Nichts Neues für die wirklichen Insider, aber trotzdem eine Frage, die häufiger kommt: Wie kann ich beim OS Deployment dafür sorgen, dass die Festplatte automatisch verschlüsselt ist.

Bitlocker benötigt zwar nicht zwangsweise ein TPM, aber ohne ist es für den Durchschnittsanwender eher nicht zu gebrauchen. Gegebenenfalls müssen also als Vorbedingung die benötigten Treiber bereitgestellt werden. Die wichtigste Voraussetzung ist aber, dass bei der Installation zwei Partitionen angelegt werden. Die Standardinstallation auf eine leere Platte erledigt dies hinter der Bühne automatisch, wenn ich darauf verzichte, manuell Partitionen anzulegen.

Das sieht dann typischerweise wie folgt aus:
Diskpart - Bitlocker kompatible PartitionierungDie erste Partition wird als aktive Startpartition benötigt, die nicht verschlüsselt sein darf. Die nächste – es muss nicht zwangsläufig die zweite Partition sein – enthält dann das installierte Betriebssystem und ist verschlüsselt. Weitere (Daten-) Partitionen können bei Bedarf auch angelegt und auch verschlüsselt werden.
Wenn dann als Installationsziel für das Betriebssystem die “zweite” Partition angegeben wird, weiß das Setup auch, was es tun muss und installiert den Boot Code auf der ersten (aktiven) Partition und das Betriebssystem auf der als Installationsziel angegebenen.
Häufig wird dann geäußert, dass damit ja die eigentliche Startpartition nicht geschützt wäre, aber hier kommt das TPM ins Spiel – es validiert nämlich nicht nur BIOS und die Konfigurationseinstellungen, sondern auch die Gültigkeit der Startumgebung. Das hat der eine oder andere sicher schon wahrgenommen, weil z.B. für eine Aktualisierung des BIOS Bitlocker erst einmal angehalten werden muss. Hier liegt auch der Grund, warum Bitlocker erst relativ spät im automatisierten Installationsprozess aktiviert werden kann. Ein Ausrollen eines verschlüsselten Image geht nämlich nicht.

Nachdem diese Punkte jetzt also geklärt sind, bleibt die Frage, was man denn jetzt innerhalb der Configuration Manager Tasksequenz tun muss, damit alles funktioniert. Die wesentlichen Schritte dazu hat Torsten Meringer (MVP für den Configuration Manager) mit Bildern auf seinem Blog beschrieben. Danach bleibt nur noch die Aktivierung von Bitlocker mit den benötigten Parametern (z.B. nur TPM oder mit PIN/USB) durch den Standardbefehl der Tasksequenz für die Aktivierung von Bitlocker.

Grundsätzlich lässt sich dieses Verfahren nicht nur für Notebooks, sondern auch Desktops oder Server verwenden. Immer mehr Server bieten zumindest die Option eines mitgelieferten TPM. Die Frage ist sicherlich, wo der Nutzen ist, wenn die Server im Rack im geschützten Datacenter stehen, aber es gibt ja auch sehr viele Server, die verteilt in verschiedenen Niederlassungen stehen und dort in aller Regel eher weniger geschützt sind. Ein zweiter Aspekt, der für die Verwendung von Bitlocker bei geeigneter Hardware spricht, ist das weitere Schicksal der verbauten Festplatten. Wenn die Festplatte von dem entsprechenden Rechner/TPM getrennt wird, muss man entweder das Wiederherstellungskennwort kennen oder aber hat kryptographisch sicheren Datenschrott, ein nicht ganz unwesentlicher Punkt, wenn es darum geht, Unternehmensdaten zu schützen.