Windows 7 Bitlocker

Tutorial: Windows Bitlocker Laufwerksverschlüsselung richtig umsetzen

Ich erläutere hier kurz was Windows Bitlocker ist, in welchen Windows Versionen das Feature verfügbar ist und erkläre anhand eines Beispiels mit einem Lenovo ThinkPad T550 und Windows 7 Ultimate, wie man innerhalb des Betriebssystems und im BIOS/UEFI alles richtig konfiguriert damit man ein möglichst abgesichertes aber trotzdem sehr konfortables System erhält. Ich gehe beim Tutorial davon aus dass das Notebook teil einer Windows Domäne ist, und die Anmeldung an der Domäne durch ein Passwort geschützt ist.

 

Was ist Bitlocker und in welchen Windows Versionen es das Feature verfügbar:

Bitlocker ist ein Verschlüsselungstool für Laufwerke von Microsoft. Es nutzt das Trusted Plattform Module (TPM) und kann ganze Laufwerke nach dem Advanced Encryption Standard (AES) verschlüsseln. Der Verschlüsselungsstandard AES gilt bis heute als nicht angreifbar.

Bitlocker ist in den Ultimate- und Enterprise-Versionen von Windows Vista und Windows 7, sowie den Pro- und Enterprise-Versionen von Windows 8, Windows 8.1 und Windows 10 enthalten.

 

Was ist TPM:

Vereinfacht ausgedrückt ist das Trusted Plattform Module ein Chip im Computer der ähnlich wie eine Smartcard, einen eindeutigen kryptografischen Schlüssel besitzt und diverse, hardwaregebundene Sicherheitsfunktionen übernehmen kann.

 

Was sind die Vorteile von Bitlocker gegenüber anderen Tools:

Der allergrösste Vorteil ist, das Bitlocker sich transparent ins System integrieren lässt. Der Benutzer merkt keinen Unterschied in der Bedienung und muss sich nicht mit zusätzlicher Software und deren Bedienung auseinandersetzen.

 

Wie konfiguriere ich mein ThinkPad zusammen mit der Bitlocker Laufwerksverschlüsselung:

Bitlocker kann unter Systemsteuerung –> BitLocker- Laufwerkverschlüsselung aktiviert werden.

Bitlocker unter Windows 7 aktivieren Bild 1

Bitlocker unter Windows 7 aktivieren Bild 2

Bei den meisten Notebooks ist das TPM standardmässig nicht eingeschaltet. Es wird nun durch den Bitlocker-Assistenten eingeschaltet.

Bitlocker unter Windows 7 aktivieren Bild 3

Es ist wichtig, wie beschrieben alle CDs, DVDs oder USB-Flashlaufwerke vom Computer zu entfernen, denn das TPM speichert nun den Hardware-Zustand des Notebooks. Nur bei unverändertem Hardware-Zustand, wird zukünftig das verschlüsselte Laufwerk freigegeben (oder aber man hat den Wiederherstellungsschlüssel zur Hand). Damit wird verhindert das die verschlüsselte Festplatte später ausgebaut und in einem anderen Computer angegriffen werden kann.

Bitlocker unter Windows 7 aktivieren Bild 4

Nach einem Neustart…

Bitlocker unter Windows 7 aktivieren Bild 5

…wird dann der Wiederherstellungsschlüssel generiert. Diesen sollte man unbedingt an einem sicheren Ort aufbewahren. Wenn dieser Wiederherstellungsschlüssel fehlt und sich die Hardwarekonfiguration des Computers ändert, oder der Computer kaputt geht und das verschlüsselte Laufwerk ausgebaut werden muss, kann NIE WIEDER auf die Daten zugegriffen werden!!!

Bitlocker unter Windows 7 aktivieren Bild 6

Die Systemüberprüfung führe ich immer aus. Mann weiss ja nie…

Bitlocker unter Windows 7 aktivieren Bild 7

Bitlocker unter Windows 7 aktivieren Bild 8

Nach einem erneuten Neustart wird das Laufwerk verschlüsselt. Dies kann eine Weile dauern.

Bitlocker unter Windows 7 aktivieren Bild 9

 

Mit der Verschlüsselung des Laufwerks ist aber noch nicht alles erledigt. Zusätzliche Sicherheit erhält man durch wichtige BIOS oder UEFI Einstellugen. Hier am Beispiel eines Lenovo ThinkPad T550 erläutert.

Zum einen sollte nur das verschlüsselte Systemlaufwerk zum Booten genutzt werden können. Dies verhindert dass auf dem Notebook z.B. von einer Live CD gebootet und danach eventuell das TPM und das verschlüsselte Systemlaufwerk zusammen angegriffen werden können.

Bitlocker mit Lenovo ThinkPad T550 Techaware Bild 1

Nur noch die verschlüsselte Systemfestplatte sollte in der Boot-Reihenfolge übrig bleiben. Alle anderen Optionen sollten von der Boot-Reihenfolge ausgeschlossen werden.

Bitlocker mit Lenovo ThinkPad T550 Techaware Bild 2

Zusätzlich sollte die Boot Reihenfolge gesperrt werden. Nur für denn Fall das irgend ein Gerät trotzdem unter den bootfähigen Laufwerken auftauchen sollte.

Bitlocker mit Lenovo ThinkPad T550 Techaware Bild 3

Die ganzen BIOS/UEFI Einstellugen machen aber nur sinn wenn deren Veränderung ebenfalls durch ein Passwort geschützt wird.

Bitlocker mit Lenovo ThinkPad T550 Techaware Bild 4

Dazu sollte man zuerst ein starkes Supervisor Passwort setzen. Mit “Lock UEFI BIOS Settings” kann zudem verhindert werden BIOS/UEFI Einstellugen durch unautorisierte Benutzer verändert werden können. Zusätzliche Sicherheit erhält man durch das Setzen eines Power-On Passworts.

Bitlocker mit Lenovo ThinkPad T550 Techaware Bild 5

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.