Stephanus

Stephanus Schultes Blog, Windows, IE, und was es da sonst noch gibt....

[Win8] Windows RT + SD Karte und Bitlocker To Go

[Win8] Windows RT + SD Karte und Bitlocker To Go

  • Comments 5
  • Likes

Update Windows RT 8.1: Mit Windows RT 8.1 wurde das Autounlock für Removable Drives möglich (vgl. Kommentare). Kurz: "manage-bde -autounlock -enable d:" oder über das UI beim ersten Einlegen.

 

Jetzt, wo zunehmend Windows RT Geräte auf den Markt kommen und diese oftmals auch Slots für z.B. SD Karten bieten, stellt sich (hoffentlich) die Frage, wie denn die Inhalte von solchen Karten grade im Business Umfeld geschützt werden können.

Als Beispiel habe ich in mein 32GB Surface eine 64GB microSD Karte eingelegt um den verfügbaren Speicherplatz zu erweitern. Sprich ich habe nicht vor, diese Karte (öfter) herauszunehmen, sondern möchte insb. Bilder, Musik und Dokumente lieber auf der Karte speichern um den knappen eingebauten Speicher nicht zu verschwenden.

Schaut man sich den File Explorer an, so wird man feststellen, dass das interne Laufwerk ein geöffnetes Schloss-Symbol anzeigt, welches bedeutet, dass das Laufwerk per Bitlocker verschlüsselt ist:

image
Bitlocker Symbol im File Explorer bei Windows RT

Wenn man nun die SD Karte einfügt, so hat man keine Möglichkeit diese Karte ebenfalls zu verschlüsseln, da Bitlocker To Go ein Pro/Enterprise Feature darstellt und daher natürlich nicht (direkt) für die Consumer Variante “Windows RT” zur Verfügung steht.

Sofern man über ein Windows 8 Pro/Enterprise Gerät (und die dazu gehörige Lizenz) verfügt, so kann man die Karte dort mit Bitlocker To Go verschlüsseln.


image
Bitlocker To Go auf Windows 8 Enterprise

 

Wird nun die mit Bitlocker To Go verschlüsselte Karte in das Gerät eingesteckt, so kann über das UI ganz normal das Laufwerk freigeschaltet werden. Jedoch wird dem geneigten Betrachter auffallen, dass es auf Windows RT keine Möglichkeit über das UI gibt, das Laufwerk automatisch freizuschalten.

Auch wer auf die Idee kommt, dies über die elevated (also als Admin ausgeführte) Kommandozeile mittels

manage-bde -autounlock -enable D:

zu versuchen, der wird mit der Meldung beglückt “Die Version von Windows bietet keine Unterstützung für dieses Feature der Bitlocker-Laufwerksverschlüsselung”.

Allerdings funktioniert die Kommandozeile zum manuellen Unlocken:

manage-bde –unlock d: –RecoveryPassword 123456-123456-123456-123456-123456-123456-123456-123456

(Den Recovery Key einfach aus der bei der Erstellung abgespeicherten Datei herauskopieren!)

Jetzt muss nur noch sichergestellt werden, dass dies gescriptet auch bei jedem System Start ausgeführt wird. Hierzu gibt es mehrere aus anderen Windows Versionen bekannte Möglichkeiten:

  1. Per Group Policy Startup Script
    => Ich rate von dieser Methode ab, da der “Gruppenrichtlinienclient” Dienst auf Windows RT per Default disabled ist und ein enablen sich negativ auf die Batterieleistung auswirken würde.
  2. Per Group Policy Logon Script
    => siehe 1.
  3. Per “Run” in der Registry
    => Prinzipiell Möglich, aber “fummelig”
  4. Per Scheduled Task (->"taskschd.msc") über ein Batch File
    => Meine empfohlene Methode, da einfach über UI zu konfigurieren

imageimage
Geplante Aufgabe “Bitlocker To Go Unlock”

 

Mittels des Scheduled Tasks/Geplanter Aufgabe wird die SD Karte automatisch bei jedem Systemstart freigeschaltet und ich kann bedenkenlos meine Bilder, Musik und Dokumente zugreifen.

Tipp:

Wenn man nun noch seine virtuellen Ordner und die Inhalte der Bibliotheken auf die SD Karte verlagern möchte, so sollte man wissen, dass Dateien auf Wechseldatenträgern nicht indiziert werden.

Dies kann man wie folgt lösen:

  1. Man erstelle einen symbolischen Link (aka Junction) auf der lokalen Festplatte auf die SD, bzw. einen Ordner darauf, z.B.:
    mklink /j c:\sdcard d:\
  2. Dann ändert man den Pfad der virtuellen Ordner wie Dokumente, Bilder, Desktop, etc , ohne dabei manuell eine Junction o.ä. an zu legen:

image

In den Eigenschaften der virtuellen Ordner auf “Location” bzw. “Pfad” klicken und diesen dort ändern

Durch diese simple Einstellung werden die Dokumente auch in den Index mit aufgenommen, obwohl diese auf einem Wechseldatenträger liegen, und können ganz normal ge-/durchsucht werden.

 

Update 21.10.13: Die Scheduled Tasks werden unter Windows RT genauso gemanaged wie unter jedem anderen Windows auch, z.B. einfach "taskschd.msc" aufrufen. Ich werde dazu später (vermutlich erst in den nächsten Tagen) noch Screenshots nachliefern.

 

Bis zum nächsten Post!

 

-Stephanus

 

Comments
  • Hallo Stephanus,

    danke für die Anleitung. Man sollte noch bermerken, dass man die CMD als Admin ausführen muss damit manage-bde funktioniert. Was mich noch interessieren würde: Wei erstellt man einen scheduled task unter Windows 8.1? EInen Taskplaner finde ich nirgends.

  • Hallo Martin,

    danke für das Feedback, habe ich im Post ergänzt.

    Die Einstellung für die Scheduled Tasks reiche ich nach. Funktioniert aber identisch zu einem "normalen" Windows. Am einfachsten über den Explorer->Control Panel und dann in der Suche nach Task oder "geplant" suchen, sollte eigentlich was ergeben. Ansonsten ganz old-school "taskschd.msc" über "Ausführen" aufrufen! ;)

    VG

    Stephanus

  • Der Scheduled Task funktioniert bei mir nach dem Update auf Windows RT 8.1 nicht mehr.

    So bin ich auf eine weitere sehr elegante Lösung gestoßen ohne Umweg über einen Scheduled Task.

    manage-bde -autounlock -enable E:  (im CMD Prompt Adminmodus, nachdem die SD-Karte entsperrt wurde)

    Der Befehl speichert den Schlüssel für die SD-Karte auf deinem Rechner ab, so wie bei der verschlüsselten  Systemplatte auch.

  • Unter Windows 8.1 ist der Weg über Scheduled Tasks nicht mehr nötig.. Einfach beim ersten mal Öffnen der geschützten Karte im Explorer unter "Weitere Optionen" anwählen, dass die Karte automatisch entsperrt wird..

  • Danke euch beiden für den Hinweis, diese Möglichkeit ist neu mit Windows 8.1 und war unter Windows RT 8.0 noch nicht implementiert.

    VG

    Stephanus

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment