BitLocker-Verschlüsselung in Windows: Festplatte oder USB-Laufwerk
Lesen Sie, wie Sie Ihre Festplatte oder Ihr externes Laufwerk durch Verschlüsselung vor dem Zugriff durch Fremde schützen können. So konfigurieren und verwenden Sie die integrierte Windows-Funktion – BitLocker-Verschlüsselung. Mit dem Betriebssystem können Sie lokale Laufwerke und Wechselmedien mit dem integrierten BitLocker-Verschlüsselungsprogramm verschlüsseln. Als das TrueCrypt-Team das Projekt unerwartet schloss, ermutigten sie ihre Benutzer, zu BitLocker zu wechseln.
- So aktivieren Sie Bitlocker
- BitLocker ohne TPM verwenden
- Wählen Sie die Entsperrmethode
- Speichern Sie den Wiederherstellungsschlüssel an einem sicheren Ort auf
- Entschlüsselung und Entsperrung einer Festplatte
- Fragen und Antworten
- Bemerkungen
So aktivieren Sie Bitlocker
Um BitLocker für die Festplattenverschlüsselung und BitLockerToGo verwenden zu können, benötigen Sie eine professionelle Unternehmensversion von Windows 8, 8.1 oder 10 oder die maximale Version von Windows 7. Der „Kernel“ von Windows 8.1 enthält jedoch die Funktion „DeviceEncryption“ für den Zugriff auf verschlüsselte Geräte.
Um BitLocker zu aktivieren, öffnen Sie die Systemsteuerung und gehen Sie zu System und Sicherheit – Laufwerksverschlüsselung mit BitLocker. Sie können auch den Windows Explorer öffnen, mit der rechten Maustaste auf die Festplatte klicken und BitLocker aktivieren auswählen. Wenn diese Option nicht im Menü enthalten ist, haben Sie eine nicht unterstützte Version von Windows.
Klicken Sie auf die Option BitLocker aktivieren für das Systemlaufwerk, eine logische Partition oder ein Wechseldatenträger, um die Verschlüsselung zu aktivieren. Dynamische Festplatten können nicht mit BitLocker verschlüsselt werden.
Zum Aktivieren stehen zwei Arten der BitLocker-Verschlüsselung zur Verfügung:
- Für eine logische Partition. Ermöglicht das Verschlüsseln aller integrierten Laufwerke, sowohl des Systems als auch nicht. Wenn Sie den Computer einschalten, startet der Bootloader Windows im Abschnitt SystemReserved und bietet eine Entsperrmethode an, z. B. ein Kennwort. Danach entschlüsselt BitLocker das Laufwerk und startet Windows. Der Verschlüsselungs- / Entschlüsselungsprozess findet im laufenden Betrieb statt und Sie arbeiten mit dem System auf die gleiche Weise wie vor der Aktivierung der Verschlüsselung. Sie können auch andere Laufwerke auf Ihrem Computer verschlüsseln, nicht nur das Betriebssystemlaufwerk. Das Kennwort für den Zugriff muss beim ersten Zugriff auf ein solches Laufwerk eingegeben werden.
- Für externe Geräte: Externe Laufwerke wie USB-Sticks und externe Festplatten können mit BitLockerToGo verschlüsselt werden. Sie werden aufgefordert, ein Kennwort zum Entsperren einzugeben, wenn das Laufwerk an den Computer angeschlossen ist. Benutzer, die kein Kennwort haben, können nicht auf Dateien auf der Festplatte zugreifen.
BitLocker ohne TPM verwenden
Wenn Ihr Trusted Platform Module (TPM) fehlt, wird beim Einschalten von BitLocker eine Meldung angezeigt:
„Auf diesem Gerät kann kein TPM (Trusted Platform Module) verwendet werden. Der Administrator muss für die Richtlinie” Zusätzliche Authentifizierung beim Start anfordern” für Betriebssystemvolumes die Option “Bitlocker ohne kompatibles TPM zulassen” festlegen.
Für die Verschlüsselung eines Laufwerks mit Bitlocker ist standardmäßig ein TPM-Modul auf dem Computer erforderlich, um das Laufwerk mit dem Betriebssystem zu schützen. Dies ist ein Mikrochip, der in das Computer-Motherboard eingebettet ist. BitLocker kann den verschlüsselten Schlüssel in TPM speichern, da er viel zuverlässiger ist als das Speichern auf der Festplatte des Computers. Der TPM-Chip stellt den Verschlüsselungsschlüssel erst bereit, nachdem der Status des Computers überprüft wurde. Ein Angreifer kann nicht einfach die Festplatte Ihres Computers stehlen oder ein verschlüsseltes Image erstellen und es dann auf einem anderen Computer entschlüsseln.
Um die Festplattenverschlüsselung ohne das TPM-Modul zu aktivieren, müssen Sie über Administratorrechte verfügen. Sie müssen den Editor für lokale Sicherheitsrichtliniengruppen öffnen und die erforderliche Einstellung ändern.
Drücken Sie die Windows-Taste + R, um den Befehl Ausführen auszuführen, geben Sie gpedit.msc ein und drücken Sie die Eingabetaste. Wechseln Sie zu Editor für lokale Gruppenrichtlinien – Computerkonfiguration – Administrative Vorlagen – Windows-Komponenten – BitLocker-Laufwerkverschlüsselung – Betriebssystemlaufwerke. Doppelklicken Sie auf die Option “Zusätzliche Authentifizierung beim Start anfordern”. Ändern Sie den Wert in “Aktiviert” und aktivieren Sie das Kontrollkästchen für die Option “BitLocker ohne kompatibles TPM zulassen”. Klicken Sie dann zum Speichern auf “OK”.
Wählen Sie die Entsperrmethode
Als Nächstes müssen Sie angeben, wie das Laufwerk beim Start entsperrt werden soll. Sie können verschiedene Pfade auswählen, um das Laufwerk zu entsperren. Wenn Ihr Computer nicht über TPM verfügt, können Sie das Laufwerk entsperren, indem Sie ein Kennwort eingeben oder ein spezielles USB-Flash-Laufwerk einstecken, das wie ein Schlüssel funktioniert.
Wenn Ihr Computer mit TPM ausgestattet ist, stehen Ihnen zusätzliche Optionen zur Verfügung. Beispielsweise können Sie die automatische Entsperrung beim Starten konfigurieren. Der Computer fordert das Kennwort für das TPM-Modul an und entschlüsselt die Festplatte automatisch.
Um die Sicherheitsstufe zu erhöhen, können Sie die Verwendung des PIN-Codes beim Starten konfigurieren. Der PIN-Code wird verwendet, um den Schlüssel sicher zu verschlüsseln und die in TPM gespeicherte Festplatte zu öffnen.
Wählen Sie Ihre bevorzugte Entsperrmethode und befolgen Sie die Anweisungen zur weiteren Konfiguration.
Speichern Sie den Wiederherstellungsschlüssel an einem sicheren Ort auf
Vor dem Verschlüsseln Ihres Laufwerks erhalten Sie von BitLocker einen Wiederherstellungsschlüssel. Dieser Schlüssel entsperrt die verschlüsselte Festplatte, falls Ihr Passwort verloren geht. Beispielsweise verlieren Sie ein Kennwort oder einen USB-Stick, der als Schlüssel verwendet wird, oder das TPM-Modul funktioniert nicht mehr usw.
Sie können den Schlüssel in einer Datei speichern, ausdrucken und mit wichtigen Dokumenten speichern, auf einem USB-Flash-Laufwerk speichern oder in Ihr Microsoft-Onlinekonto hochladen. Wenn Sie den Wiederherstellungsschlüssel in Ihrem Microsoft-Konto speichern, können Sie später unter https://onedrive.live.com/recoverykey darauf zugreifen.
Stellen Sie sicher, dass dieser Schlüssel sicher gespeichert ist. Wenn jemand Zugriff darauf erhält, kann er das Laufwerk entschlüsseln und Zugriff auf Ihre Dateien erhalten. Es ist sinnvoll, mehrere Kopien dieses Schlüssels an verschiedenen Orten zu speichern. Wenn Sie keinen Schlüssel haben und etwas mit Ihrer Hauptentsperrmethode passiert, gehen Ihre verschlüsselten Dateien für immer verloren.
Entschlüsselung und Entsperrung einer Festplatte
Nach der Aktivierung verschlüsselt BitLocker neue Dateien automatisch, wenn sie hinzugefügt oder geändert werden. Sie können jedoch auswählen, was mit Dateien geschehen soll, die sich bereits auf Ihrer Festplatte befinden. Sie können nur den aktuell belegten Speicherplatz oder die gesamte Festplatte verschlüsseln. Die Verschlüsselung der gesamten Festplatte dauert länger, schützt jedoch vor der Möglichkeit, den Inhalt gelöschter Dateien wiederherzustellen. Wenn Sie BitLocker auf einem neuen Computer einrichten, verschlüsseln Sie nur den verwendeten Speicherplatz – dies ist schneller. Wenn Sie BitLocker auf dem zuvor verwendeten Computer einrichten, müssen Sie Gesamtes Laufwerk verschlüsseln.
Sie werden aufgefordert, eine BitLocker-Systemprüfung durchzuführen und Ihren Computer neu zu starten. Nach dem ersten Start des Computers wird das Laufwerk verschlüsselt. Das BitLocker-Symbol ist in der Taskleiste verfügbar. Klicken Sie darauf, um den Fortschritt anzuzeigen. Sie können einen Computer verwenden, während das Laufwerk verschlüsselt ist, der Vorgang wird jedoch langsamer.
Nach dem Neustart des Computers wird eine Zeile zur Eingabe eines BitLocker-Kennworts, eines PIN-Codes oder eines Vorschlags zum Einstecken eines USB-Sticks angezeigt.
Drücken Sie Escape, wenn Sie nicht entsperren können. Sie werden aufgefordert, einen Wiederherstellungsschlüssel einzugeben.
Wenn Sie ein Wechselmedium mit BitLockerToGo verschlüsseln möchten, wird ein ähnlicher Assistent angezeigt, Ihr Laufwerk wird jedoch verschlüsselt, ohne dass ein Neustart des Systems erforderlich ist. Trennen Sie das Wechseldatenträger während des Verschlüsselungsprozesses nicht vom Computer.
Wenn Sie ein verschlüsseltes USB-Flash-Laufwerk oder ein externes Laufwerk an Ihren Computer anschließen, müssen Sie ein Kennwort eingeben, um es zu entsperren. Geschützte BitLocker-Laufwerke haben im Windows Explorer ein spezielles Symbol.
Sie können geschützte Festplatten im Fenster der BitLocker-Systemsteuerung verwalten. Ändern Sie das Kennwort, deaktivieren Sie BitLocker, erstellen Sie eine Sicherungskopie des Wiederherstellungsschlüssels und anderer Aktionen. Klicken Sie mit der rechten Maustaste auf das verschlüsselte Laufwerk und wählen Sie BitLocker aktivieren, um zur Systemsteuerung zu gelangen.
Wie jede Verschlüsselung lädt BitLocker zusätzlich Systemressourcen. In der offiziellen BitLocker-Hilfe von Microsoft heißt es: “Normalerweise beträgt die zusätzliche Last weniger als 10%.” Wenn Sie mit wichtigen Dokumenten arbeiten und eine Verschlüsselung benötigen, ist dies ein angemessener Kompromiss bei der Leistung.
BitLocker ist eine Verschlüsselungstechnologie, die von Microsoft entwickelt wurde, um die Daten auf Festplatten und anderen Speichergeräten zu schützen. Es kann auf Windows-Betriebssystemen und auf bestimmten Versionen von macOS verwendet werden. Es verwendet einen AES-Verschlüsselungsalgorithmus mit 128-Bit- oder 256-Bit-Schlüssellänge.
EFS (Encrypting File System) ist eine Verschlüsselungstechnologie, die von Microsoft entwickelt wurde, um Dateien und Ordner auf NTFS-formatierten Partitionen zu schützen. Es verwendet einen AES-Verschlüsselungsalgorithmus mit 128-Bit- oder 256-Bit-Schlüssellänge. Im Gegensatz zu BitLocker kann EFS nur auf Windows-Betriebssystemen verwendet werden.
1. Verwenden Sie eine starke Firewall, um unerwünschte Verbindungen zu blockieren.
2. Installieren Sie Antivirensoftware, um Malware zu erkennen und zu entfernen.
3. Verwenden Sie eine starke Passwortrichtlinie, um die Konten Ihrer Benutzer zu schützen.
4. Führen Sie regelmäßig Backups Ihrer Daten durch, um den Verlust von Daten aufgrund von Cyberangriffen oder Malware zu verhindern.
5. Verwenden Sie Verschlüsselungssoftware, um Ihre Daten vor unbefugtem Zugriff zu schützen.
6. Halten Sie Ihre Software immer auf dem neuesten Stand, um Sicherheitslücken zu schließen.