Nachträglicher Hinweis am 1. November 2006: Diese Anleitung war für frühere Windows Vista-Versionen und ist mittlerweile überholt!

Nun hat man erfolgreich eine Beta-Version von Windows Vista auf seinem Rechner installiert und fragt sich, was es denn nun mit DRM und TPM so auf sich hat. In einem bekannten deutschen Forum muß zu Vista nur der Begriff TPM gemeinsam genannt werden, um immer wieder eine verbale Schlammschlacht zu eröffnen. Entstammt TPM wirklich dem Reich des Bösen?

Das Gegenteil ist der Fall: Der TPM-Chip eines Notebooks wird in Windows Vista für einen sehr sinnvollen Zweck genutzt, nämlich die Festplattenverschlüsselung mit der Bitlocker-Technologie. Dieses Feature erlaubt die komplette Verschlüsselung der Partition, auf der Vista installiert ist. Zum Einstieg in die Thematik ein paar Links, die die Technik und deren Implementierung genau beschreiben:

• BitLocker Drive Encryption: Technical Overview
• Windows Vista Beta 2 BitLocker™ Drive Encryption Step-by-Step Guide
• Windows Vista Beta 2 Trusted Platform Module Services Step by Step Guide
• BitLocker Drive Encryption Frequently Asked Questions

Wie kann man Bitlocker nun genau implementieren? Es gibt drei verschiedene Möglichkeiten:

1. TPM
   Die Nutzung eines TPM-Chips ist transparent für den Endanwender. Für ihn ändert sich an der Bedienung des Computers nichts. Wenn allerdings die Festplatte ausgebaut und in einem anderen Rechner verwendet wird und somit der orginale TPM-Chip nicht ausgelesen werden kann, wechselt BitLocker in den Recovery Mode. Jetzt muß ein Recovery Key angegeben werden, um den Zugriff auf die Partition wieder zu ermöglichen.
2. Boot-Schlüssel
   Der Benutzer benötigt einen Boot-Schlüssel zum Starten des Computers. Dieser Schlüssel kann entweder ein physikalisches Gerät (zum Beispiel ein USB-Stick mit einem maschinenlesbaren Schlüssel) oder sein oder ist etwas, was man wissen muß (eine benutzerspezifische PIN).
3. Systeme ohne TPM-Chip
   Viele Computer haben noch gar keinen TPM-Chip der Spezifikation 1.2 eingebaut. Solange das BIOS den USB-Stack während des Bootvorganges einbindet, kann Bitlocker zusammen mit einem USB-Stick genutzt werden. Der Stick muß am Computer vor dem Einschalten eingesteckt sein. Der auf dem Stick gespeicherte Schlüssel wird dann vom Computer während des Bootvorgangs ausgelesen und entsperrt die mit Bitlocker geschützte Partition.

Wenn man dem oben zitierten Whitepaper zur Einrichtung folgt, kann man schon heute mit den aktuellen Beta-Versionen Bitlocker ausprobieren. Voraussetzung ist eine Startpartition von 450 MB Größe, die aktiv gesetzt ist und den Vista-Bootmanager installiert hat. Anbei eine Kurzanleitung für die Nutzung auf Systemen ohne TPM-Chip mit Hilfe eines USB-Sticks, wie ich sie selbst auf meinem Notebook umgesetzt habe.

Ich unterscheide drei verschiedene Szenarien:

1. Leerer Computer, auf dem Vista mit Bitlocker neu installiert werden soll.
2. Computer mit bestehender Vista-Installation, auf dem schon eine 450 MB große Partition für die Nutzung durch Bitlocker bei der ursprünglichen Installation vorgesehen wurde.
3. Computer mit bestehender Vista-Installation, wobei nur eine Partition existiert, die die gesamte Festplatte umfaßt.

Wer auf seinem Computer noch weitere Betriebsysteme oder weitere Festplatten installiert hat, sollte diese Anleitungen nicht Schritt für Schritt befolgen, weil ansonsten eventuell auf die anderen Betriebsysteme nicht mehr zugegriffen werden kann.

Wie immer der obligatorische Hinweis bei der Nutzung von Beta-Software: Bitte nicht im Produktionsbetrieb testen, sondern ausschließlich in einer Testumgebung, bis das Wissen aufgebaut ist, wie die Technik genau funktioniert. Wer mit Bitlocker einen Fehler begeht, kann auf die Daten nicht mehr zugreifen. Es gibt keine Hintertür oder Masterschlüssel!

Bitlocker mit Windows Vista auf leerer Festplatte (alle Daten werden gelöscht)

1. Booten von der Setup DVD (x86 oder amd64).
2. Gewünschte Sprache konfigurieren und links unten System recovery options auswählen.
3. Jedes gefundene OS in den System Recovery Options abwählen und Next klicken.
4. Command line window auswählen.
5. Im cmd.exe Fenster folgendes eintippen:
   diskpart.exe
   select disk 0
   clean
   create partition primary
   assign letter=c
   format quick
   shrink minimum=450
   create partition primary
   active
   assign letter=d
   format quick
   exit
   chkdsk /f c:
   chkdsk /f d:
   exit
6. Zurück in der GUI Close wählen (das rote X in der rechten oberen Ecke) und es geht zurück zum Hauptdialog.
7. Install now auswählen und die Installation auf die große Partition durchführen 

Bitlocker mit Windows Vista auf einer Festplatte mit zwei Partitionen

1. Booten von der Setup DVD (x86 oder amd64).
2. Gewünschte Sprache konfigurieren und links unten System recovery options auswählen.
3. Jedes gefundene OS in den System Recovery Options abwählen und Next klicken.
4. Command line window auswählen.
5. Im cmd.exe Fenster folgendes eintippen:
   diskpart.exe
   select disk 0
   list partition
   select partition 1
   [wenn 1 die 450 MB Partition ist]
   active
   exit
   x:\boot\bootsect /nt60 ALL
   [installiert den Vista-Bootmanager, wobei x: das Laufwerk mit der Setup-DVD ist, ansonsten den richtigen Laufwerksbuchstaben auswählen]
6. Kopieren der Bootdateien von der Vista Systempartition auf die aktivierte Startpartition [Laufwerksbuchstaben passend auswählen - hier gehe ich davon aus, daß die 450 MB Partition c: und die Vista Systempartition d: ist]
   xcopy d:\boot c:\boot\ /cherky
   attrib –r –s –h d:\bootmgr
   xcopy d:\bootmgr c:\
   attrib +r +h +s c:\bootmgr
   attrib +r +h +s d:\bootmgr
   attrib +r +h +s c:\boot
   chkdsk /f c:
   chkdsk /f d:
   exit
7. Computer neu starten und die Setup-DVD aus dem Laufwerk nehmen.

Bitlocker mit Windows Vista auf einer Festplatte mit einer Partition über die gesamte Festplatte

1. Booten von der Setup DVD (x86 oder amd64).
2. Gewünschte Sprache konfigurieren und links unten System recovery options auswählen.
3. Jedes gefundene OS in den System Recovery Options abwählen und Next klicken.
4. Command line window auswählen.
5. Im cmd.exe Fenster folgendes eintippen:
   diskpart.exe
   select disk 0
   list partition
   select partition 1
   [wenn 1 die 450 MB Partition ist]
   shrink minimum=450
   create partition primary
   active
   assign letter=d
   format quick
   exit
   x:\boot\bootsect /nt60 ALL
   [installiert den Vista-Bootmanager, wobei x: das Laufwerk mit der Setup-DVD ist, ansonsten den richtigen Laufwerksbuchstaben auswählen]
6. Kopieren der Bootdateien von der Vista Systempartition auf die aktivierte Startpartition [Laufwerksbuchstaben passend auswählen - hier gehe ich davon aus, daß die 450 MB Partition d: und die Vista Systempartition c: ist]
   xcopy c:\boot d:\boot\ /cherky
   attrib –r –s –h c:\bootmgr
   xcopy c:\bootmgr d:\
   attrib +r +h +s d:\bootmgr
   attrib +r +h +s c:\bootmgr
   attrib +r +h +s d:\boot
   chkdsk /f c:
   chkdsk /f d:
   exit
7. Computer neu starten und die Setup-DVD aus dem Laufwerk nehmen.

Danach kann man in der Systemsteuerung von Windows Vista unter Sicherheit Bitlocker für die Partition aktivieren, auf der Windows Vista installiert ist. Es werden ein Boot-Schlüssel und ein Recovery Passwort erzeugt. Der Boot-Schlüssel muß auf einem USB-Stick gespeichert werden, der zum Booten des Rechners dann eingesetzt sein muß. Das Recovery Passwort kann ausgedruckt und im Safe hinterlegt werden oder auch auf einem eigenen Datenträger abgelegt und danach gesichert aufbewahrt werden.

Neben der manuellen Konfiguration unterstützt Bitlocker auch Scripting und Integration in Active Directory und Verwaltung über Gruppenrichtlinine. Die von Bitlocker genutzten Schlüssel (sowohl TPM, als auch für Recovery) können in Firmenumgebungen auch direkt im Active Directory gespeichert werden.

Mein eigenes Arbeitsnotebook, das mit einem aktuellen Vista-Build läuft, hat zwar keinen TPM-Chip eingebaut - ich nutze aber jetzt schon Bitlocker mit einem externen USB-Stick sehr erfolgreich. Einem eventuellen Notebookverlust durch Diebstahl oder ähnliches kann ich damit heute beruhigter als mit Windows XP entgegensehen, wobei natürlich der Fall nie eintreten soll :-)