So richten Sie die BitLocker-Verschlüsselung unter Windows ein
BitLocker ist ein in Windows integriertes Tool, mit dem Sie eine gesamte Festplatte verschlüsseln können, um die Sicherheit zu erhöhen. So richten Sie es ein.
Als TrueCrypt den Laden kontrovers diskutierte, empfahlen sie ihren Benutzern, von TrueCrypt zu BitLocker oder Veracrypt zu wechseln. BitLocker ist schon lange genug in Windows, um als ausgereift angesehen zu werden, und ist ein Verschlüsselungsprodukt, das von Sicherheitsfachleuten allgemein geschätzt wird. In diesem Artikel werden wir darüber sprechen, wie Sie es auf Ihrem PC einrichten können.
Hinweis: Für die BitLocker-Laufwerkverschlüsselung und BitLocker To Go ist eine Professional- oder Enterprise-Edition von Windows 8 oder 10 oder die Ultimate-Version von Windows 7 erforderlich. Ab Windows 8.1 enthalten die Home- und Pro-Editionen von Windows jedoch eine "Device Encryption" -Funktion ( eine ebenfalls in Windows 10) enthaltene Funktion, die ähnlich funktioniert. Wir empfehlen die Geräteverschlüsselung, wenn Ihr Computer dies unterstützt, BitLocker for Pro-Benutzer, die die Geräteverschlüsselung nicht verwenden können, und VeraCrypt für Benutzer, die eine Home-Version von Windows verwenden, bei der die Geräteverschlüsselung nicht funktioniert.
Verschlüsseln Sie ein gesamtes Laufwerk oder erstellen Sie einen verschlüsselten Container?
In vielen Leitfäden wird darüber gesprochen, wie Sie einen BitLocker-Container erstellen, der mit den verschlüsselten Containern vergleichbar ist, die Sie mit Produkten wie TrueCrypt oder Veracrypt erstellen können. Es ist ein bisschen irreführend, aber Sie können einen ähnlichen Effekt erzielen. BitLocker verschlüsselt ganze Laufwerke. Dies kann Ihr Systemlaufwerk, ein anderes physisches Laufwerk oder eine virtuelle Festplatte (VHD) sein, die als Datei vorhanden ist und in Windows eingehängt ist.
Der Unterschied ist weitgehend semantisch. In anderen Verschlüsselungsprodukten erstellen Sie normalerweise einen verschlüsselten Container und stellen ihn dann als Laufwerk in Windows bereit, wenn Sie ihn benötigen. Mit BitLocker erstellen Sie eine virtuelle Festplatte und verschlüsseln sie dann. Wenn Sie einen Container verwenden möchten, anstatt Ihr vorhandenes System oder Speicherlaufwerk zu verschlüsseln, lesen Sie unsere Anleitung zum Erstellen einer verschlüsselten Containerdatei mit BitLocker.
In diesem Artikel konzentrieren wir uns darauf, BitLocker für ein vorhandenes physisches Laufwerk zu aktivieren.
So verschlüsseln Sie ein Laufwerk mit BitLocker
Um BitLocker für ein Laufwerk zu verwenden, müssen Sie es lediglich aktivieren, eine Entsperrmethode, ein Kennwort, eine PIN usw. wählen und dann einige andere Optionen festlegen. Bevor wir uns darauf einlassen, sollten Sie jedoch wissen, dass die BitLocker-Vollfestplattenverschlüsselung auf einem Systemlaufwerk erfordert im Allgemeinen einen Computer mit einem Trusted Platform Module (TPM) auf dem Motherboard Ihres PCs. Dieser Chip generiert und speichert die von BitLocker verwendeten Verschlüsselungsschlüssel. Wenn Ihr PC über kein TPM verfügt, können Sie mithilfe von Gruppenrichtlinien die Verwendung von BitLocker ohne TPM aktivieren. Es ist etwas weniger sicher, aber immer noch sicherer als überhaupt keine Verschlüsselung zu verwenden.
Sie können ein Nicht-Systemlaufwerk oder ein Wechsellaufwerk ohne TPM und ohne Aktivierung der Gruppenrichtlinieneinstellung verschlüsseln.
In diesem Zusammenhang sollten Sie auch wissen, dass es zwei Arten der BitLocker-Laufwerkverschlüsselung gibt, die Sie aktivieren können:
- BitLocker-Laufwerkverschlüsselung: Manchmal nur als BitLocker bezeichnet, handelt es sich hierbei um eine Funktion zur vollständigen Festplattenverschlüsselung, die ein gesamtes Laufwerk verschlüsselt. Wenn Ihr PC hochfährt, wird der Windows-Bootloader von der Systemreserved-Partition geladen, und der Bootloader fordert Sie zur Eingabe der Entsperrmethode auf, beispielsweise ein Kennwort. BitLocker entschlüsselt dann das Laufwerk und lädt Windows. Ansonsten ist die Verschlüsselung transparent - Ihre Dateien werden wie auf einem unverschlüsselten System angezeigt, jedoch verschlüsselt auf der Festplatte gespeichert. Sie können auch andere Laufwerke als nur das Systemlaufwerk verschlüsseln.
- BitLocker zum Mitnehmen: Mit BitLocker To Go können Sie externe Laufwerke wie USB-Flash-Laufwerke und externe Festplatten verschlüsseln. Sie werden aufgefordert, Ihre Entsperrungsmethode (z. B. ein Kennwort) anzugeben, wenn Sie das Laufwerk an Ihren Computer anschließen. Wenn jemand nicht über die Entsperrmethode verfügt, kann er nicht auf die Dateien auf dem Laufwerk zugreifen.
In Windows 7 bis 10 müssen Sie sich keine Gedanken darüber machen, die Auswahl selbst vorzunehmen. Windows erledigt die Dinge im Hintergrund und die Benutzeroberfläche, die Sie zum Aktivieren von BitLocker verwenden, sieht nicht anders aus. Wenn Sie ein verschlüsseltes Laufwerk unter Windows XP oder Vista entsperren, wird das BitLocker to Go-Branding angezeigt. Daher haben wir uns gedacht, dass Sie dies zumindest wissen sollten.
Also, wenn wir nicht im Weg sind, gehen wir weiter, wie das tatsächlich funktioniert.
Schritt 1: Aktivieren Sie BitLocker für ein Laufwerk
Sie können BitLocker für ein Laufwerk am einfachsten aktivieren, indem Sie mit der rechten Maustaste in einem Datei-Explorer-Fenster auf das Laufwerk klicken und dann den Befehl "BitLocker aktivieren" wählen. Wenn diese Option nicht in Ihrem Kontextmenü angezeigt wird, verfügen Sie wahrscheinlich nicht über eine Pro- oder Enterprise-Edition von Windows, und Sie müssen nach einer anderen Verschlüsselungslösung suchen.
Es ist so einfach. Der daraufhin geöffnete Assistent führt Sie durch die Auswahl verschiedener Optionen, die wir in den folgenden Abschnitten aufgeschlüsselt haben.
Zweiter Schritt: Wählen Sie eine Entsperrungsmethode
Im ersten Bildschirm des Assistenten „BitLocker-Laufwerkverschlüsselung“ können Sie auswählen, wie das Laufwerk entsperrt werden soll. Sie können verschiedene Möglichkeiten zum Entsperren des Laufwerks auswählen.
Wenn Sie Ihr Systemlaufwerk auf einem Computer verschlüsseln, tut nicht Wenn Sie ein TPM haben, können Sie das Laufwerk mit einem Kennwort oder einem als Schlüssel fungierenden USB-Laufwerk entsperren. Wählen Sie Ihre Entsperrungsmethode und befolgen Sie die Anweisungen für diese Methode (geben Sie ein Kennwort ein oder stecken Sie Ihr USB-Laufwerk ein.).
Wenn dein Computer tut Wenn Sie ein TPM haben, werden zusätzliche Optionen zum Entsperren Ihres Systemlaufwerks angezeigt. Sie können beispielsweise die automatische Entsperrung beim Start konfigurieren (wobei Ihr Computer die Verschlüsselungsschlüssel vom TPM bezieht und das Laufwerk automatisch entschlüsselt). Sie können auch eine PIN anstelle eines Kennworts verwenden oder auch biometrische Optionen wie einen Fingerabdruck auswählen.
Wenn Sie ein Nicht-Systemlaufwerk oder ein Wechsellaufwerk verschlüsseln, werden nur zwei Optionen angezeigt (unabhängig davon, ob Sie ein TPM haben oder nicht). Sie können das Laufwerk mit einem Kennwort oder einer Smartcard (oder beiden) entsperren..
Schritt 3: Sichern Sie Ihren Wiederherstellungsschlüssel
BitLocker bietet Ihnen einen Wiederherstellungsschlüssel, mit dem Sie auf Ihre verschlüsselten Dateien zugreifen können, wenn Sie Ihren Hauptschlüssel verlieren, beispielsweise wenn Sie Ihr Kennwort vergessen oder der PC mit TPM stirbt und Sie von einem anderen System auf das Laufwerk zugreifen müssen.
Sie können den Schlüssel auf Ihrem Microsoft-Konto, einem USB-Laufwerk oder einer Datei speichern oder sogar drucken. Diese Optionen sind die gleichen, unabhängig davon, ob Sie ein System oder ein anderes Laufwerk verschlüsseln.
Wenn Sie den Wiederherstellungsschlüssel in Ihrem Microsoft-Konto sichern, können Sie den Schlüssel später unter https://onedrive.live.com/recoverykey aufrufen. Wenn Sie eine andere Wiederherstellungsmethode verwenden, stellen Sie sicher, dass dieser Schlüssel sicher aufbewahrt wird. Wenn jemand Zugriff darauf erhält, kann er Ihr Laufwerk entschlüsseln und die Verschlüsselung umgehen.
Sie können den Wiederherstellungsschlüssel auch auf mehrere Arten sichern, wenn Sie möchten. Klicken Sie einfach auf jede Option, die Sie der Reihe nach verwenden möchten, und befolgen Sie die Anweisungen. Wenn Sie Ihre Wiederherstellungsschlüssel gespeichert haben, klicken Sie auf "Weiter", um fortzufahren.
Hinweis: Wenn Sie ein USB-Laufwerk oder ein anderes Wechseldatenträger-Laufwerk verschlüsseln, können Sie den Wiederherstellungsschlüssel nicht auf einem USB-Laufwerk speichern. Sie können jede der drei anderen Optionen verwenden.
Schritt vier: Verschlüsseln und Entsperren des Laufwerks
BitLocker verschlüsselt neue Dateien automatisch, wenn Sie sie hinzufügen. Sie müssen jedoch auswählen, was mit den Dateien auf Ihrem Laufwerk geschieht. Sie können das gesamte Laufwerk einschließlich des freien Speicherplatzes verschlüsseln oder nur die verwendeten Datenträgerdateien verschlüsseln, um den Vorgang zu beschleunigen. Diese Optionen sind auch die gleichen, unabhängig davon, ob Sie ein System oder ein anderes Laufwerk verschlüsseln.
Wenn Sie BitLocker auf einem neuen PC einrichten, verschlüsseln Sie nur den verwendeten Speicherplatz. Dies ist wesentlich schneller. Wenn Sie BitLocker auf einem PC einrichten, den Sie seit einiger Zeit verwenden, sollten Sie das gesamte Laufwerk verschlüsseln, um sicherzustellen, dass niemand gelöschte Dateien wiederherstellen kann.
Wenn Sie Ihre Auswahl getroffen haben, klicken Sie auf die Schaltfläche "Weiter".
Schritt 5: Wählen Sie einen Verschlüsselungsmodus (nur Windows 10)
Wenn Sie Windows 10 verwenden, wird ein zusätzlicher Bildschirm angezeigt, in dem Sie eine Verschlüsselungsmethode auswählen können. Wenn Sie Windows 7 oder 8 verwenden, fahren Sie mit dem nächsten Schritt fort.
Windows 10 führte eine neue Verschlüsselungsmethode mit dem Namen XTS-AES ein. Es bietet verbesserte Integrität und Leistung gegenüber den in Windows 7 und 8 verwendeten AES. Wenn Sie wissen, dass das verschlüsselte Laufwerk nur auf Windows 10-PCs verwendet wird, wählen Sie die Option "Neuer Verschlüsselungsmodus". Wenn Sie der Meinung sind, dass Sie das Laufwerk irgendwann mit einer älteren Version von Windows verwenden müssen (besonders wichtig, wenn es sich um ein Wechseldatenträger handelt), wählen Sie die Option "Kompatibler Modus".
Unabhängig davon, welche Option Sie wählen (und dies gilt auch für Systemlaufwerke und Laufwerke ohne System), fahren Sie fort und klicken Sie auf "Weiter", wenn Sie fertig sind, und klicken Sie im nächsten Bildschirm auf "Start Encrypting".
Sechster Schritt: Fertigstellung
Je nach Größe des Laufwerks, der zu verschlüsselnden Datenmenge und davon, ob Sie freien Speicherplatz verschlüsseln, kann der Verschlüsselungsprozess zwischen Sekunden und Minuten oder sogar länger dauern.
Wenn Sie Ihr Systemlaufwerk verschlüsseln, werden Sie aufgefordert, eine BitLocker-Systemprüfung durchzuführen und Ihr System neu zu starten. Stellen Sie sicher, dass die Option ausgewählt ist, klicken Sie auf die Schaltfläche "Weiter" und starten Sie Ihren PC neu, wenn Sie dazu aufgefordert werden. Nachdem der PC zum ersten Mal neu gestartet wurde, verschlüsselt Windows das Laufwerk.
Wenn Sie ein Nicht-System oder ein Wechseldatenträger verschlüsseln, muss Windows nicht neu gestartet werden, und die Verschlüsselung beginnt sofort.
Unabhängig von der Art des Laufwerks, das Sie verschlüsseln, können Sie das Fortschreiten des BitLocker-Laufwerkverschlüsselungssymbols in der Taskleiste überprüfen. Sie können den Computer auch dann verwenden, wenn Laufwerke verschlüsselt werden. Dies geschieht nur langsamer.
Laufwerk entsperren
Wenn Ihr Systemlaufwerk verschlüsselt ist, hängt die Entsperrung von der gewählten Methode ab (und davon, ob Ihr PC über ein TPM verfügt). Wenn Sie über ein TPM verfügen und sich dafür entscheiden, das Laufwerk automatisch zu entsperren, werden Sie nichts anderes bemerken. Sie werden einfach wie immer direkt in Windows gebootet. Wenn Sie eine andere Entsperrmethode wählen, werden Sie von Windows aufgefordert, das Laufwerk zu entsperren (indem Sie Ihr Kennwort eingeben, Ihr USB-Laufwerk anschließen oder was auch immer)..
Wenn Sie Ihre Entsperrungsmethode verloren haben (oder vergessen haben), drücken Sie im Eingabeaufforderungsbildschirm die Escape-Taste, um den Wiederherstellungsschlüssel einzugeben.
Wenn Sie ein Nicht-System- oder Wechsellaufwerk verschlüsselt haben, fordert Windows Sie auf, das Laufwerk zu entsperren, wenn Sie nach dem Start von Windows zum ersten Mal darauf zugreifen (oder wenn Sie es an einen PC anschließen, falls es sich um ein Wechsellaufwerk handelt). Geben Sie Ihr Passwort ein oder setzen Sie Ihre Smartcard ein. Das Laufwerk sollte entsperrt werden, damit Sie es verwenden können.
Im Datei-Explorer zeigen verschlüsselte Laufwerke eine goldene Sperre für das Symbol (links). Diese Sperre wird grau und erscheint entsperrt, wenn Sie das Laufwerk entsperren (rechts)..
Sie können ein gesperrtes Laufwerk verwalten, das Kennwort ändern, BitLocker deaktivieren, den Wiederherstellungsschlüssel sichern oder andere Aktionen ausführen - über das BitLocker-Kontrollfeldfenster. Klicken Sie mit der rechten Maustaste auf ein verschlüsseltes Laufwerk, und wählen Sie "BitLocker verwalten" aus, um direkt zu dieser Seite zu gelangen.
Wie alle Verschlüsselungen erhöht auch BitLocker den Overhead. In den offiziellen Microsoft-BitLocker-FAQs von Microsoft heißt es, dass "im Allgemeinen ein einstelliger Prozentsatz an Performance-Overhead erforderlich ist." Wenn Verschlüsselung für Sie wichtig ist, weil Sie vertrauliche Daten haben (z. B. einen Laptop mit Geschäftsdokumenten), ist die erhöhte Sicherheit den Performance-Handel wert -aus.