Zum 23.08.2023 ist die NWC Services GmbH zur CANCOM GmbH geworden. Besuchen Sie uns gerne auf www.cancom.de
Toggle Bar

BLOG

BLOGGING CONSULTANTS

NWC Services Blog

Blogs von Consultants der NWC Services GmbH

Systempartition automatisiert mit Bitlocker unter Windows 7 verschlüsseln

Gerade für Notebooks ist es oftmals wichtig, die Daten vor unbefugten Zugriffen zu schützen.

Ein reiner Passwortschutz ist dabei aber nicht ausreichend.

Seit Windows Vista bringt Microsoft für die Enterprise und Ultimate Versionen das Verschlüsselungstool „Bitlocker Drive Encryption“ (BDE) mit. Damit lassen sich einzelne Partitionen oder komplette Festplatten verschlüsseln.

 

Voraussetzung dafür ist eine extra Partition und ein TPM Chip (Trusted Platform Module) in der Version 1.2 oder höher. Die Partition muss mind. 100MB groß sein. Es ist erforderlich, dass sich diese auf jeden Fall vor der Systempartition befindet. In dieser Partition liegen dann der Bootloader und die Routine für Bitlocker für den Bootvorgang.

Um zu prüfen, ob Ihr System einen entsprechenden TPM Chip besitzt, rufen Sie über Start\Ausführen das Snap-In „tpm.msc“ auf. Dort können Sie die entsprechende Version überprüfen (siehe Screenshot).

Achtung: Der Chip muss dazu jedoch auch im BIOS aktiviert sein.

tpm_small

Die benötigten Partitionen lassen sich mit Diskpart vor einer Unattend Installation anlegen. In der unattend.xml für Windows 7 legt man fest, dass das Betriebssystem auf der zweiten Partition installiert werden soll (siehe Detailausschnitt einer unattend.xml).





/IMAGE/Name
Windows 7 %InstallationParameters.Edition%


false
0
2

Sobald das Betriebssystem und der Treiber für den TPM Chip installiert sind, kann man das Gerät verschlüsseln. Um den Vorgang zu automatisieren, gibt es einige Befehle, mit denen sich Bitlocker auf Systemen aktivieren lässt.

Schritt 1 TPM Chip aktivieren:

Das geschieht mit dem Befehl „C:\Windows\System32\manage-bde.exe -tpm –t“

Danach muss Windows neu gestartet werden. Beim Hochfahren des Gerätes kommt eine BIOS Meldung, die je nach BIOS Version entsprechend bestätigt werden möchte.

Schritt 2 Passwort für TPM Chip vergeben:

Um den TPM Chip mit einem Passwort zu schützen, führen Sie folgenden Befehl aus: „C:\Windows\System32\manage-bde.exe -tpm -o IhrTPMPasswort“

Damit die Änderungen aktiv werden, starten Sie Ihr Windows neu.

Schritt 3 Bitlocker Verschlüsselung starten:

Zum Schluss muss noch die Verschlüsselung gestartet werden:

“C:\Windows\System32\manage-bde.exe -on c: -RecoveryPassword 123456-123456-123456-123456-123456-123456-123456-123456 –SkipHardwareTest”

Mit dieser Methode wird der „aes128_diffusor“ Algorithmus verwendet. Andere Algorithmen (aes 128, aes 256, aes256_diffusor) können mit dem Parameter „-em“ gewähltwerden.

Mit dem Befehl „C:\Windows\System32\manage-bde.exe -on c: -RecoveryPassword“ erzeugen Sie ein neues Recovery Passwort, welches Sie für Ihre Clients verwenden können.

Um zu prüfen, ob Ihr Client gerade verschlüsselt oder bereits verschlüsselt ist, führen Sie den Befehl „C:\Windows\System32\manage-bde.exe –status“ aus.

Während der Verschlüsselungsphase, können Sie Ihr Windows auch bedenkenlos neu starten bzw. herunterfahren.

×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Windows Recovery auf eigene Partition auslagern
WinPE 3.x VBScript-fähig machen

Ähnliche Beiträge

 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Donnerstag, 03. Oktober 2024

Sicherheitscode (Captcha)