BitLocker: Laufwerksverschlüsselung unter Windows 10 mit einem Recovery-Key

  • Iperius Backup Germany

BitLocker ist ein Laufwerksverschlüsselungssystem, welches in das Microsoft Windows-Betriebssystem integriert ist, beginnend mit Windows Vista ab. Es ermöglicht Ihnen, Festplatten, Wechselmedien oder Partitionen zu verschlüsseln, um sie mit einem bestimmten Passwort zu schützen und sie für Dritte tatsächlich unzugänglich zu machen. Der Schutz kann auch für Wechselmedien oder USB-Sticks konfiguriert werden.

Tatsächlich gibt es auch Drittanbieter-Tools zur Verschlüsselung von Festplatten und Partitionen, wie TrueCrypt oder VeraCrypt (gilt als die beste Alternative), die ebenfalls kostenlos sind, aber nicht die Sicherheit in Bezug auf Standards und dauerhafte Zuverlässigkeit bieten, die stattdessen ein integriertes Windows-Tool bieten kann. BitLocker schützt die Daten auf dem Computer auch vor Diebstahl, da der Zugriff auf die Dateien auf den Festplatten ohne Kenntnis des Passworts nicht möglich ist.

Um BitLocker unter Windows 10 zu aktivieren, gibt es verschiedene Betriebsarten. Eine davon erfordert ein Mainboard mit einem Chip namens TPM (Trusted Platform Module) Version 1.2. Dieser Chip wird zur Speicherung von Sicherheitspasswörtern verwendet. Die Tatsache, dass die Passwörter auf einem physischen Medium gespeichert werden, das sich von der Festplatte unterscheidet, garantiert eine hohe Sicherheit. Es ist jedoch möglich, BitLocker auch auf Computern ohne TPM-Chip zu aktivieren und zu verwenden, wie wir später sehen werden, obwohl diese Lösung möglicherweise weniger sicher ist als die vorherige.

TPM Chip

 

So aktivieren Sie BitLocker zum Schutz von Daten auf einer Partition:

In unserem Beispiel zeigen wir, wie man BitLocker auf einer einzelnen Festplattenpartition aktiviert (was zum Schutz bestimmter Dateien oder Programme nützlich sein kann). Hier verwenden wir die kostenlose Software “Macrorit Partition Expert”, aber Sie können jede andere Freeware-Software verwenden, um Partitionen zu erstellen. Wählen Sie eine Partition aus und klicken Sie mit der rechten Maustaste auf “Move / Resize”. Entfernen Sie 100 GB von einer vorhandenen Partition:

micro_resize_volume

Erstellen Sie die neue Partition, und ordnen Sie ein Dateisystem, ein Label und einen Laufwerksbuchstaben zu.:

 

micro_create_volume

Durch Klicken auf “Übernehmen” in der Symbolleiste erstellt die Software die neue Partition. Wenn Sie die neue Partition auf der Festplatte erstellen, auf der das Betriebssystem installiert ist, müssen Sie die Maschine neu starten.

file_system

An dieser Stelle klicken Sie mit der rechten Maustaste auf das neue Gerät und wählen Sie “Bitlocker aktivieren”, es erscheint ein Formular zur Auswahl des Modus, mit dem Sie die Daten schützen möchten. In unserem Beispiel haben wir den Modus “Passwort” gewählt:

choose_modality_enc

Nachdem Sie das Passwort festgelegt und auf “Weiter” geklickt haben, fordert BitLocker Sie auf, den Passwort-Rettungsmodus zu wählen.

Zu den Wiederherstellungsoptionen gehören:

  1. Microsoft-Konto;
  2. USB-Stick;
  3. Datei;
  4. Drucken;

Im aktuellen Beispiel wählen wir, den Recovery-Key in einer Datei zu speichern. Aus offensichtlichen Sicherheitsgründen sollte die Datei vom PC entfernt und auf einem anderen Gerät gespeichert werden.

save_pswd_recovery

 

BitLocker lässt Ihnen anschließend die Wahl, die gesamte Einheit oder nur die darin enthaltenen Daten zu verschlüsseln. Wir wählen den Schutz der gesamten Einheit.

Wählen Sie “Neuer Verschlüsselungsmodus”, klicken Sie auf “Weiter” und dann auf “Verschlüsselung starten”. BitLocker startet den Verschlüsselungsprozess des Laufwerks.

Durch die Verschlüsselung der gesamten Festplatte wird der Prozess langsamer.

protect_all  type_ecnryption   start_encryption

 

Nach dem Vorgang wird das Laufwerkssymbol mit einem gelben Vorhängeschloss gekennzeichnet, um anzuzeigen, dass die Festplatte vor der Verwendung entsperrt werden muss.

Um sie freizuschalten, klicken Sie einfach darauf und geben Sie das gewünschte Passwort ein.

unlock

 

Verwenden Sie BitLocker auch auf Computern ohne TPM-Chip

Um den BitLocker-Schutz auch auf Computern ohne TPM-Chip nutzen zu können, ist es notwendig, auf Systemrichtlinien zu reagieren. In diesem Modus ist der Schutz auf Softwareebene, daher weniger effektiv als der Schutz der Chip-Hardware.

no_cpm

Durch Aktivieren des Schutzes und Aktivieren der Option “BitLocker ohne kompatibles TPM zulassen” können wir ein Zugangspasswort festlegen oder die Zugangsdaten auf einem USB-Support speichern. Der Zugriff auf die Daten wird durch die Eingabe des Passworts bei jeder Gelegenheit oder durch das Einstecken eines USB-Sticks beim PC-Start gewährleistet.

Die Verwendung von BitLocker zur Verschlüsselung eines Laufwerks oder einer Partition ist eine sehr empfehlenswerte Vorgehensweise zum Schutz sensibler Daten, sowohl aus GDPR-Sicht als auch einfach zur Vermeidung von Diebstahl von Berechtigungen.

 

Anwendungsfälle:

Verwenden Sie BitLocker, um Daten des Remote Desktop Connection Manager (RDCMan) zu schützen.

Remote Desktop Connection Manager ist ein von Microsoft entwickeltes kostenloses Dienstprogramm, das von Netzwerkadministratoren häufig verwendet wird und es Ihnen ermöglicht, mehrere Remote-Desktopverbindungen in einer einzigen Benutzeroberfläche zu verwalten.

Mit RDCMan können Sie Gruppen und weitere Serverobjekte speichern, mit denen Sie sich verbinden können. Es ist auch möglich, die Anmeldeinformationen zu speichern, um zu vermeiden, dass sie bei jeder Verbindung eingegeben werden. Die RDCMan-Archivdateien, die auch die Zugangsdaten enthalten, werden jedoch auf der Festplatte gespeichert, und da Microsoft nicht das Dienstprogramm einer “Master Password”-Funktion bereitgestellt hat, kann sich jeder Angreifer, der Zugriff auf den Computer hat, einfach durch Öffnen von RDCMan mit entfernten Rechnern verbinden. Die Verwendung von BitBlocker mit dem Schutz eines Festplattenlaufwerks, das für das Speichern von RDCMan-Dateien (Remote Desktop Connection Manager) vorgesehen ist, kann als eine obligatorische Methode angesehen werden, um Verbindungsdaten vor unbefugtem Zugriff zu schützen. Im Folgenden finden Sie den Fehler von RDCMan beim Versuch, auf seine Dateien zuzugreifen, die innerhalb eines verschlüsselten Laufwerks geschützt sind:

alert_disk_protect

 

 

Verwenden Sie Iperius, um Ordner und Dateien von einer BitLocker-geschützten Festplatte zu sichern:

Der Datenschutz mit BitLocker verhindert auch den Zugriff auf Backup-Software, die beabsichtigt, Dateien von einer geschützten Festplatte zu kopieren. Dies gilt natürlich auch für Iperius Backup. Wenn Sie den Schutz nicht vom Laufwerk entfernen, zeigt Iperius folgenden Fehler in den Backup-Protokollen an.

erro_log_iperius

Natürlich wird das Backup durch das Entsperren des Laufwerks erfolgreich ausgeführt, aber dies stellt einige Probleme dar, wenn wir automatische Backups durchführen müssen, da das Entsperren der Festplatte ein explizites Eingreifen des Benutzers erfordert. Eine Lösung besteht darin, vor dem Backup ein Skript mit Iperius auszuführen (wir können es in den Backup-Optionen im Bereich “Andere Prozesse” konfigurieren), wo wir einen Befehl einfügen können, der das Laufwerk vor dem Backup entsperrt, wie im folgenden Beispiel:

manage-bde -unlock D: -RecoveryPassword LA-TUA-RECOVERY-KEY

Am Ende der Sicherung kann Iperius dann ein weiteres Skript ausführen, welches das Laufwerk wieder sperrt:

manage-bde -lock D:

Es ist jedoch zwecklos, hinzuzufügen, wie unsicher es ist, ein Skript mit einem klaren Passwort auf einer Festplatte zu halten, um die BitLocker-geschützte Festplatte zu entschlüsseln. Eine sicherere Möglichkeit, mit BitLocker verschlüsselte Festplatten zu sichern, ist die Verwendung des Backup-Modus Drive Image.

Drive Image Backup mit Iperius eines mit BitLocker geschützten Laufwerks:

Ein anderes Szenario finden wir in Iperius Drive Image Backup. Die Sicherung wird sowohl bei einem gesperrten als auch bei einem entsperrten Laufwerk erfolgreich durchgeführt. Anschließend, wenn die “.vhdx”-Bilddatei schließlich wiederhergestellt wird, wird das Laufwerk, wenn es am Ursprungsort gesperrt wurde, mit der aktiven Sperre wiederhergestellt, umgekehrt wird es wieder entsperrt:

disk_image_backup

Iperius kann daher als eine hervorragende Software angesehen werden, um eine Festplatte oder SSD mit BitLocker zu klonen. Darüber hinaus ermöglicht Ihnen Iperius die Wiederherstellung einer BitLocker-verschlüsselten Festplatte, wie im folgenden Tutorial gezeigt: Wiederherstellen eines BitLocker-Laufwerks-Image-Backups mit Iperius Recovery Enviroment®

Lesen Sie auch: Laufwerk-Image-Backup, P2V- und Festplatte Klonen mit Iperius

Dasselbe geschieht, wenn Sie ein Windows Drive Image ausführen (welches mit Windows Backup kompatible Laufwerk Image, das Iperius über die Wbadmin-Schnittstelle ausführt). In der Tat wurde das Thema kritisiert, da das Windows-Backup-System explizit darauf hinweist, dass das Disk-Backup nicht wiederum verschlüsselt wird. Die Sicherheit kann jedoch gewährleistet werden, indem das Backup, d.h. die VHDX-Image-Datei, auf einem Pfad gespeichert wird, der selbst verschlüsselt oder anderweitig außer durch Authentifizierung nicht zugänglich ist.

 

(Englisch, Italienisch, Französisch, Spanisch, Portugiesisch, Brasilien)



BitLocker: Laufwerksverschlüsselung unter Windows 10 mit einem Recovery-Key
Iperius Backup Germany
*****************************************

PLEASE NOTE: if you need technical support or have any sales or technical question, don't use comments. Instead open a TICKET here: https://www.iperiusbackup.com/contact.aspx

*****************************************

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

*****************************************

PLEASE NOTE: if you need technical support or have any sales or technical question, don't use comments. Instead open a TICKET here: https://www.iperiusbackup.com/contact.aspx

*****************************************