Festplatte verschlüsseln mit BitLocker ohne TPM unter Windows 10

BitLocker Kennworteingabe

Nachdem ich meine beiden Notebooks neu mit Windows 10 Professional installiert und die Datensicherung mit veeam Endpoint eingerichtet habe steht nun die Verschlüsselung der Notebooks an. Wer sich weitgehender mit dem Thema auseinander setzen möchte findet in den Anmerkungen des Artikels einige Links mit zusätzlichem Lesestoff.

Ich habe mich für die Verschlüsselung mit BitLocker entschieden. Auch aus dem Grund heraus das sich BitLocker in einer Active Directory Umgebung administrieren lässt. Hierzu stellt Microsoft diverse Features und Powershell Befehle bereit. In meinem hier gezeigt Beispiel allerdings ohne AD Integration.

Hier eine Aufstellung der Microsoft Betriebssysteme die BitLocker unterstützen

  • Windows 7 (Enterprise, Ultimate)
  • Windows 8, 8.1 (Pro und Enterprise)
  • Windows 10 (Pro, Enterprise, Education, Mobile und Mobile Enterprise)
  • Windows Server 2008 R2
  • Windows Server 2012, Windows Server 2012 R2

Klassische Heimanwender schauen in die Röhre und müssen auf Drittanbieter Tools ausweichen. Der Markt hierzu ist groß. Ich würde dem TrueCrypt Nachfolger VeraCrypt empfehlen.

Grundsätzlich verschlüssele ich Systeme nur Vollständig. Das hat den Vorteil das man nicht darauf achten muss ob sich kritische Informationen außerhalb des Verschlüsselten Bereiches befinden.

Verschlüsseltes Laufwerk mit Microsoft BitLocker
Verschlüsseltes Laufwerk mit Microsoft BitLocker

Ja mir ist bewusst das es Möglichkeiten gibt die Verschlüsselung zu umgehen. In diesem Artikel des Guardian wird auf die von Edward Snowden 2013 veröffentlichten Unterlagen bestätigt das Microsoft der NSA behilflich war die Verschlüsselung aufzuheben.
Ich möchte lediglich dafür sorgen das bei Verlust bzw. Diebstahl verhindert wird das Fremde Zugriff auf Daten erhalten.

Um die Leistungsfähigkeit vorher/nachher zu vergleichen habe ich einen Test mit CrystalDiskMark und AS SSD Benchmark gemacht.

Meine verwendeten SSDs verfügen nicht über eine Selbstverschlüsselung (Self-Encrypting Drive). Dies hat den Nachteil das die CPU die Rechenleistung zur Verfügung stellen muss und nicht ein in der SSD integrierter Chip. Mit dem seit Windows 8 verfügbaren eDrive Feature würde BitLocker eine vollständige Hardwareverschlüsselung unterstützen.

Da es sich bei meinen Vaio Notebook um ein Consumer Produkt handelt verfügt es nicht über einen TPM-Chip. Oft gibt es Unklarheiten bezüglich des TPM-Chip. Dieser verwalten den Key und sorgt dafür das bei Systemmanipulationen das Laufwerk nicht entschlüsselt wird. Würde eine solche Festplatte in einen anderen Rechner eingebaut, ist ein Zugriff auf die Daten nicht möglich.
Werden Bauteile ausgetauscht, z.B. das Mainboard im Servicefall muss mit dem Recovery Key das neue TPM Modul initialisiert werden.

Bleibt die Hardware unverändert, muss lediglich das Gerät einschaltet werden und hat bis auf ein leicht zu Umgehendes Windows-Kennwort Zugriff auf das System. Somit hat die Verschlüsselung als Schutz vor unbefugtem Zugriff erstmal keine Wirkung.

In meinem Fall muss die Gruppenrichtlinie „Zusätzliche Authentifizierung beim Start anfordern“ und „BitLocker ohne Kompatibles TPM zulassen“ aktivieren.

Damit BitLocker funktioniert müssen mindestens zwei Partitionen vorhanden sein.

  • Die Systempartition die NTFS formatiert sein muss (Normalerweise Laufwerk C:). BitLocker verschlüsselt diese Vollständig mit Ausnahme des Bootsektors und teilen mit BitLocker-Metadaten.
  • Eine Zweite Unverschlüsselte Partition damit Windows gestartet werden kann. Die Start-Partition muss Ebenfalls NTFS formatiert sein. Seit Windows 7 wird diese ca 500MB große Startpartition  autom. bei der Installation angelegt. Sollte diese nicht vorhanden sein wird bei der Aktivierung von BitLocker die Partition erstellt.

Wie bei allen Systemeingriffen sollte vorher ein Vollbackup erstellt werden!

Gruppenrichtlinie bearbeiten

Damit wir ohne TPM-Modul BitLocker verwenden können und ein Kennwort bei Systemstart abgefragt wird muss zuerst eine lokale Gruppenrichtlinie bearbeitet werden.
Wir öffnen den Gruppenrichtlinien Editor und navigieren zu dem Schlüssel Computerkonfiguration\ Administrative Vorlagen\ Windows-Komponenten\ BitLocker-Laufwerksverschlüsselung\ Betriebssystemlaufwerke

Hier müssen folgende Werte geändert werden:

  • Zusätzliche Authentifizierung beim Start anfordern
  • BitLocker ohne kompatibles TPM zulassen

BitLocker aktivieren

Jetzt kann die Verschlüsselung des Laufwerks durchgeführt werden. Dies geht mit ein paar Mausklicks.

Wichtig ist der Wiederherstellungsschlüssel. Dieser wird im falle eine Falles unbedingt benötigt! Ohne diesen Schlüssel ist ein späteres Wiederherstellen der Daten unmöglich. Speichern Sie sich diesen Schlüssel also unbedingt ab. Ruhig mehrfach an unterschiedlichen stellen. Zusätzlich empfehle ich immer den Schlüssel parallel dazu auszudrucken.

Die Sicherheit steht und fällt mit dem Password das gewählt wird. Ich selbst habe ein 19 stelliges Password mit Zahlen, Sonderzeichen, groß- und Kleinbuchstaben. Dies sollte ausreichen um jemand der das Notebook mal eben findet vor ein unlösbares Problem zu stellen.

Einen weiteren Tipp habe ich noch für Sie. Stellen Sie die Tastatur auf English um wenn Sie das Password eingeben. Denn beim Systemstart wird die Englische Tastaturbelegung verwendet.

Hier die Einrichtung zusammengefasst.

Performance

Wie bereits in der Einleitung habe ich Vor und nach der Verschlüsselung einen Test mit zwei Tools gemacht um den „Leistungsverlust“ durch die Verschlüsselung zu dokumentieren. Mein Betriebliches Notebook ist bereits seit 3 Jahren mit BitLocker verschlüsselt. Ich konnte auch mit klassischen Festplatten im täglichen Betrieb keine Unterschiede bemerken.

Mein persönlicher Eindruck spiegelt sich auch im Benchmark wieder. Ich habe für den Test keine Einstellungen optimiert, auch der Antivirus lief währenddessen.

CrystalDiskMark
Benchmark mit CrystalDiskMark. Die Leistung wird zwar Messbar beeinflusst, Im Tagesbetrieb mit Office und Co werden diese aber nicht auffallen.

 

Anmerkungen:

  • Wie man ein sicheres Passwort erstellt und sich merken kann. Ein Artikel bei Stern
  • Aktuell teste ich BitLocker in einer Domainstruktur (Server 2012 R2, Windows 7 und Windows 10 Clients). Ein Artikel dazu werde ich auch Aufbereiten.
  • Ein Umfassender Leitfaden des Frauenhofer Institut kann man hier finden
  • Allgemeine Informationen und Mögliche Angriffsszenarien werden hier aufgezählt. Zusätzlich noch ein Artikel bei Heise
  • eine weitere Funktion ist BitLocker To Go für Wechseldatenträger, hier der passende Download eines Lesetool (kein Schreibzugriff) für Windows XP
  • oclHashcat, ein Angriffstool für Truecrypt, Hier ein Artikel der PCWelt
  • Im BSI für Bürger und auf der Seite des BSI gibt es einige Artikel dazu
  • Technet Artikel zu BitLocker und Windows 7
  • Hersteller wie Passware oder Elcomsoft bieten Programme zum Angriff bzw. der Datenrettung an

 

2 Gedanken zu „Festplatte verschlüsseln mit BitLocker ohne TPM unter Windows 10“

  1. Sehr cooler Artikel, danke! Ich habe mit BitLocker auch gute Erfahrungen gemacht. Wie sehen deine bisherigen Erfahrungen mit VeraCrypt aus? Durchweg positiv?

  2. Hallo Tim,

    Mit VeraCrypt habe ich bisher nichts gemacht und kann darüber nur spekulieren.

    Dieser Artikel zielt darauf ab Bitlocker im Unternehmen flächendeckend für Notebooks zu verwenden.

    LG, Kai

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.