laufwerk oder auf einen anderen Computer kopiert werden, werden automatisch entschlüsselt.

Die Nutzung von BitLocker ist allerdings standardmäßig nur möglich, wenn euer Mainboard einen TPM-Chip hat. (Wikipedia: BitLocker  startet vor dem Betriebssystem und greift standardmäßig auf ein Trusted Platform Module zu, um zu prüfen ob die Hardware unverändert und somit vertrauenswürdig ist.) Viele moderne Rechner verfügen über dieses Trusted Platform Module, allerdings gibt es auch viele Rechner da draußen, die eben jenes Modul nicht haben. Was also tun, wenn man BitLocker dennoch nutzen will?

Im obigen Screenshot die Fehlermeldung, die ihr seht, wenn euer PC keinen TPM-Chip intus hat: Auf diesem Gerät kann kein TPM verwendet werden. Der Administrator muss die Richtlinie „Zusätzliche Authentifizierung beim Start anfordern“ für Betriebssystemvolumes die Option „BitLocker ohne kompatibles TPM zulassen“ festlegen.

Aha. Da wir der Administrator sind, müssen wir die Richtlinie festlegen. Nur wo? Ab in eure neue UI, im Suchfeld Richtlinie eingeben und losrocken:

Im nun auftauchenden Fenster navigieren wie uns zum Punkt Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke und suchen den Punkt „Zusätzliche Authentifizierung beim Starten anfordern“.

Ein Doppelklick schickt uns direkt in die Konfiguration, wo wir deaktivieren, dass ein TPM-Chip Pflicht ist. Schnell einen Haken bei „Aktiviert“ setzen und Bitlocker ohne kompatibles TMP-Modul zulassen.

Danach klickt ihr flott auf „Übernehmen“ und startet wieder Bitlocker. Windows 8 überprüft daraufhin die Kompatibilität des PCs.

Im Anschluss muss der Rechner neu gestartet werden und fragt ab, ob er in Zukunft per Sicherheits-Stick oder Passwort entsperrt werden soll.

Der von euch eingegebene Schlüssel zur Wiederherstellung kann nun nicht nur separat auf einem Stick oder in einer Datei gespeichert werden, sondern auch in eurem Microsoft-Konto:

Im nächsten Schritt dann die entscheidende Frage, ob man den verwendeten Speicherplatz verschlüsseln will, oder das komplette Laufwerk. Ersteres ist für frische Installationen ganz nützlich, alle anderen sollten zur Vollverschlüsselung greifen, da dabei auch die gelöschten Altdaten noch einmal verschlüsselt werden.

Danach kann am PC normal weiter gearbeitet werden, allerdings wird er während der erstmaligen Verschlüsselung etwas langsamer.

Nach Abschluss der Aktivierung von BitLocker ist die Festplatte komplett verschlüsselt und das System bootet nur, wenn ihr das korrekte Passwort eingebt.

In diesem Sinne: Viel Spaß beim Verschlüsseln. Thema Speed und SSD: Ja, man hat messbaren Performanceverlust. Müsst ihr mal ausprobieren, ob euch die Sicherheit die verlorene Performance wert ist. Ich selber spüre auf meinem Notebook davon nichts.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

32 Kommentare

  1. @Stoggy Okay zusätzlichen Verschlüsselung des Backup ist ein Vorteil wofür man zahlen kann. Aber alles andere benötigst du TrueImage immer. Egal ob Installiert unter Windows (eine weitere Dienst) oder muss gebootet werden.
    Beim Backup vom Windows musst du nur dein Backup rauskramen und man erhält eine 1:1 Sicherung, vorallem alle Dateimanagement unter Windows wieder sauber eingetragen.

    Aber beide Produkte haben Vor und Nachteile! 🙂

  2. Und was passiert, wenn man das TPM ausschaltet? Also welchen Nachteil hab ich davon? Oder ist das unnötig für die Verschlüsslung? Über Antworten wäre ich erfreut.

  3. hoffe das das hier noch jemand liest, da es der erste beitrag ist der mein problem aufgreift, sonst war google bislang nutzlos…

    „Nach Abschluss der Aktivierung von BitLocker ist die Festplatte komplett verschlüsselt und […]“

    Ist wirklich die gesamte FESTPLATTE verschlüsselt?
    Oder sind doch weitere Partitionen immernoch unverschlüsselt falls ich die Festplatte an einen anderen Rechner hänge und dort einhänge?

  4. Man kann für jede Partion einzeln den BitLocker aktivieren und deaktivieren und somit und selber bestimmen ob alle Partionen verschlüsselt werden oder nicht.

  5. hi, also bei mir funktioniert es trotzdem nicht… bekomme beim neustart vor der verschlüsselung (dieser sicherheitscheck vorher, ob alles funktionieren würde) die eine fehlermeldung in bezug auf das TPM, siehe screenshot.

    http://imageshack.us/photo/my-images/824/capture2nf.png/

    die einstellungen sind genau so gemacht wie von dir beschrieben.

    zum testen habe ich auch mal den tpm chip im bios aktiviert (hab den sogar…) gab aber trotzdem dieselbe fehlermeldung.

    googeln hilft auch nix, weil die lösungsvorschläge alle deckungsgleich sind mit dem vorgehen was von dir bereits hier beschrieben wurde….

    jemand rat? vg, micha

  6. @Micha Was sagt denn das Snap-In „TPM-Verwaltung“ in der MMC? Dort sollte der Status auf „einsatzbereit“ stehen.
    Evtl. unterstützt aber deine BIOS die Funktionen auch nicht vollständig. Schau doch mal auf der Hersteller Website ob ein Update oder weitere Infos verfügbar sind.

  7. moin stoggy, thx für die schnelle antwort.

    also bios ist aktuell und in der tpm.msc/MMC steht bei mir „the TPM is ready for use“.
    die fehlermeldung in meinem vorherigen screenshot sagt ja auch, dass u.U. ownership nicht übernommen wurde. dies ist hier wohl der fall, da die statusmeldung sonst anders ausfallen würde.

    hierfür ist es laut TechNet notwendig den tpm zu initialisieren, dich genau dieser knopf der laut der Anleitung gedrückt werden soll ist bei mir nicht vorhanden …

    quelle: http://technet.microsoft.com/en-us/library/cc754215.aspx

    strange alles, da hat man schon tpm und es funktioniert immer noch nicht…der Artikel hier beschreibt ja quasi einen Workaround für den fall dass man KEIN tpm hat… und selbst dass funktioniert bei mir nicht…

  8. Hallo,
    ich habe ein Sony Vaio Multiflip ohne TPM mit Win 8 pro. Leider gibt es bei mir nicht die Auswahl zwischen USB Stick und Kennwort, sondern ich werde direkt aufgefordert einen Stick anzustecken. Sollte dass nicht jetzt auch nur mit Kennwort gehen? Hat einer eine Idee woran es liegen kann? Truecrypt geht leider nicht, weil meine SSD irgendwie nicht richtig unterstützt wird.

  9. So! jetzt habe ich meine Daten(Festplatte) mit BitLocker verschlüsselt. Um mit diesen Daten arbeiten zu können, muss ich also das Laufwerk entschlüsseln.
    Alles gut soweit. Jetzt möchte ich die Festplatte wieder schließen (also wieder verschlüsseln) muss ich jedesmal meinen PC herunterfahren und ausschalten um das Laufwerk wieder zu verschlüsseln bzw. diese wieder zu schließen.
    Gibt es da eine einfachere Möglichkeit dieses Procedere zu umgehen. Kann man diese Laufwerke sicher wieder verschlüsseln, wenn man mit der Arbeit fertig ist?

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.