Hochschulrechenzentrum
Themen & Services
Servicegruppen
- Keine Schlagworte vergeben
Hochschulrechenzentrum
Themen & Services
Servicegruppen
In Microsoft Windows können Festplatten mit der im Betriebssystem integrierten Software „BitLocker“ verschlüsselt werden. Die Verschlüsselung wird seit dem kumulativen Update vom 24. September 2019 innerhalb von Windows nur noch softwareseitig durchgeführt, da hardwareseitige Verschlüsselung aufgrund von häufig auftretenden Schwachstellen ausgeschlossen wurde. *1
Bitte beachten Sie die den Unterschied zwischen Kennwort, PIN und erweiterter PIN.
An der Jade Hochschule wird BitLocker ohne die Nutzung von TPM verwendet. Zurzeit wird BitLocker lediglich für Systeme ohne Anbindung an das Active-Directory angeboten - also vorrangig für mobile Geräte.
Anpassung der lokalen Gruppenrichtlinien
Vorgehensweise:
1. Öffnen Sie die lokalen Gruppenrichtlinien mit Eingabe von gpedit.msc in der Windows Suchmaske. Expandieren Sie anschließend in den Ordner Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → BitLocker Laufwerksverschlüsselung. Anschließend klicken Sie auf Betriebssystemlaufwerke.
2. Unter Betriebssystemlaufwerke öffnen Sie mit einem Doppelklick „Zusätzliche Authentifizierung beim Start anfordern“.
3. Aktivieren Sie die Option und stellen Sie sicher, dass bei „BitLocker ohne kompatibles TPM zulassen (…)“ ein Häkchen gesetzt ist. Nun übernehmen Sie die Auswahl und bestätigen mit „OK“.
Öffnen Sie die BitLocker Verwaltung durch Eingabe von „BitLocker verwalten“ in die Windows Suchmaske. Aktivieren Sie BitLocker für das gewünschte Laufwerk in dem Sie auf „BitLocker aktivieren“ klicken.
Hinweis: Bitte beachten Sie, dass bei einer Verschlüsselung der Systemfestplatte ein vorher festgelegtes Kennwort während des Startvorgang des Rechners abgefragt wird. Falls eine Festplatte oder Partition verschlüsselt wird, die lediglich als Datenspeicher fungiert, so erfolgt hier keine Abfrage eines Kennworts.
Festlegen, wie das Laufwerk beim Start entsperrt werden soll
Wählen Sie hier
Kennwort zum Entsperren des Laufwerks erstellen
Das Passwort muss mindestens 8 Zeichen betragen. Bitte benutzen Sie auch Ziffern und Sonderzeichen! Bedingt durch den Versionsstand von Windows 10 können verschiedene Möglichkeiten angeboten werden, das Laufwerk zu entsperren. Seitens des Hochschulrechenzentrums wird lediglich die Nutzung eines Kennwortes angeboten. Das Kennwort kann entweder händisch eingegeben oder mittel USB-Stick übertragen werden.
Wie soll der Wiederherstellungsschlüssel gesichert werden
Der Wiederherstellungsschlüssel darf sich niemals auf dem verschlüsselten Gerät befinden. Je nach Version und Versionsstand von Windows 10 kann es vorkommen, dass angeboten wird den Wiederherstellungsschlüssel auf einem Microsoft-Konto zu speichern - wovon wir abraten. Grundsätzlich ist es empfehlenswert den Schlüssel auf einem Medium zu speichern, welches nicht jederzeit erreichbar ist.
Hinweis für Bedienstete: Speichern Sie die unter Möglichkeit 2 erzeugte Wiederherstellungsdatei zusätzlich im Verzeichnis X:\HRZ-Support\Festplattenverschlüsselung\Wiederherstellungsschlüssel
. Sie ermöglichen der PC-Technik des HRZ damit die Unterstützung auch für den Fall, dass Sie den Wiederherstellungsschlüssel nicht vorweisen können. Das angegebene Verzeichnis hat eine sogenannte „Briefkastenfunktion“, d.h. nach Speicherung können nur die Kolleg_innen des HRZ diesen Schlüssel sehen.
Auswählen, wie viel Speicherplatz des Laufwerks verschlüsselt werden soll
Wählen Sie hier die Option „Gesamtes Laufwerk verschlüsseln“
Zu verwendenden Verschlüsselungsmodus auswählen
Wählen Sie hier die Option „Neuer Verschlüsselungsmodus“
Möchten Sie das Laufwerk jetzt verschlüsseln?
Aktivieren Sie die Option „BitLocker-Systemüberprüfung ausführen“ und folgen Sie den Anweisungen. Der Computer muss dann zur BitLocker-Laufwerksverschlüsselung neu gestartet werden.
2. Passwort eingeben und auf weiter klicken
3. Recovery-Key drucken und auf einem externen Datenträger speichern. Dieser Datenspeicher sollte ausschließlich zur Verwahrung des Recovery-Keys dienen. Beachten Sie bitte auch die Möglichkeit unserer Verwahrfunktion unter Laufwerk „x“ (Siehe Abschnitt: „Wie soll der Wiederherstellungschlüssel gespeichert werden“)
4. Bitte wählen Sie „gesamtes Laufwerk verschlüsseln“ aus.
5. Wählen Sie bitte den kompatiblen Modus aus.
6. Vorgang bestätigen. Abschließend ist Ihr externer Datenträger verschlüsselt
Um das Laufwerk zu entschlüsseln müssen Sie auf weitere Optionen klicken und anschließend „Wiederherstellungsschlüssel eingeben“ wählen.
Info: Falls Sie bereits vorher das Kennwort zum Entsperren des Laufwerks eingegeben haben oder das Laufwerk automatisch entsperrt wird, ist bei einer anschließenden Entschlüsselung die Eingabe des Wiederherstellungsschlüssels nicht notwendig und auch nicht möglich*.
BitLocker kann dementsprechend mit Eingabe des Kennwortes komplett deaktiviert werden, ohne dass eine zusätzliche Kennung/Identifizierung notwendig ist. Deaktivierung ist in diesem Fall mit Entschlüsselung gleich zu setzen.
*bezieht sich auf einen Benutzer mit Administratorrechten. Die Deaktivierung von BitLocker kann durch Beschränkung der Rechte eines Standardbenutzers unterbunden werden.
Öffnen Sie mit Rechtsklick auf einem mit BitLocker geschütztem Laufwerk das Menü „BitLocker verwalten“. Hier kann der Systemstartschlüssel dupliziert werden. Alternativ lässt sich die Datei auch kopieren. Diese ist standardmäßig allerdings als Systemdatei markiert und daher ausgeblendet.
Nachdem in der Hardware-Verschlüsselung von Datenträgern immer wieder gravierende Sicherheitsprobleme aufgedeckt wurden, zieht Microsoft jetzt einen Schlussstrich: Mit den zum 24. September veröffentlichten kumulativen Updates ignoriert die Windows-eigene Festplattenverschlüsselung BitLocker solche Funktionen standardmäßig. Stattdessen wird BitLocker die Verschlüsselung per Default in Software vornehmen. Früher nutzte BitLocker bevorzugt vorhandene Verschlüsselungsfunktionen der Hardware und kümmerte sich nur, wenn das nicht möglich war, selbst um die Verschlüsselung. Die Änderung betrifft nur neu verschlüsselte Laufwerke; bereits verschlüsselte bleiben im bisherigen Zustand.“ (Heise-Gruppe, Jürgen Schmidt, 30.09.2019) *1
Abermals weisen Sicherheitsforscher bedenkliche Schwachstellen in zertifizierten Trusted Platform Modules (TPMs) nach. Der Angriff TPM-Fail kratzt am grundsätzlichen TPM-Konzept. Denn erstens soll ein solches TPM kryptografische Geheimnisse besonders sicher schützen, und zwar als zusätzliche Instanz unabhängig von Hauptprozessor und Betriebssystem. Zweitens durchlaufen derartige TPMs aufwendige Zertifizierungen in Speziallabors, die sie auf Schwachstellen abklopfen.“ (Heise-Gruppe, Christof Windeck, 14.11.2019) *3 Ergänzung des Autors: Microsoft verwendet laut eigenen Angaben jedoch den betroffenen ECDSA Algorithmus nicht, sodass aktuell BitLocker von keiner Schwachstelle seitens TPM betroffen ist. TPM ist standardmäßig bei unseren Pool- und Arbeitsplatzrechnern als auch bei den mobilen Endgeräten im BIOS/UEFI ausgeschaltet und daher auch nicht im Geräte-Manger sichtbar. *10