Archiv für den Monat: Februar 2016

Windows 7 Bitlocker

Tutorial: Windows Bitlocker Laufwerksverschlüsselung richtig umsetzen

Ich erläutere hier kurz was Windows Bitlocker ist, in welchen Windows Versionen das Feature verfügbar ist und erkläre anhand eines Beispiels mit einem Lenovo ThinkPad T550 und Windows 7 Ultimate, wie man innerhalb des Betriebssystems und im BIOS/UEFI alles richtig konfiguriert damit man ein möglichst abgesichertes aber trotzdem sehr konfortables System erhält. Ich gehe beim Tutorial davon aus dass das Notebook teil einer Windows Domäne ist, und die Anmeldung an der Domäne durch ein Passwort geschützt ist.

 

Was ist Bitlocker und in welchen Windows Versionen es das Feature verfügbar:

Bitlocker ist ein Verschlüsselungstool für Laufwerke von Microsoft. Es nutzt das Trusted Plattform Module (TPM) und kann ganze Laufwerke nach dem Advanced Encryption Standard (AES) verschlüsseln. Der Verschlüsselungsstandard AES gilt bis heute als nicht angreifbar.

Bitlocker ist in den Ultimate- und Enterprise-Versionen von Windows Vista und Windows 7, sowie den Pro- und Enterprise-Versionen von Windows 8, Windows 8.1 und Windows 10 enthalten.

 

Was ist TPM:

Vereinfacht ausgedrückt ist das Trusted Plattform Module ein Chip im Computer der ähnlich wie eine Smartcard, einen eindeutigen kryptografischen Schlüssel besitzt und diverse, hardwaregebundene Sicherheitsfunktionen übernehmen kann.

 

Was sind die Vorteile von Bitlocker gegenüber anderen Tools:

Der allergrösste Vorteil ist, das Bitlocker sich transparent ins System integrieren lässt. Der Benutzer merkt keinen Unterschied in der Bedienung und muss sich nicht mit zusätzlicher Software und deren Bedienung auseinandersetzen.

 

Wie konfiguriere ich mein ThinkPad zusammen mit der Bitlocker Laufwerksverschlüsselung:

Bitlocker kann unter Systemsteuerung –> BitLocker- Laufwerkverschlüsselung aktiviert werden.

Bitlocker unter Windows 7 aktivieren Bild 1

Bitlocker unter Windows 7 aktivieren Bild 2

Bei den meisten Notebooks ist das TPM standardmässig nicht eingeschaltet. Es wird nun durch den Bitlocker-Assistenten eingeschaltet.

Bitlocker unter Windows 7 aktivieren Bild 3

Es ist wichtig, wie beschrieben alle CDs, DVDs oder USB-Flashlaufwerke vom Computer zu entfernen, denn das TPM speichert nun den Hardware-Zustand des Notebooks. Nur bei unverändertem Hardware-Zustand, wird zukünftig das verschlüsselte Laufwerk freigegeben (oder aber man hat den Wiederherstellungsschlüssel zur Hand). Damit wird verhindert das die verschlüsselte Festplatte später ausgebaut und in einem anderen Computer angegriffen werden kann.

Bitlocker unter Windows 7 aktivieren Bild 4

Nach einem Neustart…

Bitlocker unter Windows 7 aktivieren Bild 5

…wird dann der Wiederherstellungsschlüssel generiert. Diesen sollte man unbedingt an einem sicheren Ort aufbewahren. Wenn dieser Wiederherstellungsschlüssel fehlt und sich die Hardwarekonfiguration des Computers ändert, oder der Computer kaputt geht und das verschlüsselte Laufwerk ausgebaut werden muss, kann NIE WIEDER auf die Daten zugegriffen werden!!!

Bitlocker unter Windows 7 aktivieren Bild 6

Die Systemüberprüfung führe ich immer aus. Mann weiss ja nie…

Bitlocker unter Windows 7 aktivieren Bild 7

Bitlocker unter Windows 7 aktivieren Bild 8

Nach einem erneuten Neustart wird das Laufwerk verschlüsselt. Dies kann eine Weile dauern.

Bitlocker unter Windows 7 aktivieren Bild 9

 

Mit der Verschlüsselung des Laufwerks ist aber noch nicht alles erledigt. Zusätzliche Sicherheit erhält man durch wichtige BIOS oder UEFI Einstellugen. Hier am Beispiel eines Lenovo ThinkPad T550 erläutert.

Zum einen sollte nur das verschlüsselte Systemlaufwerk zum Booten genutzt werden können. Dies verhindert dass auf dem Notebook z.B. von einer Live CD gebootet und danach eventuell das TPM und das verschlüsselte Systemlaufwerk zusammen angegriffen werden können.

Bitlocker mit Lenovo ThinkPad T550 Techaware Bild 1

Nur noch die verschlüsselte Systemfestplatte sollte in der Boot-Reihenfolge übrig bleiben. Alle anderen Optionen sollten von der Boot-Reihenfolge ausgeschlossen werden.

Bitlocker mit Lenovo ThinkPad T550 Techaware Bild 2

Zusätzlich sollte die Boot Reihenfolge gesperrt werden. Nur für denn Fall das irgend ein Gerät trotzdem unter den bootfähigen Laufwerken auftauchen sollte.

Bitlocker mit Lenovo ThinkPad T550 Techaware Bild 3

Die ganzen BIOS/UEFI Einstellugen machen aber nur sinn wenn deren Veränderung ebenfalls durch ein Passwort geschützt wird.

Bitlocker mit Lenovo ThinkPad T550 Techaware Bild 4

Dazu sollte man zuerst ein starkes Supervisor Passwort setzen. Mit “Lock UEFI BIOS Settings” kann zudem verhindert werden BIOS/UEFI Einstellugen durch unautorisierte Benutzer verändert werden können. Zusätzliche Sicherheit erhält man durch das Setzen eines Power-On Passworts.

Bitlocker mit Lenovo ThinkPad T550 Techaware Bild 5

Windows 7

Windows 7 Suche funktioniert nicht

Vorgeschichte:

Auf einem Rechner in der Domäne funktionierte auf einmal die Windows Suche bzw. die Suchleiste oben rechts im Explorer nicht mehr. Komischerweise funktionierte die Suche auf den lokalen Laufwerken C:\ usw. und auch die Suchleiste im Startmenü funktionierte.

Aber auf den gemappten Laufwerken in der Domäne funktionierte die Windows Suche nicht.

 

Systemumgebung:

Client: Windows 7 Pro x64 SP1

gemappte Laufwerke: auf Windows Server 2003 SP2

 

Problem:

Egal was man in die Suchleiste eingegeben hat, es wurde augenblicklich “Es wurden keine Suchergebnisse gefunden” ausgegeben.

Was ich schon ausprobiert habe (aber nicht zur Lösung führte)

1. Unter Start –> Systemsteuerung –> Programme und Funktionen –> Windows Funktionen aktivieren oder deaktivieren; die Funktion  Windows Search deaktiviert und nach einem Neustart wieder aktiviert. Ohne Ergebnis.

2. Unter Start –> Systemsteuerung –> Programme und Funktionen –> Windows Funktionen aktivieren oder deaktivieren; die Funktion “Windows Search” deaktiviert und nach einem Neustart unter C:\ProgramData\Microsoft\Search\Data\Applications den Ordner Windows in Windows.old umbenannt. Danach die Funktion “Windows Search” wieder aktiviert (und wieder einen Neustart durchgeführt). Ohne Ergebnis.

3. Unter Start –> Systemsteuerung –> Indizierungsoptionen –> Erweitert –> Indexeinstellungen; die Option “neu erstellen” gedrückt. Daraufhin wurde der Index auch neu erstellt (dauert eine Weile). Doch auch dieser Lösungsansatz blieb ohne Ergebnis.

4. Virenscanner (Trendmicro) und die Windows Firewall deaktiviert/aktiviert. Ohne Ergebnis.

5. Unter Start –> Systemsteuerung –> Problembehandlung –> Alles anzeigen –> Suche und Indizierung; den Problembehebungsassistenten ausgeführt. Der Fehler wurde (selbsterständlich) nicht behoben und stattdessen wurde “Falsche Berechtigungen für Windows-Search-Verzeichnisse” als Fehlerursache ausgegeben.

6. Unter Start –> Ausführen –> services.msc; geprüft ob der Dienst “Windows Search” läuft. Das tat er (Automatisch (Verzögerter Start))

 

Lösung:

Im Windows Explorer unter –> Organisieren –> Ordner- und Suchoptionen –> Suchen; den Haken bei “Index beim Suchen in Dateiordnern nach Systemdateien nicht verwenden (die Suchvorgänge dauern möglicherweise länger)” gesetzt.

Seither funktioniert die Windows-Suche wieder einwandfrei.