Das Windows Feature BitLocker (verfügbar auf Windows 10 Pro, Windows 10 Enterprise und Windows 10 Education) verschlüsselt Festplatten. Auf eine verschlüsselte Festplatte kann nur dann zugegriffen werden, wenn diese mithilfe eines Hardware-Moduls  (TPM = Trusted Platform Module) oder mit einem PIN entschlüsselt wird, oder beides. In diesem Artikel wird BitLocker mit TPM (Hardware muss kompatibel sein) auf einem Betriebssystemlaufwerk aktiviert und es wird ein PIN für den Start vergeben.

Voraussetzugen

Die Voraussetzungen um die Konfiguration in diesem Artikel durchzuführen ist ein Betriebssystem Windows 7 und höher (keine Home-Edition!) und ein kompatibles TPM Modul.

Die Betriebssystem Version kann mit dem Drücken der Windows Taste + Pause überprüft werden. Hier sollte Pro oder Enterprise stehen.

Ob das TPM Modul verbaut ist sieht man in der Systemsteuerung – Hardware und Sound – Geräte Manager (oder in PowerShell devmgmt.msc ausführen, geht schneller ;-)) des Systems unter Sicherheitsgeräte.

Aktivieren von BitLocker mit TPM

BitLocker kann mithilfe des Windows Explorers aktiviert werden. (Rechts-Klick auf c: – BitLocker aktivieren)

Danach startet der Setup-Assistent.

Weiter klicken. Der Computer muss neu starten.

Nach dem Neustart erscheint eine Meldung. Hier muss F1 gedrückt werden, damit das TPM konfiguriert wird.

Nach dem Neustart wird der Installations-Assistent weitergeführt und man sollte ein grünes Häkchen beim Punkt TPM sehen.

Der Wiederherstellungsschlüssel dient zur Entschlüsselung der Festplatte, wenn die Festplatte nicht entschlüsselt werden kann (z.B. PIN vergessen). Hier wird “In Datei speichern” empfohlen.

Hinweis: Die Datei muss auf einem externen Laufwerk gesichert werden.

Ein USB-Stick schafft Abhilfe.

Wenn der PC schon länger verwendet wird, so wird empfohlen die gesamte Festplatte zu verschlüsseln.

Als nächstes wählt man den neuen Verschlüsselungsmodus XTS-AES, oder bei Wechseldatenträger mit älteren Windows Versionen den Kompatiblen Modus.

Und dann endet das Setup. Ich würde empfehlen die BitLocker-Systemüberprüfung zu aktivieren, um sicherzustellen das alles klappt.

Danach muss der Computer erneut mit “Jetzt neu starten” neu gestartet werden.

Nach dem Neustart sieht man in der Systemsteuerung, dass die Verschlüsselung voll im Gange ist.

Nach einiger Zeit wechselt die Anzeige und die Verschlüsselung ist fertig.

Der Schlüssel ist im TPM Module gespeichert. Entfernt man die Festplatte, so kann ohne diesem Module nicht auf diese zugegriffen werden. Was jetzt noch fehlt ist die Einrichtung eines PINs beim Starten des Computers.

Aktivieren der BitLocker PIN Abfrage

Dazu öffnet man in Ausführen (Windows Taste + R) gpedit.msc.

Dann navigiert man zu Computerkonfiguration – Administrative Vorlagen –  Windows-Komponenten – BitLocker-Laufwerksverschlüsselung – Betriebssystemlaufwerke  – Zusätzliche Authentifizierung beim Start anfordern.

Dort müssen folgende Einstellungen getroffen werden.

Danach führt man in cmd gpupdate /force aus.

Als nächstes erscheint in der Systemsteuerung eine weitere Option, die sich “Ändern, wie das Laufwerk beim Start entsperrt wird” nennt. Diese muss angeklickt werden.

Danach wählt man “PIN eingeben”.

Nach der Eingabe des PINs ist der Computer durch das TPM Modul und den PIN geschützt. Nach einem Neustart erscheint die PIN Abfrage.

Fazit

Ein bisschen tricky ist die Sache schon. Wer nur einzelne Ordner verschlüsseln möchte der kann das mit EFS tun: EFS: Dateien verschlüsseln unter Windows.