Festplatten sichern mit BitLocker

BitLocker Teil 1 | BitLocker Teil 2 | BitLocker Teil 3

FÜR GERÄTE MIT TRUSTED PLATFORM MODULE (TPM)

Durch einen TPM-Chip wird ein Computer um wichtige Sicherheitsfunktionen erweitert. Der implementierte TPM-Chip ist dabei an die Hardware des lokalen Rechners gebunden. Einige Hersteller statten ihre neuen Geräte mit einem TPM aus. Die Version 1.2 bietet dabei den größtmöglichen Schutz. TPM dient zur Absicherung gegen unbefugten Zugriff bei einem System, das offline ist. Sollte kein TPM vorhanden sein, ist ein USB-Gerät mit einem Systemstartschlüssel erforderlich. Die Option, den BitLocker-Schlüssel auf einem USB-Flashlaufwerk zu speichern, ist nur dann verfügbar, wenn die BitLocker-Gruppenrichtlinieneinstellungen vom Systemadministrator so konfiguriert wurden, dass beim Fehlen eines TPM die Verwendung eines Systemstartschlüssels möglich ist. Bei der Verwendung von TPM muss der PC über eine Trusted Computing Group (TCG) im BIOS verfügen. Das BIOS dient hierbei als Vertrauenskette für den Start des Betriebssystems. Der Einsatz des TPM spielt eine entscheidende Rolle, insbesondere im Bereich Datenschutz und Lizenzschutz.

Der Schutz wird gefährdet, wenn USB-Speicher in IT-Geräten verbleiben oder Kennwörter offen liegen gelassen werden. Die TPM-Methode ist besonders geeignet, wenn PCs unbeaufsichtigt starten müssen oder neu gestartet werden müssen. Bei hochsensiblen Daten eines Unternehmens sollte grundsätzlich eine mehrstufige Authentifizierung verwendet werden, um einen hohen Schutz zu gewährleisten. Mit der BitLocker-Netzwerkentsperrung können IT-Administratoren ein Push-Update durchführen, ohne dass auf einem Computer eine PIN-Eingabe erforderlich ist. Das TPM verfügt über verschiedene Gruppenrichtlinieneinstellungen, die in bestimmten Unternehmensszenarios äußerst nützlich sein können.

ZUSATZINFO: KONFIGURATION DER BITLOCKER-VERSCHLÜSSELUNG

Um eine Verschlüsselung über TPM zu realisieren, benötigt man einen PC mit einem Trusted Platform Module (TPM). Über die Systemsteuerung kann man mithilfe der Start-Suchfunktion den Begriff “BitLocker” eingeben und dann den erscheinenden Menüpunkt “BitLocker verwalten” auswählen. Im linken unteren Bereich des Bildschirms wird die TPM-Verwaltung aufgerufen. Dort kann man auf einen Blick feststellen, ob ein TPM-kompatibles System vorhanden ist oder nicht. In dem hier gezeigten Beispiel bot der Rechner keine TPM-Unterstützung.

AKTIVIEREN DER NETZWERKENTSPERRUNG

In einer Serverumgebung besteht die Möglichkeit, die Entsperrung von BitLocker über das Netzwerk zu realisieren. In einer Domäne kann die BitLocker-Verschlüsselung zudem über das Netzwerk umgesetzt werden. Für die Nutzung von sogenannten „Netzwerkentsperrungsclients“ sind jedoch Betriebssysteme mit UEFI DHCP-Treibern erforderlich. Ein Server mit der installierten Rolle „Windows-Bereitstellungsdienste“ (Windows Deployment Services, WDS) wird ebenfalls benötigt, auf dem ein beliebiges Serverbetriebssystem ausgeführt werden kann. Optional kann das Feature „Bitlocker-Netzwerkentsperrung“ installiert werden. Ein getrennter DHCP-Server vom WDS-Server und ein öffentlich-privates Schlüsselpaar werden zusätzlich benötigt. Zudem müssen die Netzwerkentsperrungs-Gruppenrichtlinien korrekt konfiguriert sein.

Ab Server 2012 bietet der Einsatz der Netzwerkentsperrung in Firmennetzwerken den Vorteil, dass die Anzahl interner Helpdesk-Anfragen aufgrund verlorener PINs abnimmt. Über ein verkabeltes Netzwerk wird dabei das Systemvolume auf den Clients automatisch vom Server entsperrt.

 

ZUSATZ: BITLOCKER-VERSCHLÜSSELUNG AUF DEM WINDOWS SERVER 2012R2
Server Manager starten
Rolle hinzufügen
Im Reiter „Features“ „Bitlocker-Laufwerksverschlüsselung“ auswählen
Server neu starten
PC ohne TPM oben genannte Schritte ausführen (Gruppenrichtlinienverwaltung)
Start → BitLocker verwalten
BitLocker aktivieren
Wie oben erwähnt: BitLocker vor dem Reboot aktivieren!(Sonst scheitert ein Neustart!)
Kennwort für BitLocker festlegen und sicher verwahren (Bundesdatenschutz)
Remotezugriff für Server aktivieren

NETZWERKENTSPERRUNG FÜR BITLOCKER IN SERVERUMGEBUNGEN

In einer Serverumgebung besteht die Möglichkeit, die Entsperrung von BitLocker über das Netzwerk zu realisieren. In einer Domäne kann die BitLocker-Verschlüsselung zudem über das Netzwerk umgesetzt werden. Für die Nutzung von sogenannten „Netzwerkentsperrungsclients“ sind jedoch Betriebssysteme mit UEFI DHCP-Treibern erforderlich. Ein Server mit der installierten Rolle „Windows-Bereitstellungsdienste“ (Windows Deployment Services, WDS) wird ebenfalls benötigt, auf dem ein beliebiges Serverbetriebssystem ausgeführt werden kann. Optional kann das Feature „Bitlocker-Netzwerkentsperrung“ installiert werden. Ein vom WDS-Server getrennter DHCP-Server und ein öffentlich-privates Schlüsselpaar werden zusätzlich benötigt. Zudem müssen die Netzwerkentsperrungs-Gruppenrichtlinien korrekt konfiguriert sein.

Ab Server 2012 bietet der Einsatz der Netzwerkentsperrung in Firmennetzwerken den Vorteil, dass die Anzahl interner Helpdesk-Anfragen aufgrund verlorener PINs abnimmt. Über ein verkabeltes Netzwerk wird dabei das Systemvolume auf den Clients automatisch vom Server entsperrt.

BitLocker Teil 1 | BitLocker Teil 2 | BitLocker Teil 3

RÜCKRUF ANFORDERN

Nach oben scrollen