BitLocker: Laufwerkverschlüsselung unter Windows 8 aktivieren (auch ohne TPM-Chip)

Und weiter geht es im Security-Bereich, nachdem ich ja eben schon eine Anleitung schrieb, wie ihr eure Systempartition von Windows 8 mit TrueCrypt verschlüsselt. Es wurden Stimmen laut, die meinten, dass sie lieber BitLocker nutzen, da dieses ja integraler Bestandteil von Windows 8 Pro ist, welches ja sicherlich viele durch ein günstiges Update geschossen haben. Im Gegensatz zum verschlüsselnden Dateisystem (Encrypting File System, EFS), mit dem einzelne Dateien verschlüsselt werden können, dient BitLocker zum Verschlüsseln des gesamten Laufwerks.

Werden einem mit BitLocker verschlüsselten Laufwerk frische Dateien hinzugefügt, werden diese automatisiert von BitLocker verschlüsselt, wie bei TrueCrypt also. Die Dateien bleiben verschlüsselt, so lange sie auf dem verschlüsselten Laufwerk gespeichert sind. Dateien, die auf ein anderes Laufwerk oder auf einen anderen Computer kopiert werden, werden automatisch entschlüsselt.

Die Nutzung von BitLocker ist allerdings standardmäßig nur möglich, wenn euer Mainboard einen TPM-Chip hat. (Wikipedia: BitLocker  startet vor dem Betriebssystem und greift standardmäßig auf ein Trusted Platform Module zu, um zu prüfen ob die Hardware unverändert und somit vertrauenswürdig ist.) Viele moderne Rechner verfügen über dieses Trusted Platform Module, allerdings gibt es auch viele Rechner da draußen, die eben jenes Modul nicht haben. Was also tun, wenn man BitLocker dennoch nutzen will?

Im obigen Screenshot die Fehlermeldung, die ihr seht, wenn euer PC keinen TPM-Chip intus hat: Auf diesem Gerät kann kein TPM verwendet werden. Der Administrator muss die Richtlinie „Zusätzliche Authentifizierung beim Start anfordern“ für Betriebssystemvolumes die Option „BitLocker ohne kompatibles TPM zulassen“ festlegen.

Aha. Da wir der Administrator sind, müssen wir die Richtlinie festlegen. Nur wo? Ab in eure neue UI, im Suchfeld Richtlinie eingeben und losrocken:

Im nun auftauchenden Fenster navigieren wie uns zum Punkt Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke und suchen den Punkt „Zusätzliche Authentifizierung beim Starten anfordern“.

Ein Doppelklick schickt uns direkt in die Konfiguration, wo wir deaktivieren, dass ein TPM-Chip Pflicht ist. Schnell einen Haken bei „Aktiviert“ setzen und Bitlocker ohne kompatibles TMP-Modul zulassen.

Danach klickt ihr flott auf „Übernehmen“ und startet wieder Bitlocker. Windows 8 überprüft daraufhin die Kompatibilität des PCs.

Im Anschluss muss der Rechner neu gestartet werden und fragt ab, ob er in Zukunft per Sicherheits-Stick oder Passwort entsperrt werden soll.

Der von euch eingegebene Schlüssel zur Wiederherstellung kann nun nicht nur separat auf einem Stick oder in einer Datei gespeichert werden, sondern auch in eurem Microsoft-Konto:

Im nächsten Schritt dann die entscheidende Frage, ob man den verwendeten Speicherplatz verschlüsseln will, oder das komplette Laufwerk. Ersteres ist für frische Installationen ganz nützlich, alle anderen sollten zur Vollverschlüsselung greifen, da dabei auch die gelöschten Altdaten noch einmal verschlüsselt werden.

Danach kann am PC normal weiter gearbeitet werden, allerdings wird er während der erstmaligen Verschlüsselung etwas langsamer.

Nach Abschluss der Aktivierung von BitLocker ist die Festplatte komplett verschlüsselt und das System bootet nur, wenn ihr das korrekte Passwort eingebt.

In diesem Sinne: Viel Spaß beim Verschlüsseln. Thema Speed und SSD: Ja, man hat messbaren Performanceverlust. Müsst ihr mal ausprobieren, ob euch die Sicherheit die verlorene Performance wert ist. Ich selber spüre auf meinem Notebook davon nichts.