- BitLocker To Go verschlüsselt USB-Laufwerke und externe Festplatten und erfordert ein Passwort oder einen Wiederherstellungsschlüssel für den Zugriff auf die Daten.
- Die Konfiguration kann zentral über Gruppenrichtlinien erfolgen, die Algorithmen, Passwörter und die Schlüsselspeicherung in Active Directory erzwingen.
- Mit TPM y Powershell Es ermöglicht eine erweiterte BitLocker-Verwaltung sowohl auf internen als auch auf externen Laufwerken.
- BitLocker bietet einen besseren Schutz als EFS und kann je nach Szenario durch Tools wie VeraCrypt ergänzt werden.
Wenn Sie mit arbeiten externe Festplatten, USB-Sticks oder SD-KartenDie Wahrscheinlichkeit, Ihr Gerät zu verlieren oder dass es in falsche Hände gerät, ist höher, als uns lieb ist. Hier kommt BitLocker To Go ins Spiel, die Lösung von Microsoft, die sicherstellt, dass selbst im Falle eines Geräteverlusts niemand ohne Ihr Passwort oder Ihren Wiederherstellungsschlüssel auch nur ein einziges Byte lesen kann.
In diesem Leitfaden werden Sie viel detaillierter als üblich sehen, Was genau ist BitLocker To Go, wie konfiguriert man es unter Windows, wie verwaltet man es mit Gruppenrichtlinien und was ist zu tun, wenn man sein Passwort verliert? Und welche Alternativen gibt es, wenn Sie die Verschlüsselung noch weiter optimieren möchten? Wir behandeln außerdem das Standard-BitLocker-Verfahren, die Rolle des TPM-Chips, dessen Auswirkungen auf die Leistung und vieles mehr. Tricks Erweiterte Funktionen mit PowerShell ermöglichen Ihnen die Steuerung des Tools, als wären Sie aus der IT-Abteilung.
Was ist BitLocker und was bietet BitLocker To Go zusätzlich?
BitLocker ist das Die Laufwerkverschlüsselungsfunktion ist in Windows enthalten. In den Editionen Pro, Enterprise und Education (ab Windows Vista) dient diese Funktion dem Schutz des gesamten Datenträgerinhalts (einschließlich des Betriebssystems), sodass niemand ohne das korrekte Passwort auf die Daten zugreifen kann, selbst wenn der Computer von einem anderen System gestartet oder der Datenträger an einen anderen Computer angeschlossen wird.
Bei Geräten, die in Unternehmen verwaltet werden, ist in der Regel die BitLocker-Verschlüsselung enthalten. zentral gesteuert von der IT-AbteilungViele Organisationen fordern sogar die Verschlüsselung bestimmter oder aller Festplatten. portátiles durch Gruppenrichtlinien, ohne dass der Benutzer entscheiden kann.
Über die Systemsteuerung können Sie auf das Modul zugreifen. BitLocker-Laufwerkverschlüsselung, wobei Windows Ihnen alle Laufwerke mit zugewiesenen Buchstaben anzeigt: das Betriebssystemlaufwerk, interne Datenlaufwerke und Wechseldatenträger, die für BitLocker To Go relevant sind.
BitLocker To Go ist die speziell für BitLocker To Go entwickelte Variante. Wechseldatenträger: USB-Sticks, SD-Karten und externe Festplatten mit Dateisystemen NTFS, FAT16, FAT32 oder exFAT. Der Zweck ist einfach: Wenn jemand Ihren USB-Stick findet oder stiehlt, sieht er nur ein gesperrtes Laufwerk und kann ohne das Passwort, eine Smartcard oder den Wiederherstellungsschlüssel nichts lesen.
Unterschiede zwischen BitLocker und BitLocker To Go
Obwohl sie die gleiche technologische Basis teilen, haben BitLocker und BitLocker To Go unterschiedliche Eigenschaften. etwas unterschiedliche AnsätzeBitLocker konzentriert sich auf die Verschlüsselung des Systemlaufwerks und anderer interner Datenträger, während BitLocker To Go für Wechseldatenträger konzipiert ist, die man häufig an- und absteckt.
Bei der Systemlaufwerkverschlüsselung kann BitLocker mit folgenden Elementen kombiniert werden: TPM, PIN von StartenPasswörter und Schlüssel auf USB-Stick gespeichert Um sicherzustellen, dass der Computer startet, überprüft das System unmittelbar nach dem Einschalten, noch bevor Windows geladen wird, die Integrität und fordert die festgelegte Authentifizierung an; andernfalls startet das System nicht.
Wenn Sie eine interne Datenpartition oder eine Nicht-Boot-Festplatte verschlüsseln, fordert BitLocker Sie beim Doppelklicken auf das Laufwerk zur Eingabe des Passworts auf. Ohne Eingabe des Schlüssels bleibt der Inhalt verschlüsselt.unabhängig von den NTFS-Berechtigungen, die die Ordner oder die Windows-Benutzer haben.
BitLocker To Go konzentriert sich hingegen auf die praktische Anwendung von verschlüsselte USB-Laufwerke, die Sie mit sich führen könnenSchließen Sie den USB-Stick an einen kompatiblen Windows-Computer an, geben Sie das Passwort ein oder verwenden Sie Ihre Smartcard. Der Stick wird dann unverschlüsselt eingebunden. Beim Kopieren von Dateien auf den USB-Stick werden diese sofort verschlüsselt; beim Kopieren vom Stick werden sie automatisch entschlüsselt.
Auf älteren Systemen wie Windows XP oder einigen Vista-Editionen, die BitLocker To Go nicht nativ unterstützen, bietet Microsoft Folgendes an: BitLocker To Go-Leser, ein kleines Hilfsprogramm, mit dem Sie durch BitLocker geschützte FAT-Laufwerke im Nur-Lese-Modus öffnen können, um zumindest Daten wiederherstellen zu können.
Unterstützte Windows-Versionen und Systemvoraussetzungen
BitLocker und BitLocker To Go sind verfügbar auf der Windows Pro-, Enterprise- und Education-EditionenIn den Home-Versionen sind sie nicht zu finden; dort müssen Sie auf Drittanbieter-Tools wie VeraCrypt zurückgreifen, wenn Sie ganze Festplatten verschlüsseln möchten.
En Windows 7, 8, 8.1, 10 und 11, die Konfigurationsoptionen und verfügbare Algorithmen Diese können je nach Version leicht variieren. Ab Windows 10 Version 1511 wurde die Möglichkeit eingeführt, über Gruppenrichtlinien unterschiedliche Verschlüsselungsmethoden für Systemlaufwerke, interne Datenlaufwerke und Wechseldatenträger auszuwählen.
Viele Geräte integrieren einen Chip. TPM (Trusted Platform Module) auf dem Motherboard, das die BitLocker-Sicherheit verstärkt, indem es einen Teil der Schlüssel generiert und sicher speichert in HardwareUm es anzusehen, können Sie die Geräte-Manager und prüfen Sie, ob ein TPM-„Sicherheits“-Gerät angezeigt wird, oder führen Sie Folgendes aus: tpm.msc mit Windows + R.
Wenn Ihr Computer kein TPM besitzt, keine Sorge: Sie können es mithilfe von Gruppenrichtlinien konfigurieren. BitLocker funktioniert auch ohne TPM. Verwenden Sie Passwörter oder einen USB-Stick mit dem Boot-Schlüssel. Aktivieren Sie einfach die Option „Zusätzliche Authentifizierung beim Start erforderlich“ und kreuzen Sie „BitLocker ohne kompatibles TPM zulassen“ an.
Hinsichtlich der Leistung ist der Einfluss auf den meisten modernen Systemen mit AES-NI-Hardwareverschlüsselungsunterstützung folgender: recht moderatWenn Sie jedoch bemerken langsame Übertragung über USBBei einigen Geräten wurden deutliche Leistungseinbußen beobachtet. SSD Besonderheiten (zum Beispiel spürbare Reduzierungen zufälliger Lesezugriffe bei bestimmten High-End-Laufwerken), wenn BitLocker nur per Software ausgeführt wird, anstatt sich auf die eigene Hardwareverschlüsselung der SSD zu verlassen.
So greifen Sie unter Windows auf BitLocker To Go zu und aktivieren es.
Um BitLocker und BitLocker To Go über die grafische Benutzeroberfläche zu verwalten, gehen Sie am einfachsten zu Systemsteuerung > System und Sicherheit > BitLocker-LaufwerkverschlüsselungDort werden die Laufwerke gruppiert angezeigt in: Betriebssystemlaufwerk, feste Datenlaufwerke und Wechseldatenlaufwerke (BitLocker To Go).
Eine weitere schnelle Möglichkeit, dorthin zu gelangen, ist die Verwendung der Windows-Suchleiste. Mit Ihrem verfügt über Administratorrechte Nach dem Start öffnen Sie das Startmenü, geben „BitLocker“ ein und wählen „BitLocker verwalten“. Dadurch gelangen Sie zur selben Systemsteuerung, wo alle Laufwerke mit ihrem Verschlüsselungsstatus angezeigt werden.
Auf Geräten, auf denen diese Funktion noch nicht aktiviert ist, wird die Option angezeigt. „BitLocker aktivieren“Wenn Sie es auf ein Wechseldatenträger tippen, öffnet sich der BitLocker To Go-Assistent, der Sie zunächst fragt, wie Sie das Laufwerk entsperren möchten.
Bei USB-Laufwerken und externen Festplatten können Sie eine auswählen Passwort entsperren oder mithilfe einer Smartcard. Das Passwort muss sicher sein und Groß- und Kleinbuchstaben, Zahlen und Symbole enthalten; Windows verlangt eine Mindestlänge, und in Unternehmensumgebungen können die Richtlinien strenger sein.
Vor Beginn der Verschlüsselung werden Sie vom Assistenten aufgefordert, die Vorgehensweise auszuwählen. Speichern Sie den Wiederherstellungsschlüssel, die Rettungsleine, die Sie brauchen werden, wenn Passwort vergessen?Sie haben mehrere Möglichkeiten: Microsoft-Konto (Hochladen auf OneDrive), unverschlüsselter USB-Stick, Textdatei oder Papierausdruck. Microsoft empfiehlt für Heimcomputer, die Datei mit Ihrem Microsoft-Konto zu verknüpfen oder sie zumindest an einem Ort zu speichern, der nicht mit dem Laufwerk selbst verschlüsselt ist.
Verschlüsselungsoptionen: Speicherplatznutzung, vollständige Festplatte und Algorithmen
Wenn Sie mit der Verschlüsselung eines Laufwerks beginnen, fragt BitLocker, ob Sie nur die Datenträger verschlüsseln möchten. belegter Speicherplatz oder die gesamte Festplatte. Die Verschlüsselung nur der verwendeten Daten ist deutlich schneller und ideal für neue oder kürzlich formatierte Festplatten; auf Festplatten mit einer Nutzungshistorie können gelöschte Daten jedoch noch in freien Sektoren vorhanden sein und wiederhergestellt werden, wenn jemand unverschlüsselt darauf zugreift.
Für Laufwerke, die bereits Inhalte enthalten, ist die Verschlüsselung die sicherste Option. das gesamte AlbumAuch wenn es länger dauern kann. So bleiben selbst zuvor gelöschte Daten geschützt. Bei kleinen Speichermedien (USB-Sticks oder SSDs mit mittlerer Kapazität) ist diese zusätzliche Zeit in der Regel akzeptabel.
Was die Algorithmen betrifft, verwendet Windows standardmäßig XTS-AES mit 128-Bit-Schlüssel für interne Laufwerke und AES-CBC mit 128-Bit-Schlüssel Für externe Festplatten und USB-Sticks. XTS-AES ist moderner, gilt in bestimmten Szenarien als robuster und bietet in der Regel eine überlegene Leistung.
Wenn Sie die Sicherheitsstandards erhöhen möchten, wenden Sie sich bitte an den Herausgeber von lokale Gruppenrichtlinien (gpedit.msc) Sie können die Verwendung von 256-Bit-Schlüsseln sowohl für XTS-AES als auch für AES-CBC festlegen. Dies erhöht theoretisch die Widerstandsfähigkeit gegen Brute-Force-Angriffe, allerdings auf Kosten eines geringfügig höheren Ressourcenverbrauchs. Die Auswirkungen sind jedoch auf modernen Systemen minimal.
Microsoft bietet mehrere Richtlinien mit dem Titel „Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke auswählen für…“ an, die Folgendes ermöglichen Definiere den Algorithmus und die Schlüssellänge separat. für Systemlaufwerke, interne Datenlaufwerke und Wechseldatenträger, angepasst an das Betriebssystem und dessen Version.
Verwaltung von BitLocker To Go im Rahmen von Gruppenrichtlinien in Unternehmen
In Unternehmensumgebungen ist es nicht sinnvoll, dass jeder Benutzer selbst entscheiden muss, ob er seinen USB-Stick verschlüsselt, wie er die Schlüssel speichert oder welchen Algorithmus er verwendet. Um dieses Chaos zu vermeiden, wird die Verschlüsselung mithilfe von … implementiert. Gruppenrichtlinien (GPO)Von dort aus erzwingt der Administrator die BitLocker To Go-Konfiguration und automatisiert die Lagerung Wiederherstellungsschlüssel in Active Directory.
Spezifische Richtlinien für Wechseldatenträger finden Sie unter: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > WechseldatenträgerVon dort aus können Sie beispielsweise das Schreiben auf USB-Laufwerke blockieren, die nicht mit BitLocker verschlüsselt sind.
Die wichtigste Richtlinie in diesem Zusammenhang lautet: „Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sindWenn Sie diese Option aktivieren, wird jedes unverschlüsselte USB-Laufwerk im Nur-Lese-Modus eingebunden, und Windows warnt Sie, dass BitLocker aktiviert sein muss, um Daten zu speichern.
Der Assistent, der sich beim Start der Verschlüsselung öffnet, kann so angepasst werden, dass Dem Benutzer weniger Optionen anzeigenBeispielsweise können Sie vordefinieren, dass nur der belegte Speicherplatz oder die gesamte Festplatte immer verschlüsselt wird, oder einen bestimmten Algorithmus aus den Gruppenrichtlinienobjekten „Verschlüsselungstyp für Wechseldatenträger erzwingen“ und „Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerke auswählen“ auswählen.
Bezüglich der Verwaltung von Wiederherstellungsschlüsseln ist es üblich, Folgendes zu konfigurieren:Wählen Sie aus, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden sollen.„und erzwingen, dass sie automatisch in Active Directory gespeichert werden. Wenn auch die Option „Wiederherstellungsoptionen des BitLocker-Setup-Assistenten umgehen“ ausgewählt ist, können Benutzer sie nicht selbst in Dateien speichern oder ausdrucken.“
Organisationsidentitätskontrolle und Passwortdurchsetzung
Ein weiterer interessanter Aspekt ist die Fähigkeit zu Kennzeichnen Sie die verschlüsselten USB-Laufwerke mit der Organisationskennung.durch die Anweisung „Geben Sie eindeutige Kennungen für Ihre Organisation an“. Jede verschlüsselte Einheit wird mit dieser ID gekennzeichnet, die eine Zeichenkette von bis zu 260 Zeichen sein kann.
Durch die Kombination dieses Bezeichners mit der Option „Gewähren Sie keinen Schreibzugriff auf Geräte, die in einer anderen Organisation konfiguriert sind."(In der gleichen Kategorie wie BitLocker To Go-Richtlinien enthalten) können Sie verhindern, dass Benutzer weiterhin USB-Laufwerke verwenden, die sie vor der Implementierung der Unternehmensrichtlinie selbst verschlüsselt haben oder die nicht dem internen Standard entsprechen.
Die Richtlinie „Konfigurieren der Kennwortnutzung für Wechseldatenträger" wird verwendet, um die Mindestkomplexität von BitLocker To Go-Passwörtern anzupassen: Länge, Mischung der Zeichentypen usw. Normalerweise werden diese Regeln mit der globalen Passwortrichtlinie der Domäne abgestimmt, um ein einheitliches Sicherheitsniveau zu gewährleisten.
Wenn Sie zusätzlich die Option „Benutzern erlauben, den BitLocker-Schutz auf Wechseldatenträgern auszusetzen und zu entschlüsseln“ deaktivieren, erreichen Sie Folgendes: Niemand kann die Verschlüsselung eines Firmen-USB-Laufwerks entfernen. von sich aus; nur Administratoren hätten diese Möglichkeit von ihrer Konsole aus.
Diese gesamte zentralisierte Konfiguration gewährleistet, dass die Verschlüsselung portabler Laufwerke nicht vom Wohlwollen jedes einzelnen Mitarbeiters abhängt, sondern von einem kohärente und anwendbare Sicherheitspolitik im gesamten Unternehmen, wodurch das Risiko von Datenlecks durch verlorene USB-Laufwerke erheblich reduziert wird.
TPM, Boot-Sicherheit und die Verwendung von BitLocker ohne TPM
Das TPM (Trusted Platform Module) ist ein kleines Kryptochip in viele moderne Motherboards integriert Dies erhöht die Sicherheit von BitLocker erheblich, insbesondere wenn das Systemlaufwerk verschlüsselt ist. Es generiert und speichert einen Teil der Verschlüsselungsschlüssel und überprüft, ob die Systemumgebung manipuliert wurde.
Zu seinen Hauptfunktionen gehört die Datenverschlüsselung und Schutz vor Malware StiefelDas TPM erstellt ein Schlüsselpaar (öffentlich und privat), speichert einen Teil des privaten Schlüssels und prüft beim Systemstart, ob der Bootmanager und andere kritische Komponenten verändert wurden. Bei verdächtigen Vorgängen kann es den normalen Systemstart verhindern.
Der Chip kann auch eine aktivieren Quarantänemodus Erkennt das System eine mögliche Sicherheitslücke, ermöglicht es ihm, vor dem normalen Systemstart einen Reparaturversuch durchzuführen. Darüber hinaus dient es als sicherer Speicherort für Zertifikate, Passwörter und Verschlüsselungsschlüssel und ist damit wesentlich robuster als deren Speicherung in Dateien auf der Festplatte.
Es gibt nicht nur Vorteile: Die Verwendung von TPM impliziert gewisse HardwareabhängigkeitDas bedeutet, dass ein Chipausfall verschlüsselte Daten unzugänglich machen kann, wenn keine Backups und Wiederherstellungsschlüssel erstellt wurden. Darüber hinaus sind nicht alle Systeme und Anwendungen vollständig kompatibel, und die Verwaltung kann für unerfahrene Benutzer komplex sein.
Wenn Ihr Computer kein TPM besitzt oder Sie das Systemlaufwerk dennoch verschlüsseln möchten, können Sie die Richtlinie „Zusätzliche Authentifizierung beim Start erforderlich“ aktivieren und das Kontrollkästchen für BitLocker ohne TPM auswählen. In diesem Fall wird der Startvorgang durch BitLocker gesichert. USB-Stick mit Boot-Schlüssel oder Vorstartpasswort, die Sie jedes Mal eingeben müssen, wenn Sie den Computer einschalten.
Erweiterte BitLocker-Verwaltung mit PowerShell
Neben grafischen Werkzeugen bietet Windows Ihnen eine Reihe von PowerShell-Cmdlets Um BitLocker und BitLocker To Go mit wesentlich mehr Flexibilität zu verwalten, ideal für die Automatisierung von Aufgaben, das Schreiben von Skripten oder die gleichzeitige Verwaltung von Dutzenden von Computern.
PowerShell ist eine sehr leistungsstarke Konsolen- und Skriptumgebung, die Ersetzt die alten .bat-Dateien von MS-DOS. Von dort aus können Sie den Status der Laufwerke überprüfen, die Verschlüsselung aktivieren, Schutzmechanismen hinzufügen oder entfernen, Datenträger sperren oder entsperren und BitLocker deaktivieren, alles basierend auf Befehle gut definiert.
Um den Status einer bestimmten Einheit anzuzeigen, wird das Cmdlet verwendet. Get-BitLockerVolumeDiese Funktion akzeptiert den MountPoint-Parameter (z. B. F:). Durch Hinzufügen eines „| fl“ am Ende erhalten Sie eine detaillierte Liste mit den konfigurierten Schutzmechanismen, dem Verschlüsselungsgrad, dem Sperrstatus usw.
Die Verwaltung der Sicherheitsfunktionen (Passwörter, Wiederherstellungsschlüssel, Boot-Schlüssel) erfolgt mit Add-BitLockerKeyProtectorSie können einen Passwortschutz, einen Wiederherstellungsschlüssel (der als Datei in einem bestimmten Pfad gespeichert wird), einen 48-stelligen Wiederherstellungspasswortschutz oder einen Boot-Schlüssel hinzufügen, der auf einem USB-Laufwerk gespeichert wird.
Sobald Sie die gewünschten Schutzmechanismen konfiguriert haben, wird die Verschlüsselung initiiert. BitLocker aktivierenGeben Sie das Laufwerk mit dem Mountpoint und dem gewünschten Schutztyp an. Das System beginnt mit der Verschlüsselung der Festplatte und zeigt ein Fortschrittsfenster an (alternativ können Sie dies mit fvenotify.exe erzwingen).
Wenn Sie ein verschlüsseltes Laufwerk sperren, entsperren oder die automatische Entsperrung konfigurieren möchten, stehen Ihnen folgende Optionen zur Verfügung. BitLocker sperren, BitLocker entsperren, Automatisches Entsperren von BitLocker aktivieren und Automatisches Entsperren von BitLocker deaktivierenUnlock-BitLocker ermöglicht es Ihnen, die Sicherheitsmethode auszuwählen, mit der Sie das Laufwerk öffnen möchten: normales Passwort, Wiederherstellungspasswort oder Wiederherstellungsschlüsseldatei.
Das Deaktivieren und Entschlüsseln eines Laufwerks, das Sie nicht mehr schützen möchten, erfordert die Verwendung von BitLocker deaktivierenWenn Sie das Programm ausführen, wird das Laufwerk schrittweise entschlüsselt, bis es zu Klartext wird. Den Fortschritt können Sie über das Benachrichtigungsfeld verfolgen, wenn Sie fvenotify.exe ausführen.
Leidenschaftlicher Autor über die Welt der Bytes und der Technologie im Allgemeinen. Ich liebe es, mein Wissen durch Schreiben zu teilen, und genau das werde ich in diesem Blog tun und Ihnen die interessantesten Dinge über Gadgets, Software, Hardware, technologische Trends und mehr zeigen. Mein Ziel ist es, Ihnen dabei zu helfen, sich auf einfache und unterhaltsame Weise in der digitalen Welt zurechtzufinden.