Festplatten sichern mit BitLocker
BitLocker Teil 1 | BitLocker Teil 2 | BitLocker Teil 3
Für Geräte mit Trusted Platform Module (TPM):
Durch einen TPM-Chip wird ein Computer um wichtige Sicherheitsfunktionen erweitert. Der implementierte Chip des TPM ist dabei an die Hardware des lokalen Rechners gebunden. Einige Hersteller statten ihre neuen Geräte mit einem TPM aus. Die Version 1.2 bietet hierbei den größtmöglichen Schutz. TPM dient zur Absicherung gegen unbefugten Zugriff bei einem System, welches offline ist. Sollte kein TPM verwendet werden, ist ein USB-Gerät mit einem Systemstartschlüssel erforderlich. Die Option, den BitLocker-Schlüssel auf einem USB-Flashlaufwerk zu speichern ist nur dann verfügbar, wenn die BitLocker-Gruppenrichtlinieneinstellungen vom Systemadministrator so konfiguriert wurden, dass beim Fehlen eines TPM die Verwendung eines Systemstartschlüssels möglich ist. Bei der Verwendung von TPM muss der PC über eine Trusted Computing Group im BIOS verfügen. Das BIOS dient hierbei als Vertrauenskette für den Start des Betriebssystems. Besonders beim Datenschutz und dem Lizenzschutz spielt der Einsatz des TPM eine entscheidende Rolle.
Der Schutz wird gefährdet, wenn USB-Speicher in IT Geräten verbleiben oder die Kennwörter offen liegen gelassen werden. Besonders geeignet ist die TPM-Methode, wenn PCs unbeaufsichtigt starten müssen oder neu gestartet werden müssen. Bei hochsensiblen Daten eines Unternehmens sollte grundsätzlich eine mehrstufige Authentifizierung verwendet werden, um einen hohen Schutz zu gewährleisten. Mit der BitLocker-Netzwerkentsperrung können IT-Administratoren ein Push-Update ausführen, ohne dass auf einem Computer eine PIN-Eingabe erforderlich ist. Das TPM verfügt über verschiedene Gruppenrichtlinieneinstellungen, die in bestimmten Unternehmensszenarios äußerst nützlich sein können.
Zusatzinfo: Konfiguration der BitLocker-Verschlüsselung
Um eine Verschlüsselung über TPM realisieren zu können, benötigt man einen PC mit einem Trusted Platform Module (TPM). Über die Systemsteuerung kann man per Start-Suchfunktion den Suchbegriff „BitLocker” eingeben und den erscheinenden Menüpunkt “BitLocker verwalten” auswählen.im linken unteren Bereich des Bildschirms wird die TPM-Verwaltung aufgerufen. Dort sieht man auf einen Blick, ob ein TPM kompatibles System vorhanden ist oder nicht. In dem hier gezeigten Beispiel bot der Rechner keine TPM-Unterstützung.
Aktivieren der Netzwerkentsperrung
Bei einer Serverumgebung gibt es die Möglichkeit, die Entsperrung von BitLocker über das Netzwerk zu realisieren. In einer Domain besteht zudem die Möglichkeit, die BitLocker Verschlüsselung über das Netzwerk zu realisieren. Allerdings werden dann für sogenannte „Netzwerkentsperrungsclients“ Betriebssysteme mit UEFI DHCP-Treibern benötigt. Es wird zusätzlich ein Server mit der installierten Rolle „Windows-Bereitstellungsdienste“ (Windows Deployment Services, WDS) benötigt, auf dem ein beliebiges Serverbetriebssystem ausgeführt werden kann. Dazu kann das optionale Feature „Bitlocker-Netzwerkentsperrung“ installiert werden. Es wird ein vom WDS-Server getrennter DHCP-Server eingesetzt und zusätzlich ein öffentlich-privates Schlüsselpaar benötigt. Es müssen zudem die Netzwerkentsperrungs-Gruppenrichtlinien korrekt konfiguriert werden. Ab Server 2012: Ein Vorteil bei dem Einsatz der Netzwerkentsperrung in Firmennetzwerken besteht darin, dass die Anzahl interner Aufrufe beim Helpdesk aufgrund verlorener PINs abnimmt. Über ein verkabeltes Netzwerk wird das Systemvolume auf den Clients dabei vom Server aus automatisch entsperrt.
Zusatz: BitLocker-Verschlüsselung auf dem Windows Server 2012R2
Für Die BitLocker-Verschlüsselung auf dem Windows Server 2012R2 wird ähnlich verfahren. Dem Server wird vor der Aktivierung der Betriebssystem-Laufwerksverschlüsselung durch BitLocker zuerst eine neue Rolle hinzugefügt:
- Server Manager starten
- Rolle hinzufügen
- Im Reiter „Features“ „Bitlocker-Laufwerksverschlüsselung“ auswählen
- Server neustarten
- PC ohne TPM oben genannte Schritte ausführen (Gruppenrichtlinienverwaltung)
- Start → BitLocker verwalten
- BitLocker aktivieren
- Wie oben erwähnt: BitLocker vor dem Reboot aktivieren!(Sonst scheitert ein Neustart!)
- Kennwort für BitLocker festlegen und sicher verwahren (Bundesdatenschutz)
- Remotezugriff für Server aktivieren
Erfolgreiche Wiederherstellung
Der Server kann nach diesen Arbeitsausführungen ab jetzt aus der Ferne verwaltet werden. In der Teststellung wurde die Methode zur Speicherung des Wiederherstellungsschlüssels auf einem anderen Laufwerk ausgewählt. Der Schlüssel lässt sich aus Sicherheitsgründen nicht auf dem eigenen zu verschlüsselnden Laufwerk speichern. Beim Aktivieren des BitLockers wurde in der Auswahl zwischen „Nur verwendeten Speicherplatz verschlüsseln“ und der Option „gesamtes Laufwerk verschlüsseln“ keine Möglichkeit zur Auswahl des gewünschten Verschlüsselungs-Algorithmus angezeigt. Daher möchte ich an dieser Stelle noch einmal denn Hinweis darauf geben, dass die Verschlüsselungsart zwingend vor der Aktivierung von BitLocker ausgewählt werden muss. Nach der Aktivierung ist eine Änderung nicht mehr möglich. Die verschlüsselte VHD wurde in der Testumgebung auf einem anderen Rechner eingebunden und ließ sich dort mit dem zuvor erstellten BitLocker-Passwort problemlos wieder entschlüsseln.
BitLocker Teil 1 | BitLocker Teil 2 | BitLocker Teil 3