Windows verschlüsseln

Warum? Wozu?

Wird einem das private oder gar das dienstliche Laptop geklaut, ist der Ärger meist vorprogrammiet.
Aber nebst dem, dass nun eine Neuanschaffung an Hardware ansteht, sind auch potenziell wichtige Daten in vermutlich falsche Hände gelangt (z.B. im Browser gespeicherte Passwörter, wichtige E-Mails mit Zugangsdaten, wichtige persönliche Daten oder gar der VPN Zugang ins Firmennetz).
Der reine Passwortschutz von Windows ist schnell umgangen, daher ist es sinnvoll das Betriebsystem und alle Daten zu verschlüsseln, damit vertrauliche Daten auch vertaulich bleiben.

Voraussetzungen

Die folgende Kurzanleitung funktioniert erst ab Windows 10 Professional. Den kleinen Editionen fehlen grundlegende Verschlüsselungsfunktionen, sowie der Gruppenrichtlinieneditor und die Möglichkeit Gruppenrichtlinien umzusetzen (u.A. daher ist mit ihnen auch ein Domänenbeitritt nicht vorgesehen).

Es hat sich als praktisch erwiesen, zuerst einige Voreinstellungen in den GPO vorzunehmen und erst danach Bitlocker für das entsprechende Laufwerk zu aktivieren. Die Einstellungen sorgen dafür, dass man zuerst einen Code eingeben muss, bevor der Computer das Laufwerk entsperrt. Ansonsten ist es sehr gut möglich ein gestohlenes Laptop als Zugang zum Firmennetz zu verwenden (siehe dazu Lesetipp: Gestohlenes Laptop als Hintertür)

Festlegen der Gruppenrichtlinien

Dazu ruft man zuerst mittel den Editor für lokale Gruppenrichtlinien auf, indem man die Windowstaste und R und dort gpedit.msc eingibt.

Mit einem Klick auf „ok“ bestätigen. Es öffnet sich darauf ein neues Fenster (der Gruppenrichtlinieneditor).
Seid ihr nicht als Administrator angemeldet, kann hier noch einmal die Benutzerkontensteuerung nach Administratorrechten fragen. Bitte erteilt dem Programm die entsprechenden Rechte.

Geht nun auf „Administrative Vorlagen→Windows Komponenten→ Bitlocker-Laufwerksverschlüsselung und passt hier einige Einträge an. Die Reihenfolge in der ihr die Anpassungen vornehmt ist dabei beliebig.

1.Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerke auswählen (Windows 10 [1511] und höher)
Setzt den Wert je auf „XTS-AES 256-Bit“ für „Verschlüsselungsmethode für Betriebssystemlaufwerk auswählen“,
„Verschlüsselungsmethode für Festplattenlaufwerke auswählen“, „Verschlüsselungsmethode für Wechsellaufwerke auswählen“

Das sollte nach derzeitigem Stand der Technik das Laufwerk ausreichend sicher verschlüsseln (einen absoluten Schutz gibt es auch hier nicht).

2. Pin-Eingabe

Damit wären die Daten bereits verschlüsselt, würde man die Verschlüsselung aktivieren, jedoch wäre ein Umgehen des Schutzes noch recht einfach möglich (vgl. den obigen Lesetip).

Um das zu ändern soll Windows nun bei jedem Start eine Pin-Abfragen, dazu gehe auf „Betriebsystemlaufwerke“, wähle hier „Zusätzliche Authentifizierung beim Start anfordern“, aktiviert die Richtlinie und belasst die Werte hier auf den Standardeinstellungen.

Nun erhöhen wir noch die Komplexität für die Pin. Eine einfache Zahlenfolge bietet hier nur recht geringe Sicherheit.
Dafür gehe auf die Richtlinie „Erweiterte Pins für Systmestart zulassen und aktiviere sie.
Danach lege noch in der Richtlinie „Verwendung von Kennwörtern für Betriebssystemlaufwerke konfigurieren“ die erforderliche/gewünschte Komplexität fest.

3.Verschlüsselung aktivieren

Gehe zu Systemsteuerung\System und Sicherheit\BitLocker-Laufwerkverschlüsselung und aktivieren dort die Laufwerksverschlüsselung durch einen Klick auf „aktivieren (siehe auch das folgende Bild).

Es startet darauf ein kleiner Assistent, der in der folgenden Bilderstrecke dokumentiert ist.
Lege im ersten Schritt fest, wie das Laufwerk entsperrt werden soll, hier also „Pin eingeben“.

Im zweiten Schritt wird dann die entsprechende Pin abgefragt

ACHTUNG: Bei der Eingabe der Preboot-Pin gilt die amerikanische Tastaturbelegung, z.B. sind hier y und z vertauscht (im Vergleich zur deutschen), es stehen aber auch ebenso keine deutschen Sonderzeichen zur Verfügung (äöüß) und viele Symbole „verstecken“ sich hinter einer anderen Taste (- entspricht dem Fragezeichen, § entspricht der Raute, uvm). Auf Laptops können sich die Tasten aufgrund evtl. Mehrfachbelegung noch einmal anders verhalten.

Im dritten Schritt wird abgefragt, wo der Wiederherstellungsschlüssel gespeichert werden soll. Der ist nötig, falls man die normale Pin einmal vergessen hat.

Ich empfehle den Wiederherstellungsschlüssel von Zeit zu Zeit, besonders nach großen Windows-Updates, noch einmal neu zu exportieren.
Es ist logischerweise nicht möglich den PIN auf dem zu verschlüsselnden Laufwerk zu hinterlegen. Das ist logisch, hier würde man ihn im Notfall nicht erreichen (da er ebenfalls verschlüsselt werden). Leider scheidet damit auch ein direktes Speichern in einer Cloudumgebung aus, da Windows nicht immer zuverlässig erkennt, dass sich der Speicherort nicht ausschließlich auf dem lokalen Laufwerk befindet.
(Ob es unter dem Aspekt des Datenschutzes überhaupt Sinn ergibt, den Wiederherstellungsschlüssel in einer Cloud zu hinterlegen, muss jede/r für sich selbst entscheiden)

Im vierten Schritt frage der Assistenz noch ab, ob nur der benutzte Teil des Laufwerks verschlüsselt werden soll, oder das gesamte Laufwerk.

Da der Computer auf die ich die Verschlüsselung hier einrichte noch unbenutzt ist (und eine SSD eingebaut ist) wähle ich hier nicht das gesamte Laufwerk zu verschlüsseln. Es befanden sich noch keine wichtigen Daten auf dem System, die evtl. in wieder freigegeben Speicherbereichen liegen könnte.

Im letzten Schrit noch die Systemüberprüfung durchlaufen lassen und die Verschlüsselung anstoßen.

Nach dem Klick auf „ok“ schließt sich der Assistent und Windows weist darauf hin, dass ein Neustart erforderlich ist.

Nach dem Neustart weist ein kleiner PoP-Up darauf hin, dass im Hintergrund nun das Laufwerk verschlüsselt wird.