Dieser Artikel soll die Festplattenverschlüsselung auf einem Computersystem ohne TPM-Chip beispielhaft beschreiben.

Was ist Bitlocker-Laufwerksverschlüsselung
Bitlocker-Laufwerksverschlüsselung ist eine integrierte Sicherheitsfunktion in Windows Vista, die auf einem Computer umfassenden Schutz für Offlinedaten und das Betriebssystem zur Verfügung stellt. BitLocker stellt sicher, dass Daten, die auf einem Windows Vista ausführenden Computer gespeichert sind, nicht preisgegeben werden, wenn der Computer manipuliert wird, während das installierte Betriebssystem offline ist. Wahlweise wird ein TPM (Trusted Platform Module) verwendet, um Ihren Daten verbesserten Schutz zu bieten und beim Starten früh die Integrität der Komponenten sicherzustellen. Dadurch können Ihre Daten vor Diebstahl oder nicht autorisiertem Zugriff geschützt werden, indem das gesamte Windows Volume verschlüsselt wird.

Die BitLocker-Laufwerksverschlüsselung ist für die Zusammenarbeit mit einem kompatiblen TPM-Mikrochip und einem entsprechendem BIOS entwickelt worden. Ein TPM gilt als kompatibel, wenn es ein TPM der Version 1.2 mit allen entsprechenden BIOS-Änderungen ist, die erforderlich sind, um die von der Trusted Computing Group definierte BIOS-Erweiterung Static Root of Trust Measurement zu unterstützen. Das TPM interagiert mit BitLocker-Laufwerksverschlüsselung, um beim Systemstart nahtlosen Schutz zu bieten.

BitLocker-Laufwerksverschlüsselung kann auch auf Computern ohne ein kompatibles TPM verwendet werden. In diesem Fall können Sie mit BitLocker-Laufwerksverschlüsselung zwar die Funktionen zur Volumeverschlüsselung verwenden, Sie erhalten jedoch nicht die zusätzliche Sicherheit durch die frühe Integritätsüberprüfung der Startdatei. Stattdessen wird die Identität des Benutzers beim Starten mithilfe eines USB-Flashlaufwerks überprüft.

BitLocker verfügt über zwei TPM-Modi:

• Nur TPM (TPM-only): Dieser Modus ist für den Benutzer transparent, und die Benutzeranmeldung erfolgt unverändert. Wenn das TPM jedoch fehlt oder geändert wird, startet BitLocker den Wiederherstellungsmodus, und Sie benötigen einen Wiederherstellungsschlüssel oder ein Wiederherstellungskennwort, um wieder auf die Daten zugreifen zu können.
  
• Systemstartschlüssel (Startup Key): Der Benutzer benötigt einen Systemstartschlüssel, um sich am Computer anzumelden. Ein Systemstartschlüssel kann ein physischer (ein USB-Flashlaufwerk, auf das ein computerlesbarer Schlüssel geschrieben wurde) oder ein persönlicher (eine vom Benutzer festgelegte PIN) Schlüssel sein.

• Schlüssel auf einem USB-Flashlaufwerk (USB Flash Drive key ): Der Benutzer schließt vor dem Einschalten ein USB-Flashlaufwerk an den Computer an. Der Computer wird mit dem auf dem Flashlaufwerk gespeicherten Schlüssel entsperrt.

Inhalt:

1. Systemvorbereitung für die BitLocker-Laufwerksverschlüsselung
2. Installation von Windows Vista
3. Einschalten der BitLocker-Laufwerksverschlüsselung auf einem Computer ohne TPM-Chip

1. Systemvorbereitung für die BitLocker-Laufwerksverschlüsselung
Damit die BitLocker-Laufwerksverschlüsselung überhaupt verwendet werden kann, muss Ihr System bestimmten Voraussetzungen entsprechen. Es werden mindestens zwei Partitionen benötigt. Die erste Partition (das Systemvolume) enthält in einem unverschlüsselten Bereich die Startinformationen. Die zweite Partition (das Betriebssystemvolume) ist verschlüsselt und enthält das Betriebssystem und die Benutzerdaten. Diese Partitionen müssen vor der Installation von Windows Vista erstellt werden.  

Um die Partitionierung vor der Installation durchzuführen kann das Befehlszeilenprogramm Diskpart.exe verwendet werden.

Schritt 1:
Starten Sie den Computer von der Windows Vista Installations-DVD. Wählen Sie die Installationssprache, legen Sie Uhrzeit und Währungsformat fest und konfigurieren Sie das Tastaturschema. Klicken Sie anschließend auf Weiter.

Schritt 2:
Klicken Sie auf Computerrepaparaturoptionen.

Schritt 3:
Klicken Sie im Dialogfeld Systemwiederherstellungsoptionen auf Weiter.

Schritt 4:
Öffnen Sie die Eingabeaufforderung.

Schritt 5:
Starten Sie das Befehlszeilenprogramm Diskpart.exe. Wir erstellen zwei primäre Partitionen. Zunächst wird der Datenträger 0 für die folgenden Aktionen ausgewählt. Anschließend wird eine primäre Partition mit dem gesamten Speicherplatz erstellt und dieser der Laufwerksbuchstabe C zugewiese. Dies wird später die Systempartition. In der Folge wird Platz geschaffen für die Startpartition. Es werden mindestens 1500 MB benötigt. In dem verfügbar gewordenem Speicherplatz wird ebenfalls eine primäre Partition erstellt und als aktive Partition festeglegt. Die Startpartition erhält den Öaufwerksbuchstaben S.
Um das Programm Diskpart wieder zu verlassen muss zum Schluss der Befehl exit ausgeführt werden.

Schritt 6:
Die beiden Partitionen können nun mit dem Dateisystem NTFS formatiert werden. Der Schalter /q legt die Schnellformatierung als Methode fest. Schließen Sie anschließend die Eingabeaufforderung, um zum Dialogfenster Systemwiederherstellungsoptionen zurückzukehren.

Schritt 7:
Schließen Sie die Systemwiederherstellungsoptionen, um zum Dialog Windows installieren zu gelangen.

2. Installation von Windows Vista

Schritt 1:
Installieren Sie Windows Vista.

Die erstellten Partitionen in der Übersicht.

3. Einschalten der BitLocker-Laufwerksverschlüsselung auf einem Computer ohne TPM-Chip

Schritt 1:
Standardmäßig wird die Bitlocker-Laufwerksverschlüsselung ohne TPM unter Windows Vista nicht unterstützt. Die Funktionalität muss zunächst über eine Richtlinie aktiviert werden. Starten Sie den Gruppenrichtlinienobjekt-Editor (Gpedit.msc), um das lokale Gruppenrichtlinienobjekt zu bearbeiten.
Erweitern Sie den Pfad Computerkonfiguration - Administrative-Vorlagen - Windows-Komponenten - Bitlocker-Laufwerksverschlüsselung. Öffnen Sie anschließend die Richtlinie Systemsteuerungssetup: Erweiterte Startoptionen aktivieren.

Schritt 2:
Aktivieren Sie die Richtlinie und stellen Sie sicher, dass die Otpion BitLocker ohne kompatibles TPM zulassen eingeschaltet ist. Klicken Sie anschließend auf OK.

Schritt 3:
Bevor Sie nun forfahren müssen Sie einen USB-Flashspeicher mit Ihrem Computer verbinden. Auf dem Speicher wird anschließend der Systemstartschlüssel und das Wiederherstellungskennwort gespeichert. Nach der Verschlüsselung muss der Speicher mit dem Systemstartschlüssel bei jedem Start mit dem Computer verbunden werden. Ohne den Schlüssel ist kein Zugriff auf die verschlüsselten Daten möglich. Auf einem Computer mit TPM-Chip kann dieser Schlüssel im Speicher des TPM abgelegt werden.

Öffnen Sie die Systemsteuerung und wechseln Sie in den Bereich Sicherheit. Klicken Sie auf die Option Computer durch Verschlüsseln von Daten auf dem Datenträger schützen.

Schritt 4:
Klicken Sie auf BitLocker aktivieren.

Schritt 5:
Die Optionen BitLocker ohne zusätzliche Schlüssel verwenden und PIN ist bei jedem Systemstart erforderlich sind nur in Verbindung mit einem TPM-Chip verfügbar. Klicken Sie auf Systemstart-USB-Schlüssel ist bei jedem Systemstart erforderlich.

Schritt 6:
Bestätigen Sie das Speichern des Systemstartschlüssels auf den angeschlossenen USB-Speicherstick.

Schritt 7:
Speichern Sie das Wiederherstellungskennwort ebenfalls auf dem USB-Speicher. Zusätzlich sollten Sie dieses Kennwort ausdrucken und sorgfältig aufbewahren. Sie benötigen dieses Kennwort für die Wiederherstellung geschützter Daten, wenn Ihnen der Systemstartschlüssel abhanden kommt. Klicken Sie anschließend auf die Schaltfläche Weiter.

Der Ausdruck des Wiederherstellungskennwortes enthäl beispielhaft die folgenden Daten:

Das Wiederherstellungskennwort für die BitLocker-Laufwerkverschlüsselung sollte  
an einem sicheren Ort aufbewahrt werden.

Wiederherstellungskennwort für Volume TRAINER-PC Vista 21.01.2008.

115016 - 246873 - 164538 - 384615 - 321376 - 641201 - 188177 - 516978

Schritt 8:
Die Konfiguration der Laufwerksverschlüsselung ist abgeschlossen. Klicken Sie Weiter.

Schritt 9:
Das System bzw. die Systempartition wird nach einem Neustart verschlüsselt. Klicken Sie auf Jetzt neu starten.

Schritt 10:
Für jedes GB Daten auf der zu verschlüsselnden artition wird ca 1 Minute Zeit benötigt.