• Artikel

Sicherheit

Schlüssel zum Schützen von Daten durch BitLocker-Laufwerkverschlüsselung

Byron Hynes

 

Kurz zusammengefasst:

  • Verschlüsselung ganzer Volumes
  • BitLocker-Schlüssel
  • Einrichten von BitLocker

Windows BitLocker-Laufwerkverschlüsselung ist mit Sicherheit eine der am meisten diskutierten Windows Vista-Features. Leider hatten die meisten Leute noch keine Gelegenheit zum Testen von BitLocker, um aus erster Hand herauszufinden,

was es kann und wie es funktioniert – vor allem nicht auf einem Computer mit einem TPM (Trusted Platform Module). In diesem Artikel stelle ich die Grundlagen von BitLocker™ vor, damit Sie das Potenzial dieses Features beurteilen und es in Ihre Aktualisierungsplanung einbeziehen können. Zunächst erhalten Sie einige Hintergrund- und Konzeptinformationen, und anschließend wird erörtert, wie BitLocker aktiviert wird, wie Datenwiederherstellungen durchgeführt werden, wie die Verwaltung funktioniert und wie BitLocker am Ende der Lebensdauer eines Computers eingesetzt werden kann. Sehen Sie sich die Randleiste „Datenträger und Volumes“ an, damit Sie die Fachbegriffe besser verstehen können.

Datenträger und Volumes

Die im Zusammenhang mit Datenträgern und Volumes verwendete Terminologie kann oft verwirrend sein. Zu Ihrer Information folgt hier ein kurzes Glossar.

Partition: Eine Partition ist ein Abschnitt einer physischen Festplatte. Sie ist eine logische Struktur, die in einer auf dem Datenträger gespeicherten Partitionstabelle definiert ist.

Volume: Ein Volume ist eine logische Struktur in Windows, die aus einer oder mehreren Partitionen besteht und durch eine Windows-Komponente namens „Volume-Manager“ definiert wird. Abgesehen vom Volume-Manager und den Systemstartkomponenten arbeiten die übrigen Betriebssystemkomponenten und Anwendungen nicht mit Partitionen, sondern mit Volumes. Im Fall von Windows-Clientbetriebssystemen einschließlich Windows Vista besteht zwischen Partitionen und Volumes normalerweise eine 1:1-Beziehung. Bei Servern besteht ein Volume oft aus mehreren Partitionen, z. B. in einer typischen RAID-Konfiguration.

Aktive Partition: Es kann immer nur eine einzige Partition als aktive Partition gekennzeichnet sein. Dies ist die Partition, die den Bootsektor enthält, der zum Starten des Betriebssystems verwendet wird. Die aktive Partition wird manchmal auch als Systempartition oder Systemvolume bezeichnet, aber diese Begriffe dürfen nicht mit dem Windows-BS-Volume verwechselt werden.

Windows-BS-Volume: Dieses Volume enthält die Windows-Installation einschließlich der Ordner „System“ und „System32“. Vor der Veröffentlichung von Windows Vista (und auch heute noch) wurde die Bezeichnung „Startpartition“ verwendet. Der Begriff „Windows-BS-Volume“ ist klarer und führt zu keiner Verwechslung zwischen Startpartition und Systempartition. Früher haben Schulungsleiter ihren Kursteilnehmern oft eingeprägt, dass sie „von der Systempartition starten und sich die Systemdateien auf der Startpartition befinden“.

Vor Windows Vista waren das Windows-BS-Volume (auch Startpartition genannt) und die aktive Partition (auch Systempartition genannt) identisch, weil bei den meisten Clientcomputern die Festplatten als eine einzige große Partition konfiguriert wurden. In Abbildung A sind die Funktionen zu sehen, die jeder Partition oder jedem Volume in der Datenträgerverwaltungskonsole in Windows Vista zugewiesen sind.

Abbildung A Partitionsfunktionen

Abbildung A** Partitionsfunktionen **(Klicken Sie zum Vergrößern auf das Bild)

BitLocker führt zwei Aufgaben aus, die sich zwar ergänzen, aber trotzdem getrennt sind. Erstens stellt BitLocker eine vollständige Laufwerkverschlüsselung für das Windows®-BS-Laufwerk bereit. Zweitens bietet BitLocker auf Computern mit einem kompatiblen TPM eine Möglichkeit, die Integrität der frühen Systemstartkomponenten zu prüfen, bevor ein Start von Windows Vista™ erlaubt wird.

Um die gesamte BitLocker-Funktionalität nutzen zu können, muss Ihr Computer einen kompatiblen TPM-Mikrochip und ein kompatibles BIOS besitzen. Unter kompatibel ist dabei ein TMP und ein BIOS der Version 1.2 zu verstehen, die das TPM und die SRTM (Static Root of Trust Measurement) gemäß der von der Trusted Computing Group (TCG) vorgegebenen Definition unterstützen. Trotzdem können auch Computer ohne kompatibles TPM und BIOS die BitLocker-Verschlüsselung verwenden.

Verschlüsselung ganzer Volumes

BitLocker stellt eine vollständige Laufwerkverschlüsselung bereit, um sicherzustellen, dass alle Daten, die auf das Windows-BS-Laufwerk geschrieben werden, verschlüsselt werden. Dies ist der entscheidende Faktor zum Schutz vertraulicher Informationen auf den Computern Ihrer Organisation, insbesondere auf Laptops und anderen tragbaren Computern.

Täglich werden tragbare Computer gestohlen oder kommen abhanden. Da immer mehr tragbare Computer zum Einsatz kommen und die Arbeitskräfte immer mobiler werden, kann ein einziger Mitarbeiter Hunderte von Gigabyte an Geschäftsgeheimnissen, vertraulichen Dokumenten oder personenbezogenen Informationen (personally identifiable information, PII) von Kunden Ihrer Organisation bei sich tragen. Bei einer Suche in den Nachrichtenmedien wird sofort deutlich, dass viel zu viele dieser Daten verloren gehen. (Dem Privacy Rights Clearinghouse zufolge sind seit 2005 über 104 Millionen Datensätze, die persönliche Informationen enthalten, verloren gegangen oder veröffentlicht worden.)

Die meisten Organisationen sind bereits gesetzlich und firmenintern dazu verpflichtet, viele Arten privater Informationen zu schützen. Doch selbst dann, wenn Sie nicht bereits per Gesetz dazu verpflichtet sind, liegt es wahrscheinlich in Ihrem besten Geschäftsinteresse, dies zu tun.

Wozu das ganze Volume verschlüsseln?

Wenn Sie ein erfahrener Windows-Administrator sind, sind Sie wahrscheinlich bereits mit Windows-basierten Verschlüsselungsoptionen wie dem verschlüsselnden Dateisystem (Encrypting File System, EFS) und vielleicht auch der Verschlüsselung und dem Schutz, den Rechteverwaltungsdienste (Rights Management Services, RMS) bieten, vertraut. Der große Unterschied zwischen diesen Verschlüsselungsoptionen und BitLocker besteht darin, dass BitLocker nach der Aktivierung automatisch erfolgt, transparent arbeitet und das gesamte Volume erfasst.

Bei EFS müssen Sie beispielsweise genau angeben, welche Dateien und Ordner geschützt werden sollen. In Windows Vista gibt es einige neue Optionen, die EFS flexibler machen, und sowohl EFS als auch RMS eignen sich für manche Szenarios, für die BitLocker nicht geeignet ist. Doch EFS und RMS erfordern eine aufwändige Administratorkonfiguration und wurden nicht dafür entwickelt, alle auf dem Volume gespeicherten Informationen zu schützen.

Umgekehrt verschlüsselt BitLocker alles, was von Anwendungen auf ein von BitLocker geschütztes Volume geschrieben wird, einschließlich des Betriebssystems selbst, der Registrierung, der Ruhezustands- und Auslagerungsdateien, der Anwendungen und der von Anwendungen verwendeten Daten.

Drei Dinge werden nicht verschlüsselt: Der Bootsektor, alle bereits als unlesbar gekennzeichneten schlechten Sektoren und die Volumemetadaten. Die Volumemetadaten bestehen aus drei redundanten Kopien von Daten, die zur Verwaltung von BitLocker verwendet werden, einschließlich statistischer Informationen zum Volume, sowie Kopien einiger Entschlüsselungsschlüssel. Diese Elemente erfordern keine Verschlüsselung, da sie nicht einmalig, wertvoll oder personenbezogen sind.

Vollständige Laufwerkverschlüsselung schützt gegen Offlineangriffe, d. h. gegen die Art von Angriffen, bei denen versucht wird, das Betriebssystem zu umgehen. So besteht beispielsweise eine häufige Form der Offlineangriffe darin, einen Computer zu stehlen, die Festplatte zu entfernen und sie als zweites Laufwerk in einen anderen Computer einzubauen, auf dem eine andere Kopie von Windows oder ein anderes Betriebssystem ausgeführt wird, um NTFS-Berechtigungen und Benutzerkennwörter zu umgehen. Es ist unmöglich, durch diese Art von Angriff ein von BitLocker geschütztes Volume zu lesen.

So werden Daten in BitLocker verschlüsselt

BitLocker verwendet den AES-Algorithmus (Advanced Encryption Standard, erweiterter Verschlüsselungsstandard) mit 128-Bit-Schlüsseln. Um einen noch besseren Schutz zu bieten, können die Schlüssel mithilfe von Gruppenrichtlinien oder mit dem Windows-Verwaltungsinstrumentations-Anbieter (Windows Management Instrumentation, WMI) von BitLocker auf 256-Bit-Schlüssel erhöht werden.

Jeder Sektor auf dem Volume wird separat verschlüsselt, wobei ein Teil des Verschlüsselungsschlüssels aus der Sektorennummer selbst abgeleitet wird. Dies bedeutet, dass zwei Sektoren, die identische unverschlüsselte Daten enthalten, in Form unterschiedlich verschlüsselter Bytes auf den Datenträger geschrieben werden, wodurch es beträchtlich schwieriger wird, Schlüssel durch Erstellen und Verschlüsseln bekannter Daten zu knacken.

Bevor Daten mithilfe von AES verschlüsselt werden, verwendet BitLocker außerdem einen Algorithmus, der als Diffusor bezeichnet wird. Ohne auf das Spezialgebiet der Kryptografie einzugehen, kann über die Arbeitsweise des Diffusors vereinfachend gesagt werden, dass selbst geringfügige Änderungen am Nur-Text die Änderung des gesamten Sektors im verschlüsselten Text zur Folge hat. Dies erschwert es für einen Angreifer ebenfalls beträchtlich, Schlüssel oder Daten zu entdecken.

Wenn Sie sich für die Details des BitLocker-Verschlüsselungsalgorithmus interessieren, können Sie folgenden Artikel von Neil Ferguson zu diesem Thema lesen: „AES-CBC + Elephant Diffuser: Ein Datenträgerverschlüsselungsalgorithmus für Windows Vista“.

BitLocker-Schlüssel

Wenn Sie mit Verschlüsselung zu tun haben, müssen Sie über Schlüssel Bescheid wissen. Auch BitLocker bildet hier keine Ausnahme. BitLocker verwendet eine elegante, aber recht komplizierte Architektur von Schlüsseln.

Die Sektoren selbst werden mit einem Schlüssel verschlüsselt, der als Schlüssel zur vollständigen Volumeverschlüsselung (Full-Volume Encryption Key, FVEK) bezeichnet wird. Dieser FVEK wird jedoch nicht von Benutzern verwendet, und Benutzer können nicht auf ihn zugreifen. Der FVEK wiederum wird mit einem Schlüssel verschlüsselt, der als Volumehauptschlüssel (Volume Master Key, VMK) bezeichnet wird. Dieses Niveau der Abstraktion bietet entscheidende Vorteile, kann jedoch zur Folge haben, dass der Prozess nur schwer zu verstehen ist. Der FVEK ist streng geheim, denn wenn er bekannt würde, müssten alle Sektoren neu verschlüsselt werden. Da dies ein zeitaufwändiger Vorgang wäre, sollte dies möglichst vermieden werden. Stattdessen arbeitet das System mit dem VMK.

Der mit dem VMK verschlüsselte FVEK wird als Bestandteil der Volumemetadaten auf dem Datenträger selbst gespeichert. Obwohl der FVEK lokal gespeichert wird, wird er niemals unverschlüsselt auf einen Datenträger geschrieben.

Der VMK wird ebenfalls verschlüsselt oder „geschützt“, aber dazu werden ein oder mehrere mögliche Schlüsselprotektoren verwendet. Der Standardschlüsselprotektor ist das TPM. Die Verwendung eines TPM wird im folgenden Abschnitt über Integritätsprüfung behandelt. Für Notfälle wird auch ein Wiederherstellungskennwort als Schlüsselprotektor erstellt. Auf die Wiederherstellung wird ebenfalls später eingegangen.

Sie können das TPM mit einer numerischen PIN oder mit einem partiellen Schlüssel kombinieren, der auf einem USB-Laufwerk gespeichert wird, um die Sicherheit noch zu erhöhen. Jedes dieser Elemente stellt eine zweiteilige Authentifizierung dar. Wenn Ihr Computer keinen kompatiblen TPM-Chip und kein kompatibles BIOS besitzt, kann BitLocker dafür konfiguriert werden, einen Schlüsselprotektor vollständig auf einem USB-Laufwerk zu speichern. Dies wird als Systemstartschlüssel bezeichnet.

BitLocker kann deaktiviert werden, ohne die Daten zu entschlüsseln. In diesem Fall wird der VMK nur durch einen neuen Schlüsselprotektor geschützt, der unverschlüsselt gespeichert wird. Beachten Sie, dass dieser unverschlüsselte Schlüssel dem System ermöglicht, auf das Laufwerk zuzugreifen, als wäre es ungeschützt.

Beim Systemstart sucht das System nach einem geeigneten Schlüsselprotektor, indem es das TPM abfragt, die USB-Anschlüsse überprüft oder, falls erforderlich, eine Eingabeaufforderung an den Benutzer ausgibt (dies wird als Wiederherstellung bezeichnet). Wenn ein Schlüsselprotektor gefunden wird, entschlüsselt Windows den VMK, der den FVEK entschlüsselt, und der FVEK wiederum entschlüsselt die auf dem Datenträger gespeicherten Daten. Dieser Prozess wird in Abbildung 1 gezeigt.

Abbildung 1 Standardmäßiger BitLocker-Systemstartprozess

Abbildung 1** Standardmäßiger BitLocker-Systemstartprozess **

Integritätsprüfung

Da die Komponenten im frühesten Teil des Systemstartprozesses unverschlüsselt verfügbar sein müssen, damit der Computer starten kann, könnte ein Angreifer den Code in diesen frühen Startkomponenten ändern (denken Sie etwa an ein Rootkit) und danach Zugriff auf den Computer erhalten, obwohl die Daten auf dem Datenträger verschlüsselt wurden.

Durch diese Art von Angriff könnte sich ein Angreifer möglicherweise Zugriff auf vertrauliche Informationen verschaffen, z. B. auf BitLocker-Schlüssel oder Benutzerkennwörter, und diese Informationen dazu einsetzen, andere Sicherheitsmaßnahmen zu umgehen.

Diese Art von Angriff zu verhindern, war eines der ursprünglichen Ziele des Programms und des Teams, das BitLocker entwickelt hat. In mancher Hinsicht war die Verschlüsselung eigentlich nur Mittel zum Zweck. Die vollständige Laufwerkverschlüsselung ermöglicht BitLocker, die Integrität des Systems zu schützen und den Start von Windows zu verhindern, falls die ersten Systemstartkomponenten geändert wurden.

Auf Computern, die mit einem kompatiblen TPM ausgestattet sind, untersucht bei jedem Start des Computers jede der frühen Systemstartkomponenten – z. B. das BIOS, der MBR (Master Boot Record), der Bootsektor und der Startmanagercode – den auszuführenden Code, errechnet einen Hashwert und speichert diesen Wert in bestimmten Registern des TPMs, den so genannten Plattformkonfigurationsregistern (Platform Configuration Registers, PCRs). Sobald ein Wert in einem PCR gespeichert wurde, kann dieser Wert weder ersetzt noch gelöscht werden, es sei denn, das System wird neu gestartet. BitLocker verwendet das TPM und die in PCRs gespeicherten Werte, um den VMK zu schützen.

Ein TPM kann einen Schlüssel erstellen, der an bestimmte PCR-Werte gebunden ist. Wenn diese Art von Schlüssel erstellt wird, verschlüsselt das TPM den Schlüssel so, dass nur dieses spezielle TPM ihn wieder entschlüsseln kann. Danach entschlüsselt das TPM den Schlüssel nur dann, wenn die aktuellen PCR-Werte den Werten entsprechen, die beim Erstellen des Schlüssels angegeben wurden. Dies wird als Versiegeln des Schlüssels an das TPM bezeichnet.

Standardmäßig werden Schlüssel von BitLocker mithilfe von CRTM (Core Root of Trust Measurement)-Werten, BIOS und Plattformerweiterungen, Options-ROM-Code, MBR-Code, NTFS-Bootsektor und Startmanager versiegelt. Wenn eines dieser Elemente unerwartet geändert wurde, sperrt BitLocker das Laufwerk und verhindert, dass darauf zugegriffen oder es entschlüsselt wird.

Standardmäßig wird BitLocker dafür konfiguriert, ein TPM zu suchen und zu verwenden. Sie können eine Gruppenrichtlinieneinstellung oder eine lokale Richtlinieneinstellung verwenden, um BitLocker zu ermöglichen, ohne ein TPM zu arbeiten und Speicherschlüssel auf einem externen USB-Flashlaufwerk zu speichern, aber ohne TPM kann BitLocker die Systemintegrität nicht überprüfen.

Erstmaliges Aktivieren von BitLocker

BitLocker ist in Windows Vista Enterprise und Windows Vista Ultima verfügbar. (BitLocker wird auch als optionale Komponente in der nächsten Version von Windows Server® (Codename „Longhorn“) enthalten sein.

Im folgenden Text wird davon ausgegangen, dass Ihnen ein Computer mit einem kompatiblen TPM zum Testen zur Verfügung steht. Wenn Sie BitLocker auf einem Computer ohne TPM aktivieren möchten, befolgen Sie die Schritte in der Randleiste „Verwenden von BitLocker ohne TPM“.

Verwenden von BitLocker ohne TPM

BitLocker ist standardmäßig dafür konfiguriert, ein TPM zu verwenden. Wenn Sie kein TPM besitzen, können Sie BitLocker mit einer gebrauchsfertigen Windows-Version nicht aktivieren. Das folgende Verfahren, das der Schritt-für-Schritt-Anleitung zur BitLocker-Laufwerkverschlüsselung entnommen wurde, ermöglicht Ihnen allerdings, BitLocker auch ohne ein TPM zu verwenden.

Um diese Schritte durchführen zu können, müssen Sie als Administrator angemeldet sein. Auch ohne ein TPM muss Ihr Computer das Lesen von einem USB-Flashlaufwerk während des Systemstartprozesses unterstützen. Darüber hinaus muss bei jeder Aktivierung von BitLocker und bei jedem Neustart des Computers ein USB-Flashlaufwerk verfügbar sein.

Gehen Sie folgendermaßen vor, um BitLocker-Laufwerkverschlüsselung auf einem Computer ohne kompatibles TPM zu aktivieren:

  1. Klicken Sie auf „Start“, geben Sie im Startsuchfeld „gpedit.msc“ ein, und drücken Sie danach die Eingabetaste.
  2. Wenn das Dialogfeld „Benutzerkontensteuerung“ angezeigt wird, überprüfen Sie, ob die gewünschte Aktion eingestellt ist, und klicken Sie anschließend auf „Weiter“.
  3. Klicken Sie in der Struktur des Gruppenrichtlinienobjekt-Editors auf „Richtlinie für "Lokaler Computer"“, „Administrative Vorlagen“, „Windows-Komponenten“, und doppelklicken Sie danach auf „BitLocker-Laufwerkverschlüsselung“.
  4. Doppelklicken Sie auf die Einstellung „Systemsteuerungssetup: Erweiterte Startoptionen aktivieren“. Das Dialogfeld „Systemsteuerungssetup: Erweiterte Startoptionen aktivieren“ wird angezeigt.
  5. Wählen Sie die Option „Aktiviert“ aus, wählen Sie das Kontrollkästchen „BitLocker ohne kompatibles TPM zulassen“ aus und klicken Sie anschließend auf „OK“. Sie haben die Richtlinieneinstellung so geändert, dass Sie statt eines TPMs einen Systemstartschlüssel verwenden können.
  6. Schließen Sie den Gruppenrichtlinienobjekt-Editor.
  7. Damit die Gruppenrichtlinie sofort angewendet wird, können Sie auf „Start“ klicken, im Startsuchfeld „gpupdate.exe /force“ eingeben und danach die Eingabetaste drücken. Warten Sie, bis der Prozess abgeschlossen ist.

Ein wichtiger Teil der Aktivierung von BitLocker besteht darin, sicherzustellen, dass Ihre Volumes richtig konfiguriert sind. BitLocker erfordert, dass die aktive Partition unverschlüsselt ist, damit der Bootsektor, der Startmanager und das Windows-Ladeprogramm gelesen werden können (diese Komponenten werden durch die zuvor beschriebenen Systemintegritätsschritte geschützt). Da andere Windows-Komponenten möglicherweise eine temporäre Verwendung der aktiven Partition erfordern, wird von Microsoft empfohlen, dass die aktive Partition mindestens 1,5 GB groß sein sollte. Es wäre auch eine gute Idee, entsprechende NTFS-Berechtigungen zu konfigurieren, damit Benutzer nicht versehentlich Daten auf dieses Volume schreiben können.

Windows selbst wird auf einem zweiten Volume installiert, das größer ist und verschlüsselt werden kann. Wenn Sie Windows auf einem neuen System installieren, können Sie die Volumes manuell konfigurieren, indem Sie die in der Schritt-für-Schritt-Anleitung zu Windows BitLocker-Laufwerkverschlüsselung verfügbaren Anweisungen befolgen.

Sie können das BitLocker-Laufwerkvorbereitungsprogramm verwenden, um Ihr System für BitLocker zu konfigurieren. Dieses Tool nimmt Ihnen die mühselige Laufwerkskonfiguration ab und ist als Zusatzkomponente von Windows Vista Ultima oder für Kunden verfügbar, die Windows Vista Enterprise einsetzen. Eine ausführliche Anleitung für das BitLocker-Laufwerkvorbereitungsprogramm finden Sie unter support.microsoft.com/kb/930063.

Das BitLocker-Laufwerkvorbereitungsprogramm verkleinert automatisch das Volume (falls Sie nur ein einziges Volume besitzen), erstellt die zweite Partition, macht sie aktiv, nimmt alle notwendigen Konfigurationsänderungen vor und verschiebt die Systemstartdateien an den richtigen Ort.

Wenn die Volumes erst einmal konfiguriert sind, lässt sich BitLocker ganz einfach aktivieren. Klicken Sie im Abschnitt „Sicherheit“ der Systemsteuerung auf das BitLocker-Laufwerkverschlüsselungssymbol. Wenn Sie die UAC-Zustimmungsaufforderung bestätigt haben, wird ein Fenster angezeigt, das dem in Abbildung 2 dargestellten Fenster ähnelt.

Abbildung 2 Aktivieren von BitLocker

Abbildung 2** Aktivieren von BitLocker **(Klicken Sie zum Vergrößern auf das Bild)

Die genaue Abfolge der nachfolgenden Schritte variiert je nach Zustand des TPM-Chips in Ihrem Computer. Wenn der TPM-Chip nicht initialisiert ist, wird der TPM-Initialisierungsassistent ausgeführt. Folgen Sie den Eingabeaufforderungen, um das TPM zu initialisieren, was auch einen Neustart des Computers erfordert.

Wenn das TPM initialisiert wurde, wird, wie in Abbildung 3 gezeigt, die Seite „Wiederherstellungskennwort speichern“ angezeigt. Um im Falle eines TPM-Fehlers oder eines anderen Problems die Daten wiederherstellen zu können, benötigen Sie ein Wiederherstellungskennwort. Diese Seite ermöglicht Ihnen, ein Wiederherstellungskennwort auf einem USB-Flashlaufwerk, einem lokalen Datenträger oder einem Netzwerkdatenträger zu speichern oder es zur sicheren Verwahrung auszudrucken. Sie müssen mindestens eine dieser Optionen auswählen und können bei Bedarf mehrere Kopien speichern. Sobald das Wiederherstellungskennwort gespeichert wurde, wird die Schaltfläche „Weiter“ aktiviert. Klicken Sie darauf.

Abbildung 3 Speichern des Wiederherstellungskennworts

Abbildung 3** Speichern des Wiederherstellungskennworts **(Klicken Sie zum Vergrößern auf das Bild)

Die Seite „Encrypt the selected disk volume“ (Ausgewähltes Datenträgervolume verschlüsseln) wird angezeigt, und Sie können auswählen, ob eine Systemüberprüfung ausgeführt werden soll, bevor die Verschlüsselung eingeleitet wird. Die Systemüberprüfung erfordert zwar einen Neustart, aber sie ist das beste Verfahren, um sicherzustellen, dass das TPM, BIOS und die USB-Anschlüsse wie vorgesehen mit BitLocker funktionieren. Falls dabei Probleme erkannt werden, wird nach dem Neustart eine Fehlermeldung angezeigt. Werden keine Probleme erkannt, wird die Statusleiste „Verschlüsselung wird durchgeführt“ angezeigt.

Das ist alles. Die Verschlüsselung wird im Hintergrund abgeschlossen, und Sie können mit der Verwendung des Computers fortfahren. Nach Abschluss der anfänglichen Verschlüsselung wird eine Meldung angezeigt, die Sie darüber informiert. Sie können den Fortschritt der Verschlüsselung des Datenträgervolumes auch überwachen, indem Sie mit dem Mauszeiger auf das BitLocker-Laufwerkverschlüsselungssymbol auf der Symbolleiste am unteren Bildschirmrand zeigen. Weitere Details finden Sie in der bereits erwähnten Schritt-für-Schritt-Anleitung.

Manche Benutzer hat es überrascht, dass BitLocker den Benutzer weder zu Benutzereingaben auffordert noch sonstige Unterbrechungen hervorruft, wenn der Computer gestartet wird. Dies liegt daran, dass sich BitLocker in der Standardkonfiguration darauf verlässt, dass das TPM die Systemintegrität bestätigt, bevor das Volume entsperrt wird. Dies erfolgt automatisch und in einer für den Benutzer transparenten Weise.

Sie können BitLocker so konfigurieren, dass beim Systemstart eine PIN eingegeben werden oder auf einem USB-Flashlaufwerk ein Schlüssel gespeichert sein muss. Dies erhöht die Sicherheit noch mehr und wird für Situationen empfohlen, in denen die Vorteile durch erhöhte Sicherheit den Nachteil der Unannehmlichkeit, eine PIN eingeben zu müssen, aufwiegt. Meiner Meinung nach ist das immer der Fall. (Daher verlangt mein Desktop die Eingabe einer PIN, und mein Laptop erfordert einen USB-Schlüssel.)

BitLocker-Wiederherstellung

Im Umgang mit Verschlüsselung, insbesondere in einer Betriebs- oder Unternehmensumgebung, ist es wichtig, dass Sie für einen autorisierten Benutzer eine Möglichkeit einrichten, Zugriff auf seine Daten zu erhalten, auch wenn die normalen Zugriffsmethoden oder die Schlüssel nicht verfügbar sind. BitLocker bezeichnet dies als Wiederherstellung.

Wenn sich in den frühen Systemstartkomponenten unerwartet etwas ändert, wenn Sie einen USB-Systemstartschlüssel verlieren oder wenn ein Benutzer seine PIN vergisst, kann BitLocker den normalen Systemstartprozess nicht abschließen. In diesem Fall lässt BitLocker das Volume gesperrt, und Windows kann nicht gestartet werden. Stattdessen zeigt der BitLocker-Code im Startmanager ein Textfenster an. Wenn ein Wiederherstellungskennwort auf einem USB-Flashlaufwerk gespeichert wurde (dies wird manchmal als Wiederherstellungsschlüssel bezeichnet), wird ein Fenster aufgerufen, das dem in Abbildung 4 gezeigten Fenster ähnelt.

Abbildung 4 Suche nach einem Wiederherstellungsschlüssel

Abbildung 4** Suche nach einem Wiederherstellungsschlüssel **(Klicken Sie zum Vergrößern auf das Bild)

BitLocker muss beim Systemstart angeschlossen sein, um ein USB-Flashlaufwerk lesen zu können. Wenn Sie also ein USB-Flashlaufwerk mit einem Wiederherstellungskennwort besitzen, legen Sie es ein und drücken die ESC-Taste. Wenn Sie kein derartiges USB-Flashlaufwerk besitzen, drücken Sie die Eingabetaste, worauf das in Abbildung 5 dargestellte Fenster angezeigt wird. Dieses Fenster wird auch dann angezeigt, wenn nie ein Wiederherstellungsschlüssel auf ein USB-Laufwerk gespeichert wurde.

Abbildung 5 Eingabe eines BitLocker-Kennworts

Abbildung 5** Eingabe eines BitLocker-Kennworts **(Klicken Sie zum Vergrößern auf das Bild)

BitLocker sucht jetzt nach einem aus 48 Ziffern bestehenden numerischen Kennwort, das das Laufwerk entsperren kann. Diese Zahl wird auf der Seite ausgegeben, wenn Sie auswählen, das Wiederherstellungskennwort drucken zu lassen, und auch in einer Datei gespeichert, wenn Sie das Wiederherstellungskennwort in einem Ordner gespeichert haben.

Die leichteste Methode, in einem Betrieb mit Wiederherstellungskennwörtern umzugehen, besteht in einer automatischen Speicherung in Active Directory®. Wie Sie dazu vorgehen müssen, erfahren Sie unter go.microsoft.com/fwlink/?LinkId=87067.

In einem späteren Artikel werde ich auf die Verwaltungsmöglichkeiten von BitLocker ausführlich eingehen, aber im Rahmen dieser Übersicht möchte ich anmerken, dass im Lieferumfang von BitLocker ein vollständiger WMI-Anbieter enthalten ist, der es erlaubt, BitLocker (und das TPM) in jedem mit WMI kompatiblen WBEM (Web-Based Enterprise Management)-System zu verwalten. Dies bedeutet auch, dass für BitLocker mit jeder Skriptsprache, die auf WMI-Objekte zugreifen kann (z. B. VBScript oder Windows PowerShell™), Skripts geschrieben werden können.

Im Lieferumfang von BitLocker ist auch ein Befehlszeilenprogramm namens „manage-bde.wsf“ enthalten, das den WMI-Anbieter verwendet, um ein Verwalten von BitLocker auf lokalen oder entfernten Computern zu ermöglichen. Weitere Informationen erhalten Sie, indem Sie ein erweitertes Eingabeaufforderungsfenster öffnen und „manage-bde.wsf /?“ eingeben.

Sichere Stilllegung

Für jeden Computer kommt ein Zeitpunkt, an dem er außer Betrieb genommen werden muss. Unternehmen geben in der Regel beträchtliche Gelder aus und betreiben einen großen Arbeitsaufwand, um sicherstellen, dass Festplattenlaufwerke vor der Entsorgung vollständig bereinigt sind. Die meisten Prozesse zum Entfernen vertraulicher Daten von Festplattenlaufwerken sind zeitaufwändig oder teuer bzw. führen zur permanenten Zerstörung der Hardware. BitLocker bietet andere kostengünstigere Möglichkeiten.

Statt Daten entfernen zu müssen, ermöglicht BitLocker, dass vertrauliche Daten erst gar nicht in einer riskanten Weise auf einer Festplatte gespeichert werden. Da alles, was auf die Festplatte geschrieben wird, verschlüsselt wird, kann jede Möglichkeit eines Zugriffs auf die Daten unwiderruflich zunichte gemacht werden, indem alle Kopien der Verschlüsselungsschlüssel vernichtet werden. Die Festplatte selbst bleibt völlig unversehrt und kann wiederverwendet werden.

Sie können unter einer Reihe von Methoden auswählen, um Volumes stillzulegen, die durch BitLocker geschützt wurden. So können Sie beispielsweise alle Kopien von Schlüsseln aus den Volumemetadaten löschen, sie aber weiterhin an einem sicheren zentralen Ort verwahren. Dies ermöglicht Ihnen, Systeme sicher zu transportieren oder sie vorübergehend stillzulegen, wenn sie für einen längeren Zeitraum unbeaufsichtigt bleiben. Dadurch wird sichergestellt, dass autorisierte Benutzer nach wie vor auf die Daten zugreifen können, aber unbefugte Benutzer, z. B. neue Besitzer der Hardware, dagegen nicht.

Sie können aber auch alle Kopien der Schlüssel aus den Volumemetadaten und aus allen Archiven wie Active Directory löschen, indem Sie etwa neue Schlüssel erstellen, die dabei nicht gespeichert werden. Da anschließend keine Entschlüsselungsschlüssel existieren, kann niemand die Daten wiederherstellen oder Daten abrufen.

In jedem dieser Fälle erfolgt das Entfernen und Zerstören der in den Volumemetadaten enthaltenen Schlüssel fast unmittelbar. Diese Vorgänge können von einem Administrator über mehrere Systeme hinweg durchgeführt werden. Dazu ist ein minimaler Zeit- und Arbeitsaufwand erforderlich, der ein extrem hohes Niveau an permanentem Schutz bietet. Das Formatierungsdienstprogramm in Windows Vista wurde so aktualisiert, dass ein Formatierungsbefehl die Volumemetadaten löscht und anschließend diese Sektoren überschreibt, wodurch alle BitLocker-Schlüssel sicher gelöscht werden.

Einige abschließende Punkte

BitLocker ist ein leistungsfähiges Tool zum Schutz gegen bestimmte Gefahren, das hervorragende Arbeit leistet. Es kann jedoch nicht erwartet werden, dass BitLocker gegen sämtliche Gefahren schützt. Daher ist es außerordentlich wichtig, dass Sie weiterhin geeignete Schutz- und Kontrollmaßnahmen ergreifen, indem Sie beispielsweise sichere Kennwörter verwenden.

Denken Sie daran, dass BitLocker zum Schutz gegen Offlineangriffe entwickelt wurde. Wenn Windows ausgeführt wird, hat BitLocker das Volume also entsperrt. Anders ausgedrückt: Während der Ausführung eines Systems bietet BitLocker keinen Schutz für dieses System. Technologien wie EFS und RMS ergänzen BitLocker durch Schutz von Informationen während der Ausführung des Betriebssystems.

Weitere Informationen zu BitLocker erhalten Sie auf der Microsoft-Website unter technet.microsoft.com/windowsvista/aa905065.aspx. Weitere Informationen über TPM-Spezifikationen und die TCG finden Sie im Abschnitt „TPM-Spezifikationen“ der TCG-Website unter go.microsoft.com/fwlink/?LinkId=72757.

Byron Hynes arbeitet in der Windows Server User Assistance-Gruppe bei Microsoft. In der Vergangenheit war er als Berater und Ausbilder tätig. Er ist unter bhynes@microsoft.com zu erreichen.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.