Gerade für Notebooks ist es oftmals wichtig, die Daten vor unbefugten Zugriffen zu schützen.

Ein reiner Passwortschutz ist dabei aber nicht ausreichend.

Seit Windows Vista bringt Microsoft für die Enterprise und Ultimate Versionen das Verschlüsselungstool „Bitlocker Drive Encryption“ (BDE) mit. Damit lassen sich einzelne Partitionen oder komplette Festplatten verschlüsseln.

Voraussetzung dafür ist eine extra Partition und ein TPM Chip (Trusted Platform Module) in der Version 1.2 oder höher. Die Partition muss mind. 100MB groß sein. Es ist erforderlich, dass sich diese auf jeden Fall vor der Systempartition befindet. In dieser Partition liegen dann der Bootloader und die Routine für Bitlocker für den Bootvorgang.

Um zu prüfen, ob Ihr System einen entsprechenden TPM Chip besitzt, rufen Sie über Start\Ausführen das Snap-In „tpm.msc“ auf. Dort können Sie die entsprechende Version überprüfen (siehe Screenshot).

Achtung: Der Chip muss dazu jedoch auch im BIOS aktiviert sein.

Die benötigten Partitionen lassen sich mit Diskpart vor einer Unattend Installation anlegen. In der unattend.xml für Windows 7 legt man fest, dass das Betriebssystem auf der zweiten Partition installiert werden soll (siehe Detailausschnitt einer unattend.xml).

/IMAGE/Name
Windows 7 %InstallationParameters.Edition%


false
0
2

Sobald das Betriebssystem und der Treiber für den TPM Chip installiert sind, kann man das Gerät verschlüsseln. Um den Vorgang zu automatisieren, gibt es einige Befehle, mit denen sich Bitlocker auf Systemen aktivieren lässt.

Schritt 1 TPM Chip aktivieren:

Das geschieht mit dem Befehl „C:\Windows\System32\manage-bde.exe -tpm –t“

Danach muss Windows neu gestartet werden. Beim Hochfahren des Gerätes kommt eine BIOS Meldung, die je nach BIOS Version entsprechend bestätigt werden möchte.

Schritt 2 Passwort für TPM Chip vergeben:

Um den TPM Chip mit einem Passwort zu schützen, führen Sie folgenden Befehl aus: „C:\Windows\System32\manage-bde.exe -tpm -o IhrTPMPasswort“

Damit die Änderungen aktiv werden, starten Sie Ihr Windows neu.

Schritt 3 Bitlocker Verschlüsselung starten:

Zum Schluss muss noch die Verschlüsselung gestartet werden:

“C:\Windows\System32\manage-bde.exe -on c: -RecoveryPassword 123456-123456-123456-123456-123456-123456-123456-123456 –SkipHardwareTest”

Mit dieser Methode wird der „aes128_diffusor“ Algorithmus verwendet. Andere Algorithmen (aes 128, aes 256, aes256_diffusor) können mit dem Parameter „-em“ gewähltwerden.

Mit dem Befehl „C:\Windows\System32\manage-bde.exe -on c: -RecoveryPassword“ erzeugen Sie ein neues Recovery Passwort, welches Sie für Ihre Clients verwenden können.

Um zu prüfen, ob Ihr Client gerade verschlüsselt oder bereits verschlüsselt ist, führen Sie den Befehl „C:\Windows\System32\manage-bde.exe –status“ aus.

Während der Verschlüsselungsphase, können Sie Ihr Windows auch bedenkenlos neu starten bzw. herunterfahren.