Windows 10 Expertenhandbuch: Alles, was Sie über BitLocker wissen müssen.

Die Verschlüsselung aller Daten auf einem Windows 10 PC ist eine wichtige Sicherheitsmaßnahme. Jede Edition von Windows 10 enthält starke Verschlüsselungsoptionen, wobei die Business-Versionen über die besten Verwaltungstools verfügen. Hier ist eine praktische Anleitung.

Wenn Ihr PC verloren geht oder gestohlen wird, würden Sie wahrscheinlich auf Kosten des Ersatzes erschaudern. Aber das ist nichts im Vergleich zu dem, was Sie verlieren würden, wenn jemand ungehinderten Zugriff auf die Daten auf diesem Gerät hätte. Selbst wenn sie sich nicht mit Ihrem Windows-Benutzerkonto anmelden können, kann ein Dieb von einem Wechseldatenträger booten und ungestört den Inhalt des Systemlaufwerks durchsuchen.

Der effektivste Weg, dieses Albtraum-Szenario zu stoppen, ist die Verschlüsselung des gesamten Geräts, so dass sein Inhalt nur für Sie oder jemanden mit dem Wiederherstellungsschlüssel verfügbar ist.

Alle Editionen von Windows 10 seit der Version 1511 (veröffentlicht im November 2015) enthalten XTS-AES 128-Bit-Geräteverschlüsselungsoptionen, die robust genug sind, um selbst vor den bestimmtesten Angriffen zu schützen. Mit Hilfe von Verwaltungstools können Sie die Verschlüsselungsstärke auf XTS-AES 256 erhöhen.

Auf modernen Geräten führt der Verschlüsselungscode auch Integritätsprüfungen vor dem Start des Systems durch, die Versuche erkennen, den Bootloader zu umgehen.

Windows 10 Home BitLocker ist der Markenname, den Microsoft für die Verschlüsselungstools verwendet, die in den Business-Versionen von Windows (Desktop und Server) verfügbar sind. Eine begrenzte, aber dennoch effektive Teilmenge der BitLocker-Geräteverschlüsselungsfunktionen ist auch in Windows 10 Home Editionen verfügbar. So stellen Sie sicher, dass Ihre Daten geschützt sind.

Wie funktioniert BitLocker unter Windows 10?

Auf allen Geräten, die für Windows 10 konzipiert sind (die Hardwareanforderungen finden Sie im folgenden Abschnitt), wird die Geräteverschlüsselung automatisch aktiviert. Windows Setup erstellt automatisch die erforderlichen Partitionen und initialisiert die Verschlüsselung auf dem Betriebssystemlaufwerk mit einem klaren Schlüssel. Um den Verschlüsselungsprozess abzuschließen, müssen Sie einen der folgenden Schritte durchführen:

Melden Sie sich mit einem Microsoft-Konto an, das über Administratorrechte auf dem Gerät verfügt. Diese Aktion entfernt den Löschschlüssel, lädt einen Wiederherstellungsschlüssel in das OneDrive-Konto des Benutzers hoch und verschlüsselt die Daten auf dem Systemlaufwerk. Beachten Sie, dass dieser Prozess automatisch abläuft und auf jeder Windows 10 Edition funktioniert.

Melden Sie sich bei der Verwendung eines Active Directory-Kontos in einer Windows-Domäne oder eines Azure Active Directory-Kontos an. Für jede Konfiguration ist eine Business-Version von Windows 10 (Pro, Enterprise oder Education) erforderlich, und der Wiederherstellungsschlüssel wird an einem Ort gespeichert, der für den Domänen- oder AAD-Administrator verfügbar ist.

Wenn Sie sich mit einem lokalen Konto auf einem Gerät mit einer Business-Version von Windows 10 anmelden, müssen Sie die BitLocker-Verwaltungstools verwenden, um die Verschlüsselung auf verfügbaren Laufwerken zu aktivieren.

Auf selbstverschlüsselnden Solid-State-Laufwerken, die Hardwareverschlüsselung unterstützen, wird Windows 10 die Arbeit der Verschlüsselung und Entschlüsselung von Daten auf die Hardware übertragen. Beachten Sie, dass eine Schwachstelle in diesem Feature, die erstmals im November 2018 veröffentlicht wurde, unter bestimmten Umständen Daten offenlegen kann. In diesen Fällen benötigen Sie ein Firmware-Upgrade für die SSD; bis dieses Upgrade verfügbar ist, können Sie mit den Anweisungen in dieser Microsoft-Sicherheitshinweise auf Softwareverschlüsselung umschalten: Anleitung zur Konfiguration von BitLocker zur Durchsetzung der Softwareverschlüsselung.

Beachten Sie, dass Windows 10 weiterhin die viel ältere Funktion Verschlüsseltes Dateisystem unterstützt. Dies ist ein datei- und ordnerbasiertes Verschlüsselungssystem, das mit Windows 2000 eingeführt wurde. Für praktisch jede moderne Hardware ist BitLocker die erste Wahl.

Hardware-Anforderungen

Das wichtigste Hardware-Feature, das zur Unterstützung der BitLocker Device Encryption benötigt wird, ist ein Trusted Platform Module Chip oder TPM. Das Gerät muss auch die Funktion Modern Standby (früher bekannt als InstantGo) unterstützen.

Nahezu alle Geräte, die ursprünglich für Windows 10 hergestellt wurden, erfüllen diese Anforderungen.

Verwalten von BitLocker

BitLocker ist in den meisten Fällen ein Set-it-and-forget-it-Feature. Nachdem Sie die Verschlüsselung für ein Laufwerk aktiviert haben, ist keine Wartung mehr erforderlich. Sie können jedoch die im Betriebssystem integrierten Tools verwenden, um eine Vielzahl von Verwaltungsaufgaben auszuführen.

Die einfachsten Tools sind in der grafischen Windows-Benutzeroberfläche verfügbar, jedoch nur, wenn Sie Windows 10 Pro oder Enterprise verwenden. Öffnen Sie den Datei-Explorer, klicken Sie mit der rechten Maustaste auf ein beliebiges Laufwerkssymbol und klicken Sie auf BitLocker verwalten. Sie gelangen auf eine Seite, auf der Sie BitLocker ein- oder ausschalten können; wenn BitLocker bereits für das Systemlaufwerk aktiviert ist, können Sie die Verschlüsselung vorübergehend einstellen oder Ihren Wiederherstellungsschlüssel von hier aus sichern. Sie können auch die Verschlüsselung auf Wechsellaufwerken und auf sekundären internen Laufwerken verwalten.

Auf einem System mit Windows 10 Home finden Sie unter Einstellungen > Update & Recovery > Geräteverschlüsselung eine Schaltfläche zum Ein- und Ausschalten. Eine Warnmeldung wird angezeigt, wenn die Geräteverschlüsselung nicht durch die Anmeldung bei einem Microsoft-Konto aktiviert wurde.

Für einen viel größeren Satz von Tools öffnen Sie eine Eingabeaufforderung und verwenden Sie eines der beiden integrierten BitLocker-Verwaltungstools manage-bde oder repair-bde mit einem der verfügbaren Schalter. Der einfachste und nützlichste davon ist manage-bde -status, der den Verschlüsselungsstatus aller verfügbaren Laufwerke anzeigt. Beachten Sie, dass dieser Befehl auf allen Editionen funktioniert, einschließlich Windows 10 Home.

Eine vollständige Liste der Schalter finden Sie unter manage-bde -? oder repair-bde -?.

Schließlich enthält Windows PowerShell einen vollständigen Satz von BitLocker-Cmdlets. Verwenden Sie Get-BitLockerVolume, um beispielsweise den Status aller festen und wechselbaren Laufwerke auf dem aktuellen System anzuzeigen. Eine vollständige Liste der verfügbaren BitLocker-Cmdlets finden Sie auf der PowerShell BitLocker-Dokumentationsseite.

Speichern und Verwenden eines Wiederherstellungsschlüssels

Unter normalen Umständen entsperren Sie Ihr Laufwerk automatisch, wenn Sie sich bei Windows 10 mit einem Konto anmelden, das für dieses Gerät autorisiert ist. Wenn Sie versuchen, auf das System auf andere Weise zuzugreifen, z. B. durch Booten von einem Windows 10 Setup-Laufwerk oder einem Linux-basierten USB-Boot-Laufwerk, werden Sie nach einem Wiederherstellungsschlüssel für den Zugriff auf das aktuelle Laufwerk gefragt. Möglicherweise wird auch eine Eingabeaufforderung für einen Wiederherstellungsschlüssel angezeigt, wenn ein Firmware-Update das System so verändert hat, dass das TPM es nicht erkennt.

Als Systemadministrator in einem Unternehmen können Sie mit einem Wiederherstellungsschlüssel (manuell oder mit Hilfe einer Verwaltungssoftware) auf Daten auf jedem Gerät zugreifen, das sich im Besitz Ihres Unternehmens befindet, auch wenn der Benutzer nicht mehr Teil des Unternehmens ist.

Der Wiederherstellungsschlüssel ist eine 48-stellige Zahl, die das verschlüsselte Laufwerk unter diesen Umständen entsperrt. Ohne diesen Schlüssel bleiben die Daten auf dem Laufwerk verschlüsselt. Wenn Ihr Ziel darin besteht, Windows zur Vorbereitung auf das Recycling eines Geräts neu zu installieren, können Sie die Eingabe des Schlüssels überspringen, und die alten Daten sind nach Abschluss der Installation völlig unlesbar.

Ihr Wiederherstellungsschlüssel wird automatisch in der Cloud gespeichert, wenn Sie die Geräteverschlüsselung mit einem Microsoft-Konto aktiviert haben. Um den Schlüssel zu finden, besuchen Sie https://onedrive.com/recoverykey und melden Sie sich mit dem zugehörigen Microsoft-Konto an. (Beachten Sie, dass diese Option auf einem Mobiltelefon funktioniert.) Erweitern Sie die Auflistung für jedes Gerät, um zusätzliche Details zu sehen und eine Option zum Löschen des gespeicherten Schlüssels.

Wenn Sie die BitLocker-Verschlüsselung aktiviert haben, indem Sie Ihr Windows 10-Gerät mit einem Azure AD-Konto verbinden, finden Sie den Wiederherstellungsschlüssel unter Ihrem Azure AD-Profil. Gehen Sie zu Einstellungen > Konten > Ihre Daten und klicken Sie auf Mein Konto verwalten. Wenn Sie ein Gerät verwenden, das nicht bei Azure AD registriert ist, besuchen Sie https://account.activedirectory.windowsazure.com/profile und melden Sie sich mit Ihren Azure AD-Anmeldeinformationen an.

Suchen Sie den Gerätenamen unter der Überschrift Devices & Activity und klicken Sie auf Get BitLocker Keys, um den Recovery Key für dieses Gerät anzuzeigen. Beachten Sie, dass Ihr Unternehmen diese Funktion zulassen muss, damit Ihnen die Informationen zur Verfügung stehen.

Schließlich können Sie bei Geschäftsausgaben von Windows 10 eine Kopie des Wiederherstellungsschlüssels drucken oder speichern und die Datei oder den Ausdruck (oder beides) an einem sicheren Ort speichern. Verwenden Sie die im Datei-Explorer verfügbaren Verwaltungswerkzeuge, um auf diese Optionen zuzugreifen. Verwenden Sie diese Option, wenn Sie die Geräteverschlüsselung mit einem Microsoft-Konto aktiviert haben und Sie es vorziehen, den Wiederherstellungsschlüssel nicht in OneDrive verfügbar zu haben.

BitLocker zum Mitnehmen

Auch Wechselspeichergeräte benötigen eine Verschlüsselung. Dazu gehören USB-Sticks ebenso wie MicroSD-Karten, die in einigen PCs verwendet werden können. Hier setzt BitLocker To Go an.

Um die BitLocker-Verschlüsselung für ein Wechselmedium einzuschalten, müssen Sie eine Business-Version von Windows 10 ausführen. Sie können dieses Gerät auf einem Gerät mit einer beliebigen Edition, einschließlich Windows 10 Home, entsperren.

Als Teil des Verschlüsselungsprozesses müssen Sie ein Passwort festlegen, das zum Entsperren des Laufwerks verwendet wird. Sie müssen auch den Wiederherstellungsschlüssel für das Laufwerk speichern. (Es wird nicht automatisch in einem Cloud-Konto gespeichert.)

Schließlich müssen Sie einen Verschlüsselungsmodus wählen. Verwenden Sie die Option Neuer Verschlüsselungsmodus (XTS-AES), wenn Sie das Gerät ausschließlich unter Windows 10 verwenden möchten. Wählen Sie Kompatibler Modus für ein Laufwerk, das Sie möglicherweise auf einem Gerät mit einer früheren Version von Windows öffnen möchten.

Wenn Sie dieses Gerät das nächste Mal in einen Windows-PC einlegen, werden Sie zur Eingabe des Passworts aufgefordert. Klicken Sie auf Weitere Optionen und aktivieren Sie das Kontrollkästchen, um das Gerät automatisch freizuschalten, wenn Sie einen einfachen Zugriff auf seine Daten auf einem vertrauenswürdigen Gerät wünschen, das Sie steuern.

Diese Option ist besonders nützlich, wenn Sie eine MicroSD-Karte für erweiterte Speicherkapazität auf einem Gerät wie Surface Pro verwenden. Nach der Anmeldung sind alle Ihre Daten sofort verfügbar. Wenn Sie das Wechselmedium verlieren oder es gestohlen wird, sind seine Daten für den Dieb nicht zugänglich.

Comments are closed.

Post Navigation