Mit BitLocker stellt Microsoft seinen Betriebssystemen eine einfache und effektive Möglichkeit zur Seite, die vorhandenen Datenträger zu verschlüsseln. Die Aktivierung ist, wie Du gleich sehen wirst, denkbar einfach. Wer ein TPM (Trusted Platform Module) in seinem Windows Rechner verbaut hat, braucht BitLocker lediglich in der Systemsteuerung zu konfigurieren. Aber wie lässt sich BitLocker ohne TPM aktivieren?

Per Gruppenrichtlinie – BitLocker ohne TPM aktivieren

Nicht jeder Rechner hat ein TPM Modul und virtuelle Maschinen erst recht nicht. Damit Du bei diesen Systemen nicht auf BitLocker verzichten muss, gibt es die Möglichkeit, eine zusätzliche Authentifizierung beim Systemstart zu aktivieren.

Diese Authentifizierung erfolgt dann entweder per Eingabe eines Kennwortes oder durch eine Datei auf einem angesteckten USB-Stick.

Um BitLocker ohne TPM aktivieren zu können, müssen wir in der lokalen Gruppenrichtlinie (gpedit.msc) die Richtlinie „Zusätzliche Authentifizierung beim Start anfordern“ aktivieren. Du findest diese unter „Computerkonfiguration -> Administrative-Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke“.

Bitlocker ohne TPM aktivieren GPO

In den Gruppenrichtlinien lässt sich die „Zusätzliche Authentifizierung beim Systemstart“ aktivieren

Diese Richtlinie muss einerseits aktiviert werden, zusätzlich muss ein Häkchen bei „BitLocker ohne kompatibles TPM zulassen“ gesetzt sein.

BitLocker ohne TPM aktivieren - GPO aktivieren

Natürlich ist es auch möglich, diese Einstellung in einer Active Directory Domäne per Gruppenrichtlinie auszurollen. Die Richtlinie findet sich an der Stelle „Computerkonfiguration -> Richtlinien -> Administrative-Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke“.

Ist diese Einstellung aktiv, kann in der Systemsteuerung, unter System und Sicherheit, der Punkt „BitLocker verwalten“ geöffnet werden. Nun ist es möglich, BitLocker ohne TPM aktivieren und einzurichten.

BitLocker aktivieren

Nach Aktivierung und Anwendung der Gruppenrichtlinie kannst Du BitLocker ohne TPM aktivieren.

Nach dem Klick auf „BitLocker aktivieren“ werdet Ihr gefragt, auf welche Weise das Laufwerk beim Start des Betriebssystems entsperrt werden soll. Ihr habt die Wahl zwischen

  • USB-Stick anschließen
    Hierbei wird die Identifizierung mittels eingestecktem USB-Stick erfolgen. Es ist keine Eingabe eines zusätzlichen Kennwortes nötig (wie bei TPM). Allerdings besteht immer die Gefahr des technischen Defektes oder des Verlustes des USB-Meduims.
  • Kennwort eingeben
    Bei jedem Start des Betriebssystems muss das gewählte Kennwort eingegeben werden. Vielleicht manchmal etwas lästig, meiner Meinung nach aber die sicherste Variante. WICHTIG: Das Tastatur-Layout kann vor dem Start des Betriebssystems auf Englisch gestellt sein. Daher Vorsicht mit Sonderzeichen oder Umlauten.

Ich entscheide mich in dieser Anleitung für die Variante per Kennwort. Im nächsten Schritt werde ich daher zur Eingabe eines neuen Kennwortes aufgefordert, mit dem ich zukünftig das Laufwerk entsperren kann.

BitLocker ohne TPM aktivieren - Kennwort vergeben

Zur eigenen Sicherheit sollte das Kennwort für die Entsperrung nicht mit dem Windowskennwort übereinstimmen.

Anschließend geht es darum, den Wiederherstellungsschlüssel zu speichern. Dieser Wiederherstellungsschlüssel erlaubt mir die Entsperrung ohne das vergebene Kennwort oder den eingesteckten USB-Stick. Er ist sozusagen die letzte Möglichkeit die Daten der verschlüsselten Festplatte wiederherzustellen. Du solltest Dir diesen Schlüssel daher besonders gut aufheben – am besten in digitaler Form und auf Papier. Das Speichern des Wiederherstellungsschlüssels auf die zu verschlüsselnde Festplatte ist übrigens nicht möglich.

Wiederherstellungsschluessel fuer BitLocker

Mit dem Wiederherstellungsschlüssel kann im Notfall wieder auf die Daten zugegriffen werden. Deshalb sollte dieser immer sicher verwahrt werden.

Nachdem wir diesen Schritt erledigt haben muss die BitLocker Aktivierung durch einen Neustart des Rechners abgeschlossen werden. Sofern Du zuvor die Option „Kennwort eingeben“ ausgewählt hast, wirst Du ab sofort vor dem Windows Start nach dem BitLocker Kennwort gefragt.

Nach dem Neustart von Windows ist BitLocker aktiviert und der Verschlüsselungsprozess wird im Hintergrund gestartet. Den aktuellen Status kannst Du über das Taskleistensymbol „BitLocker-Laufwekrsverschlüsselung“ abrufen (Doppelklick).

BitLocker - Laufwerk wird verschluesselt

Die Verschlüsselung läuft. Je nach Datenmenge kann dies mehrere Stunden dauern.

Dieser Prozess kann je nach Datenträgergröße und der vorhandenen Datenmenge eine ganze Weile dauern. Wenn die Verschlüsselung abgeschlossen ist, verschwindet das Symbol aus der Taskleiste. Während der Verschlüsselung kann das System gefahrlos verwendet oder auch heruntergefahren werden. Nach einem Neustart wird der Prozess fortgesetzt.

Wer nicht nur Windows Installationen verschlüsseln möchte, sondern auch Mac OS X, findet in dem Artikel Festplatte verschlüsseln – Anleitung zum sichern Deiner Daten einige Tipps und Tricks.

Wenn Dir diese Information weitergeholfen hat, kannst Du mir das gerne in die Kommentare schreiben. Ebenfalls freue ich mich über jede kleine Spende, die Du diesem Blog ganz unkompliziert über PayPalMe zukommen lassen kannst. Vielen Dank.

René Albarus

René Albarus

Ich heiße René Albarus und bin seit 2002 beruflich im Bereich der Systemadministration tätig. Da auch ich einen Teil meines Wissens IT-Blogs im Internet verdanke, ist es für mich selbstverständlich, dass ich Lösungsansätze und Anleitungen in diesem Blog weitergebe.
René Albarus
0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.