Vor längerer Zeit hatte ich mal für meinen engeren Kreis einen Bitlocker Guide erstellt. Wenn jemand vor hat seinen eigenen Guide zu erstellen, kann diesen gerne als Vorlage einsetzen.
Was ist BitLocker?
Bitlocker ist eine Full Disk Encryption (FDE) Suite, die ganze Festplatten verschlüsseln kann und zum anderen Teil auch eine Full Volume Encryption (FVE), die einzelne Partionen sicher verschlüsselt.
Unter Windows 10 kommt die XTS-AES-256 Bit Verschlüsselung zum Einsatz. Diese Schlüssellänge wird für Daten eingesetzt die als Streng Geheim klassifiziert wurden. AES-128 ist weiterhin als sicher eingestuft.
Die Daten auf dem Notebook werden mit einem TPM-Chip (Trusted Platform Module) gesichert. Sollte die Festplatte aus dem Notebook entfernt werden, so ist eine Entschlüsselung der Daten nicht mehr möglich. Eine Entschlüsselung funktioniert nur mit dem TPM-Chip mit dem die Festplatte oder Partition verschlüsselt wurden. Somit ist der TPM-Chip der Dekodierungsschlüssel zum Entsperren der Daten. Sollte von einem externen Datenträger, einem USB-Stick oder einer DVD gebootet werden, so sind die Daten auf der verschlüsselten Festplatte oder Partition weiterhin geschützt. Nur durch die Eingabe einer PIN oder/und Passwort können die Daten zusammen mit dem TPM-Chip entsperrt werden.
Notebooks eines Unternehmens sollten mit der Bitlocker Technologie geschützt werden. Im Falles eines Verlustes oder Diebstahls, schützt die Festplattenverschlüsselungstechnologie die Daten vor ungewollten Zugriffen.
Werde ich einen Unterschied zu PGP bemerken?
Nein. Bitlocker verwendet einen TPM-Chip auf dem Mainboard um den Verschlüsselungsprozess sicher und schnell durchzuführen. Nach dem Einschalten des Notebooks beginnt Bitlocker bereits mit der Verschlüsselung der Festplatte und das ohne Beeinträchtigung.
Wie arbeitet Bitlocker?
Nach dem Einschalten des Notebook bzw. der Anmeldung muss durch den neuen Benutzer nur noch eine 10-stellige alphanumerische PIN vergeben werden. Diese PIN sollte jeder gültige Benutzer des Notebooks kennen. Nach Eingabe der PIN sind die Daten entsperrt, also nicht mehr durch Bitlocker geschützt. Der Bitlocker Schutz greift entweder im Ruhezustand und das automatisch oder wenn das Notebook heruntergefahren wird
PIN erstellen:
Eine PIN ist eine Kombination aus Zahlen und Buchstaben und muss je nach Richtlinie entweder nach dem Einschalten des Notebooks eingegeben werden oder nach dem das Notebook aus dem Ruhezustand erweckt wurde. Eine PIN sollte niemals in der Nähe des Notebooks aufbewahrt oder transportiert werden.
PIN ändern:
Die PIN kann durch den Benutzer jederzeit geändert werden und zwar wie folgt:
Anmelden am Notebook
Windows-Einstellungen öffnen, Suche > BitLocker verwalten
Systemsteuerung\System und Sicherheit\Bitlocker-Laufwerksverschlüsselung
Die Option PIN ändern auswählen
Hinweis: Das Ändern der PIN erfordert keine lokalen administrativen Rechte.
PIN vergessen, was nun?
Bitlocker erstellt und speichert im Active Directory automatisch einen Wiederherstellungsschlüssel. Nur autorisierte Mitarbeiter der IT haben Zugriff auf diesen Schlüssel. Nach der Vergabe einer PIN durch den gültigen Benutzer, hat dieser auch die Möglichkeit den Wiederherstellungsschlüssel auf einem vorgegeben Laufwerk abzuspeichern.
Ein Datenlaufwerk mit Bitlocker schützen?
Wenn das Notebook über weitere Festplatten verfügt, können auch diese mit Bitlocker verschlüsselt werden. Das Aktivieren erfordert keine lokalen administrativen Rechte. Sobald das Laufwerk verschlüsselt ist, wird zum Entsperren des Laufwerks ein Kennwort benötigt. Ein automatisches Entsperren des Laufwerks kann eingestellt werden.
USB Laufwerke mit Bitlocker schützen?
Das Schreiben von Daten auf externe Laufwerke zwingt den Benutzer automatisch zur Verschlüsselung des USB-Sticks oder der Festplatte. Ist das externe Laufwerk verschlüsselt und das Kennwort wurde vergessen, kann der während der Einrichtung abgelegte Wiederherstelungsschlüssel zum Entsperren des Laufwerks eingesetzt werden. Ein automatisches Entsperren des Laufwerks kann eingestellt werden.
Standby Mode (Sleep Option)
Notebooks können in den Ruhezustand versetzt werden aber nicht in den Stand-by-Modus. Wenn ein Notebook im Stand-by-Modus versetzt werden würde, würde keine PIN Abfrage erfolgen, aus diesem Grund steht dieser Modus nicht zur Auswahl.
Wird die Leistung des Notebooks beeinflusst?
Moderne Notebooks nutzen 3% der Leistung beim Verschlüsseln der Festplatte sowie im Betriebsmodus.
Kann die Verschlüsselung aufgehoben werden?
Sobald die IT ein Notebook ausgegeben hat, ist die Verschlüsselung aktiv und kann nicht deaktiviert werden.