Erweiterte BitLocker Optionen

Wer einen Computer ohne TPM hat oder keinen kompatiblen TPM der Version 1.2 oder noch kein TCG-kompatibles BIOS hat, der kann BitLocker auch mit Hilfe eines USB-Sticks nutzen. Es entfällt hier aber die sichere Aufbewahrung des Schlüssels, da jederman der den PC und den USB-Stick hat, den Rechner starten kann.

Dazu kann man in einer lokalen Gruppenrichtlinie oder auch über eine Domänen-weite Gruppenrichtlinienkonfiguration die erweiterten BitLocker Optionen aktivieren. Zu finden sind sie über den folgenden Weg: Windows-Taste > mmc > Eingabetaste. Jetzt die UAC-Rückfrage beantworten und das Ausführen der MMC im administrativen Kontext erlauben.

In der MMC wird das Snap-In Gruppenrichtlinienobjekt für den lokalen Computer hinzugefügt. Dort findet man dann unter Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerksverschlüsselung die Konfigurationsoption Systemsteuerungssetup: Erweiterte Startoptionen aktivieren.

Hier kann jetzt sowohl der Einsatz ohne kompatiblen TPM aktiviert werden, als auch ertweiterte Funktionen wie TPM plus PIN oder TPM plus USB-Stick aktiviert werden.

BitLocker mit TPM sch��tzt den PC, ohne dass der Benutzer etwas davon merkt. Das Entsperren des TPM, das Auslesen des Schlüssels und die Entschlüsselung gehen vollständig transparent ohne Benutzerinteraktion von statten. Solange ein Angreifer nicht den Logindialog überwinden kann, indem er z.B. einen gültigen Benutzeraccount samt Passwort hat, kann er nicht auf die Daten zugreifen. Die zusätzlichen Sicherungsoptionen einer PIN-Eingabe beim Start oder die Nutzung eines zusätzlichen USB-Sticks als Securitytoken erhöhen den Schutz noch einmal, haben aber auch einen Einfluß auf die Benutzbarkeit, da hier eine Aktion des Benutzers erforderlich ist.

Dies war der letzte Teil der Reihe Dual Boot mit Windows Vista, Windows Server 2003 oder Linux und BitLocker Drive Encryption. Wer alle Artikel hintereinander lesen möchte, kann den Links folgen: